Fisso

TIM Full Fibra
Scegli la Fibra fino a 2,5 Giga con chiamate illimitate e assistenza dedicata.
Scopri di più

TIM Full Fibra

Mobile

TIM 5G Power Premium+

100 Giga e minuti a soli 13,99€/mese.
E il servizio di navigazione sicura è gratis!

PROMO SOLO ONLINE

Scopri di più

Prodotti

Ordina iPhone 16 Pro a partire da 28,50€/mese.

SCOPRI DI PIÙ 

TIM BUSINESS per NIS 2

TIM aiuta le imprese ad adeguarsi alla direttiva europea sulla sicurezza informatica.

L'Europa vista dall'alto, con al centro l'Italia, e un lucchetto a indicare la Direttiva europea Nis 2 sulla sicurezza informatica

Cos’è la direttiva NIS 2?

In risposta all'aumento costante di minacce online, l'Unione Europea ha introdotto una nuova normativa sulla sicurezza informatica, chiamata Network and Information Security 2 (NIS 2). Si tratta di un aggiornamento significativo rispetto alla precedente direttiva NIS e impone agli Stati membri dell'UE l'adozione di regolamenti più stringenti in materia di cybersecurity.

Questa nuova direttiva entrerà in vigore a partire dal 17 ottobre 2024. Si applica a un'ampia gamma di settori, tra cui i servizi ICT, la ricerca, i servizi digitali, il manifatturiero, l'industria chimica e alimentare, i servizi postali e di corriere, la gestione dei rifiuti e molti altri.

Per non incorrere in sanzioni, tutte le aziende impattate dovranno mettersi in regola e adempiere agli obblighi di cybersicurezza prescritti dalla direttiva. Anche le PMI saranno quindi tenute ad adottare determinate misure di sicurezza informatica e a segnalare eventuali incidenti informatici gravi.

Come adeguarsi a NIS 2

Mani che scrivono su un laptop, in sovrimpressione diverse icone che vanno a formare una rete sicura e protetta secondo la NIS2

SICUREZZA DI RETE

Le soluzioni per la sicurezza delle connessioni di rete, con cui migliorare la "gestione incidenti", assicurare la continuità del tuo business, adeguare la sicurezza dei sistemi e aggiornare la tua strategia di difesa complessiva in base ai criteri di NIS 2.

Icona di un lucchetto all'interno del cloud che sta a indicare la sicurezza nel cloud e la protezione dei dati come da protocollo NIS 2

SICUREZZA NEL CLOUD

I servizi per la protezione di siti web, identità e accessi con rilevamento delle vulnerabilità, secondo i parametri di NIS 2 per: gestione del rischio e degli incidenti, sicurezza dei sistemi, sicurezza personale, autenticazione e strategie di sicurezza.

Una mano che attiva un bottone con l'icona di un lucchetto relativo ai servizi di sicurezza gestiti secondo le misure previste dalla normativa NIS 2

SERVIZI DI SICUREZZA GESTITI

Un SOC (Security Operation Center) a tua disposizione, ovvero un gruppo di esperti dedicato per prevenire, analizzare e rispondere a eventuali minacce informatiche, in linea con le misure previste dalla normativa NIS 2.

Nis 2 Sicurezza di rete

SICUREZZA DI RETE

Le soluzioni per la sicurezza delle connessioni di rete, con cui migliorare la gestione degli incidenti, assicurare la continuità del tuo business, adeguare la sicurezza dei sistemi e aggiornare la tua strategia di difesa complessiva secondo i principi di NIS 2.

Nis 2 Sicurezza nel cloud

SICUREZZA NEL CLOUD

Servizi per la protezione di siti web, identità e accessi con rilevamento delle vulnerabilità, secondo i parametri di NIS 2 per: gestione del rischio e degli incidenti, sicurezza dei sistemi, sicurezza personale, autenticazione e strategie di sicurezza.

Nis 2 Servizi di sicurezza gestiti

SERVIZI DI SICUREZZA GESTITI

Un SOC (Security Operation Center) a tua disposizione, ovvero un gruppo di esperti dedicato per prevenire, analizzare e rispondere a eventuali minacce informatiche, in linea con le misure previste dalla normativa NIS 2.

Qual è il criterio di classificazione delle PMI?

Per classificare le imprese, la direttiva NIS 2 fa riferimento alla raccomandazione 2003/361/CE che definisce le PMI come le aziende che soddisfano i seguenti criteri:

  • Numero occupati < 250
  • Fatturato globale annuo <= 50mln€ OPPURE totale di bilancio annuo <= 43mln€

Un’impresa può decidere di soddisfare il criterio del fatturato o il criterio del totale di bilancio. Non deve soddisfare entrambi i requisiti e può superare una delle soglie senza perdere la sua qualifica di PMI.
La direttiva fornisce anche le definizioni per distinguere le PMI in Micro, Piccole e Medie imprese:

  • Microimprese: con meno di 10 occupati e con un fatturato annuo oppure un totale di bilancio annuo non superiore a 2 milioni di euro
  • Piccole imprese: con meno di 50 occupati e con un fatturato annuo oppure un totale di bilancio annuo non superiore a 10 milioni di euro
  • Medie imprese: con meno di 250 occupati e con un fatturato annuo non superiore a 50 milioni di euro oppure un totale di bilancio annuo non superiore a 43 milioni di euro

Come si stabilisce se l’azienda è soggetta alla direttiva NIS 2?

