Questo sito utilizza i cookie. Visualizza la nostra informativa sui cookie
Chiudere

Direttiva sulla sicurezza e sui sistemi di rete e informazione (Direttiva NIS).

La Direttiva sulla sicurezza e sui sistemi di rete e informazione (Direttiva NIS) ((UE) 2016/1148) mira a raggiungere un elevato livello comune di sicurezza della rete e dei sistemi di informazione in tutta l'UE. Gli Stati membri hanno tempo fino al 9 maggio 2018 per trasformare la Direttiva NIS in legge nazionale. 

Scaricate la guida sulla conformità
Parla con un esperto
 

Ambito delle esigenze di conformità alla Direttiva NIS: chi deve conformarsi?

La Direttiva si applica a:

  • operatori dei servizi essenziali (OES) stabiliti nella UE, e 
  • fornitori di servizi digitali (DSP) che offrono prestazioni a persone all’interno dell’UE  1.

1La Direttiva non si applica agli DSP che sono considerati piccoli e alle micro aziende (aziende che impiegano meno di 50 persone il cui fatturato annuo e/o totale di bilancio è inferiore a 10 milioni di euro). 

 

La Direttiva NIS richiede a OES e DSP di

  • adottare misure tecniche e organizzative per rendere sicuri le proprie reti e i sistemi informatici; 
  • tenere conto degli ultimi sviluppi e prendere in considerazione i potenziali rischi dei loro sistemi;
  • adottare misure appropriate per prevenire incidenti di sicurezza; o almeno minimizzare l'impatto per garantire la continuità del servizio; e
  • comunicare all'autorità competente pertinente qualsiasi incidente di sicurezza che abbia un impatto significativo sulla continuità del servizio, senza indebito ritardo.

 

Conseguenze dovute alla non-conformità con la Direttiva NIS

Gli Stati membri sono tenuti a stabilire le proprie norme sulle sanzioni finanziarie e ad adottare le misure necessarie per garantirne l'attuazione. È probabile che gli Stati membri attueranno severe sanzioni simili a quelle del RGDP (regolamento generale sulla protezione dei dati).

La conformità può essere monitorata attraverso controlli di routine degli OES.

 

Cos’è un operatore di servizi essenziali (OES)?

La Direttiva NIS ha lo scopo di rafforzare la sicurezza informatica in tutti i settori che si basano prevalentemente sulla tecnologia dell'informazione e della comunicazione (TIC). Alcune aziende che operano in settori fondamentali sono conosciute come OES.

I settori interessati dalla Direttiva NIS sono: 

  • Acqua;
  • Energia;
  • Infrastrutture digitali;
  • Infrastrutture del mercato bancario e finanziario; 
  • Salute; e
  • Trasporti.

 

Cos’è un fornitore di servizi digitali (DSP)?

La direttiva NIS si applica ai seguenti DSP principali, che di norma forniscono il loro servizio "dietro compenso, a distanza, per via elettronica e su richiesta individuale di un destinatario di servizi".

I DPS possono essere classificati come le seguenti organizzazioni:

  • motori di ricerca.
  • Servizi di cloud computing.
  • Mercati online.

 

Requisiti specifici per i DSP:

la Direttiva afferma che i DSP "restano liberi di adottare misure tecniche e organizzative che considerano appropriate e proporzionate per gestire i rischi", a condizione che le misure forniscano un "adeguato livello di sicurezza" e un fattore di conformità ai requisiti della Direttiva NIS.

I DSP sono necessari per garantire un livello di sicurezza adeguato al rischio rappresentato dall'offerta di servizi coperti, considerando i seguenti elementi:

  • sistemi e attrezzature di sicurezza
  • gestione dell’incidente
  • gestione della continuità aziendale
  • Monitorare, controllare e testare
  • Conformità con gli standard internazionali

 

Regolamento di esecuzione della Commissione per DSP 

Un regolamento di attuazione fornisce ulteriore chiarezza ai DSP su come ci si aspetta che siano conformi alla Direttiva NIS.

Oltre alle informazioni sulla sicurezza y e misure di continuità aziendali, i DSP devono stabilire misure di risposta all’incidente basate su una valutazione della gravità dell’incidente.

Il Regolamento di attuazione entrerà in vigore il 10 maggio 2018 e verrà applicato a tutti gli Stati membri UE. 

Informatevi sul nostro corso di formazione sulla gestione degli incidenti

 

Cosa fare per ottenere la conformità alla Direttiva NIS?

L’approccio migliore per i DSP e gli OES al fine di ottenere la conformità è implementare un programma di cyber resilienza che incorpori quanto segue:

  • solide difese per la cybersicurezza.
  • Adeguate misure preventive contro un cyber rischio. 
  • Strumenti e sistemi adeguati per gestire e segnalare incidenti e violazioni dei dati.

 

Raggiungimento della conformità attraverso la cyber resilienza. 

L'articolo 19 della Direttiva NIS incoraggia l'uso di specifiche norme specifiche europee o internazionalmente riconosciute per la sicurezza della rete e dei sistemi di informazione. 

La conformità alla Direttiva NIS potrà essere raggiunta adottando un sistema di gestione integrato che integra  ISO 27001 e ISO 22301. Questo aiuterà la vostra azienda a ottenere una posizione internazionalmente accettata in quanto a cyber resilienza. 

Basato sulle best practice di gestione del rischio, esattamente come richiesto dalla nuova legislazione, elimina l’incombenza dei numerosi controlli di conformità. 

Scaricate la guida sulla conformità

 

Perché IT Governance?

  • Forniamo l'intera gamma di consulenza, formazione e strumenti necessari per le esigenze di conformità alla Direttiva NIS.
  • La nostra combinazione unica tra esperienza tecnica e comprovata competenza sugli standard internazionali dei sistemi di gestione ci consente di offrire una soluzione completa per la conformità e di gestire il progetto dall'inizio alla fine.
  • Come parte del nostro lavoro con aziende di tutti i settori, abbiamo gestito centinaia di progetti in tutto il mondo.
  • Siamo indipendenti da fornitori e organismi di certificazione e incoraggiamo i nostri clienti a scegliere la soluzione più adatta alle loro esigenze e ai loro obiettivi.
  • Abbiamo team multidisciplinari in grado di eseguire rigorosi penetration test dei vostri sistemi e delle vostre reti, project manager per installare progetti di implementazione della conformità e disponiamo della competenza amministrativa per informare il vostro Consiglio e sviluppare un'adeguata strategia di attenuazione del rischio.
  • Forniamo consigli pratici e lavoriamo in base al budget e alle esigenze organizzative. Nessuna azienda o progetto è mai troppo grande o piccolo.
  • Offriamo tariffe chiare e trasparenti.
Parla con un esperto