Introduzione alla Direttiva NIS2 (Network Information Security): Sicurezza delle Reti e dei Sistemi Informativi
September 16, 2025
Il contesto attuale e la Direttiva NIS2, tra differenze e continuità rispetto alla ISO 27001
Con una semplice ricerca, possiamo vedere come gli attacchi informatici di diverse tipologie verso organizzazioni di differenti settori si verifichino sempre più di frequente e siano purtroppo in crescita.
Secondo il rapporto di Exprivia, nel 2024, si sono registrati ben 2.461 casi tra attacchi, incidenti e violazioni della privacy.
I grandi passi percorsi dall’intelligenza artificiale negli ultimi anni hanno contribuito a fornire agli hacker nuovi strumenti per essere sempre più efficaci (il 30% di questi crimini infatti sfrutta l’AI).
Sempre da quanto riferito da Exprivia, “«L’analisi del nostro Osservatorio mostra che, nonostante l’aumento costante degli attacchi informatici, nel 2024 solo il 24% di essi ha arrecato danni reali, rispetto al 31% dell’anno precedente: ciò dimostra l’efficacia degli investimenti in sicurezza e delle normative europee più stringenti adottate nel corso del tempo”.
Ed è proprio in questo contesto che l’UE ha deciso di intervenire in maniera diretta con strumenti come la direttiva NIS2 al fine di investire nel lungo termine sulla sicurezza informatica dei paesi membri (e quindi delle aziende che operano all’interno del territorio europeo).
La normativa europea NIS2 è la direttiva che impone misure di cybersicurezza più severe alle organizzazioni pubbliche e private che operano in settori individuati come critici. Come è già stato sottolineato, il suo scopo è quello di garantire la resistenza e la protezione dalle minacce informatiche ormai sempre più presenti e ricorrenti, partendo dal presupposto che le aziende e le istituzioni, se provviste dei giusti strumenti e delle giuste metodologie, possano difendersi in maniera adeguata dalle minacce cyber.
La NIS2 nasce come revisione e ampliamento della prima direttiva NIS, che era stata emanata ormai un decennio fa, nel 2016. La direttiva NIS aveva già introdotto un quadro comune e best practices per il tema della sicurezza delle reti e dei sistemi informativi, ma era necessario estendere il suo raggio di azione ed aggiornare il suo contenuto.
Infatti, la NIS2 intende ampliare le competenze della precedente direttiva NIS, andando ad agire su più settori, modificando le soglie di dimensione delle aziende nel suo perimetro e aggiungendo controlli sempre più stringenti di sicurezza informatici, allineandosi con lo sviluppo e la crescita dei potenziali rischi.
Nel nostro paese, la direttiva NIS2 è stata ufficialmente recepita alla fine del 2024, con l’entrata in vigore degli obblighi operativi e dei relativi controlli. Questi sono stati resi applicabili dal 1° gennaio 2025 per tutti i soggetti classificati come essenziali o importanti. ACN – Agenzia per la Cybersicurezza Nazionale è l’organo con poteri ispettivi che si è occupato della classificazione in Italia. Con un focus sulla collaborazione con le aziende, l’ACN ha deciso poi di posticipare l’obbligo di registrazione delle aziende considerate essenziali o importanti (che hanno ricevuto precedentemente la qualifica direttamente da ACN via PEC) all’interno del registro nazionale (CSIRT Italia).
Il focus operativo è oggi sul lavoro di adeguamento da mettere rapidamente ed efficacemente in atto per non trovarsi impreparati prima della scadenza nel 2026. Infatti, per evitare le sanzioni ed essere pienamente conformi in previsione di gennaio, le aziende coinvolte dovranno effettuare tempestivi cambiamenti. Relativamente alla sua struttura, la direttiva NIS2 si basa sui principi della certificazione ISO 27001 (sicurezza informatica): dalla logica della gestione del rischio fino alla logica di ciclo PDCA (Plan-Do-Check-Act). Per approfondire la certificazione ISO 27001, puoi leggere qui il nostro articolo: Intro a ISO 27001: il Sistema di gestione della sicurezza dei dati e delle informazioni (SGSI).
Rispetto alla certificazione ISO 27001, la direttiva NIS2 si differenzia introducendo dei controlli aggiuntivi che hanno lo scopo di approfondire e monitorare determinate aree strategiche.
Alcuni esempi di queste aree sono la sicurezza della supply chain,i test di resilienza (chiamati spesso penetration test), gli obblighi di notifica degli incidenti (con tempi ridotti rispetto alla precedente direttiva) e l’area business continuity con focus specifico anche sui disaster recovery (ovvero la strategia dell’azienda nel caso la peggiore delle ipotesi possa verificarsi).
Questo stretto legame tra la certificazione ISO 27001 e la direttiva NIS2, dovuto alla forte sovrapposizione dei requisiti, agevola tutte le imprese che si siano già certificate in precedenza. Infatti la buona notizia è che gran parte del lavoro potrebbe già essere stato svolto.