Le modalità di identificazione ed eventuale esclusione dei soggetti sarà chiarita al momento del recepimento nazionale della direttiva.
In generale dovrebbero essere coinvolte tutte le aziende che rivestono un ruolo cruciale nell'economia europea e che forniscono servizi essenziali o importanti. Saranno quindi gli Stati membri a definire l’elenco dei soggetti ritenuti essenziali e importanti.

Le aziende che non sono obbligate possono comunque adeguarsi alla direttiva NIS 2?

Sì, anche i soggetti non coinvolti possono adeguarsi alla direttiva NIS 2. Anzi può rivelarsi un’ottima opportunità per la reputazione e la competitività aziendale, visto che l’utente tende a scegliere l’azienda che percepisce come più sicura e affidabile.

Sono previsti incentivi per mettersi in regola?

Attualmente non sono previsti incentivi specifici per l’adeguamento alla direttiva NIS 2, ma rimangono validi gli strumenti che già finanziano l’innovazione. Per esempio esiste l’incentivo “Industria 4.0”, che prevede il credito di imposta per l’acquisto di alcune soluzioni di cybersecurity.

A quale autorità è necessario comunicare gli incidenti?

Eventuali incidenti “significativi” dovranno essere notificati al proprio CSIRT nazionale (Computer Security Incident Response Team) o, se opportuno, alla propria autorità competente. Nel caso italiano, il CSIRT è l’organo dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Per alcune categorie particolarmente critiche, la segnalazione incidenti è già obbligatoria e pertanto il sito è già operativo: Segnalazione evento - CSIRT Italia.

Che tipo di incidenti devono essere comunicati?

Dovrà essere notificato all’autorità ogni incidente “significativo”, cioè un incidente che:

  • Ha causato o è in grado di causare una grave perturbazione operativa dei servizi
  • Ha causato perdite finanziarie per il soggetto interessato
  • Si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche, causando perdite materiali o immateriali considerevoli

Con quali modalità devono essere comunicati gli incidenti?

I soggetti interessati notificano secondo le seguenti modalità:

  1. Senza indebito ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell'incidente significativo, un preallarme che, se opportuno, indichi se l'incidente significativo è sospettato di essere il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero
  2. Senza indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell'incidente significativo, una notifica dell'incidente che, se opportuno, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale dell'incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione
  3. Su richiesta di un CSIRT o, se opportuno, di un'autorità competente, una relazione intermedia sui pertinenti aggiornamenti della situazione
  4. Una relazione finale entro un mese dalla trasmissione della notifica dell'incidente di cui alla lettera b), che comprenda:

            - Una descrizione dettagliata dell'incidente, comprensiva della sua gravità e del suo impatto

            - Il tipo di minaccia o la causa di fondo che ha probabilmente innescato l'incidente

            - Le misure di attenuazione adottate e in corso

            - Se opportuno, l'impatto transfrontaliero dell'incidente

            - In caso di incidente in corso al momento della trasmissione della relazione finale di cui alla lettera d), gli Stati membri provvedono affinché i soggetti interessati forniscano una relazione sui progressi in quel momento e una relazione finale entro un mese dalla gestione dell'incidente

Se il 100% delle vulnerabilità emerse negli incidenti sono state
generate all’interno dell’organizzazione, è necessario divulgare?

Si, anche in questo caso occorre divulgare. Le persone fisiche o giuridiche possano segnalare in forma anonima una vulnerabilità al CSIRT che agisce da intermediario di fiducia agevolando, se necessario, l'interazione tra la persona fisica o giuridica che segnala la vulnerabilità e il fabbricante o fornitore di servizi ICT o prodotti ICT potenzialmente vulnerabili, assicurando l'anonimato della persona fisica o giuridica segnalante.
I compiti del CSIRT designato come coordinatore comprendono:

  • Individuazione e il contatto dei soggetti interessati
  • Assistenza alle persone fisiche o giuridiche che segnalano una vulnerabilità
  • Negoziazione dei tempi di divulgazione e la gestione delle vulnerabilità che interessano più soggetti

Quali sanzioni sono previste in caso di inadempienza?

La direttiva stabilisce un apparato sanzionatorio che i singoli Stati Membri sono chiamati a rendere effettivo, proporzionato e dissuasivo in fase di recepimento ed è prevista la proporzionalità delle sanzioni per i soggetti essenziali e importanti.
Le sanzioni amministrative pecuniarie previste sono le seguenti:

  • Le organizzazioni essenziali sono soggette a sanzioni “pari a un massimo di almeno 10.000.000€ o a un massimo di almeno il 2% del fatturato mondiale annuo”
  • Le organizzazioni importanti sono soggette a sanzioni “pari a un massimo di almeno 7.000.000€ o a un massimo di almeno l’1,4% del fatturato mondiale annuo”

Ciò significa che l’Italia dovrà individuare un massimale per le sanzioni non inferiore a 10.000.000€ o del 2% del fatturato per i soggetti essenziali e di 7.000.000€ o dell’1,4% del fatturato per i soggetti importanti.
Inoltre, la non conformità di un’organizzazione essenziale può comportare la sospensione o il divieto temporaneo a qualsiasi persona che svolga funzioni dirigenziali (come amministratore delegato o rappresentante legale) di svolgere le suddette funzioni.

Infine, la direttiva prevede che gli Stati membri possano poter stabilire sanzioni penali in caso di violazione delle norme nazionali di recepimento.

Da chi e come verranno effettuati i controlli?

La Direttiva dispone che gli Stati Membri conferiscano priorità ai compiti di vigilanza alle autorità competenti – nel caso italiano il CSIRT Italia – al fine di monitorare efficacemente l’adozione delle misure necessarie a garantire il rispetto della presente direttiva. Le priorità si fondano su un approccio basato sul rischio e le metodologie di vigilanza sono stabilite dallo CSIRT che, nell'esercizio dei rispettivi compiti di vigilanza abbiano il potere di sottoporre tali soggetti come minimo a:

  • Ispezioni in loco e vigilanza a distanza, compresi controlli casuali, effettuati da professionisti formati
  • Audit sulla sicurezza periodici e mirati effettuati da un organismo indipendente o da un'autorità competente
  • Audit ad hoc, ivi incluso in casi giustificati da un incidente significativo o da una violazione della presente direttiva da parte del soggetto essenziale
  • Scansioni di sicurezza basate su criteri di valutazione dei rischi obiettivi, non discriminatori, equi e trasparenti, se necessario in cooperazione con il soggetto interessato
  • Richieste di informazioni necessarie a valutare le misure di gestione dei rischi cyber adottate dal soggetto interessato, comprese le politiche di cybersecurity documentate, nonché il rispetto dell'obbligo di trasmettere informazioni alle autorità competenti
  • Richieste di accesso a dati, documenti e altre informazioni necessari allo svolgimento dei compiti di vigilanza
  • Richieste di dati che dimostrino l'attuazione di politiche di cybersecurity, quali i risultati di audit sulla sicurezza effettuati da un controllore qualificato e i relativi elementi di prova

Inoltre, la Direttiva prevede che se autorità preposte ricevono elementi di prova, indicazioni o informazioni secondo cui un soggetto importante non rispetta presumibilmente la presente direttiva, in particolare dagli articoli 21 e 23 della medesima, gli Stati membri provvedono affinché le autorità competenti intervengano, se necessario, mediante misure di vigilanza ex post.

Per l’Italia i controlli saranno effettuati da un nucleo apposito costituito presso l’ACN, alla cui guida è stato posto un ufficiale della GDF. Inoltre, l’ACN ha stipulato accordi con i vari Law enforcers per ottenere un meccanismo di segnalazione incrociata tra denuncia alle autorità che andrà segnalata ad ACN e segnalazione al CSIRT che sarà segnalata alle autorità di polizia per la verifica di fattispecie di reato eventuali.

Quando sarà disponibile il decreto di recepimento della NIS 2?

Poiché NIS 2 è una direttiva dell'Unione Europea, gli Stati membri devono trasporla nella legislazione nazionale entro il 17 ottobre 2024. NIS 2 sarà applicata a partire dal 18 ottobre 2024, anche se gli Stati Membri hanno tempo fino al 17 aprile 2025 per finalizzare l'elenco delle organizzazioni che devono conformarsi.

Il recepimento nazionale della Direttiva NIS 2 è stato fissato al 18 ottobre 2024. Questo significa che entro tale data, gli Stati membri dell’Unione Europea dovranno adattare le proprie normative alla nuova direttiva per garantire un elevato livello di cybersecurity.

Ci sono obblighi da adempiere prima del 17 ottobre 2024?

Prima del recepimento della direttiva da parte degli Stati Membri, non sono previsti obblighi da adempiere. Tuttavia, le organizzazioni hanno l’opportunità di iniziare fin da subito a “familiarizzare” con la NIS 2 e iniziare per tempo a pianificare il percorso di adeguamento da intraprendere.

Rimangono fermi gli obblighi disposti da altre normative come ad esempio la Direttiva NIS 1, il Perimetro di Sicurezza Nazionale Cibernetica o dal DDL Cybersecurity attualmente in corso di approvazione parlamentare, che anticipa taluni contenuti del decreto di recepimento della NIS 2 (es. Segnalazione al CSIRT per talune categorie particolarmente critiche).

NIS 2 e le soluzioni di cybersecurity di TIM BUSINESS

Vuoi saperne di più? Contattaci e scopri come possiamo aiutarti!

RICHIEDI CONTATTO