Qualora invece l’ azienda non fosse ancora certificata ISO 27001, non bisogna perdersi d’animo perchè l’implementazione dei controlli della direttiva NIS2 sfrutta come base di supporto proprio la certificazione ISO 27001, permettendo di coordinare in un unico sistema di gestione tutti i requisiti di sicurezza richiesti dalla NIS2, evitando duplicazioni.
In sintesi, adeguando la struttura aziendale ai requisiti ed ai controlli posti in atto dalla direttiva NIS2, si ottiene anche la piena conformità con la ISO 27001 (che se si volesse ottenere, andrebbe solamente certificata).
Come la NIS2 supporta le aziende a livello pratico?
Come già scritto, l’obiettivo ultimo della direttiva NIS2 è quello di aumentare il grado di resilienza e la capacità comune degli Stati membri nel rispondere agli incidenti informatici, tramite un modello di applicazione a cascata (si parla del concetto di filiera).
A livello di impatto pratico, le aziende che ricadono all’interno del perimetro individuato dalla direttiva NIS2 devono adeguarsi implementando azioni e controlli specifici di sicurezza informatica:
la valutazione e gestione strutturata (secondo un preciso schema) dei rischi legati alla sicurezza informatica della nostra azienda;
la definizione di procedure documentate per la gestione e la risposta agli incidenti informatici;
la formazione del personale sulla sicurezza informatica (corsi ad hoc);
aumento del controllo della supply chain (filiera), estendendo i requisiti di sicurezza informatica a tutti i fornitori che vengono considerati critici;
l’implementazione di piani di business continuity e disaster recovery;
l’aderenza ai nuovi obblighi di notifica rapida degli incidenti alle autorità competenti (portale ad hoc per la segnalazione).
Riprendendo l’aspetto di sviluppo sinergico della direttiva NIS2 con la certificazione ISO 27001, l’ottenimento della conformità alla direttiva NIS2 si delinea quindi in due direzioni diverse a seconda della presenza della certificazione (e quindi di un sistema di gestione della sicurezza dei dati e delle informazioni - SGSI) come discriminante:
La mia azienda è già certificata ISO 27001: L’approccio è diretto verso i controlli aggiuntivi e specifici della NIS2.
La mia azienda non è certificata ISO 27001: L’approccio verso la compliance a NIS2 è sviluppato usando come base l'architettura del Sistema di gestione della sicurezza dei dati e delle informazioni (SGSI) della ISO 27001 a cui vengono poi applicati i controlli specifici NIS2.
Non esitare a contattarci per ottenere più informazioni e assicurarti di essere in regola.
Il contesto attuale e la Direttiva NIS2, tra differenze e continuità rispetto alla ISO 27001
Con una semplice ricerca, possiamo vedere come gli attacchi informatici di diverse tipologie verso organizzazioni di differenti settori si verifichino sempre più di frequente e siano purtroppo in crescita.
Secondo il rapporto di Exprivia, nel 2024, si sono registrati ben 2.461 casi tra attacchi, incidenti e violazioni della privacy.
I grandi passi percorsi dall’intelligenza artificiale negli ultimi anni hanno contribuito a fornire agli hacker nuovi strumenti per essere sempre più efficaci (il 30% di questi crimini infatti sfrutta l’AI).
Sempre da quanto riferito da Exprivia, “«L’analisi del nostro Osservatorio mostra che, nonostante l’aumento costante degli attacchi informatici, nel 2024 solo il 24% di essi ha arrecato danni reali, rispetto al 31% dell’anno precedente: ciò dimostra l’efficacia degli investimenti in sicurezza e delle normative europee più stringenti adottate nel corso del tempo”.
Ed è proprio in questo contesto che l’UE ha deciso di intervenire in maniera diretta con strumenti come la direttiva NIS2 al fine di investire nel lungo termine sulla sicurezza informatica dei paesi membri (e quindi delle aziende che operano all’interno del territorio europeo).
La normativa europea NIS2 è la direttiva che impone misure di cybersicurezza più severe alle organizzazioni pubbliche e private che operano in settori individuati come critici. Come è già stato sottolineato, il suo scopo è quello di garantire la resistenza e la protezione dalle minacce informatiche ormai sempre più presenti e ricorrenti, partendo dal presupposto che le aziende e le istituzioni, se provviste dei giusti strumenti e delle giuste metodologie, possano difendersi in maniera adeguata dalle minacce cyber.
La NIS2 nasce come revisione e ampliamento della prima direttiva NIS, che era stata emanata ormai un decennio fa, nel 2016. La direttiva NIS aveva già introdotto un quadro comune e best practices per il tema della sicurezza delle reti e dei sistemi informativi, ma era necessario estendere il suo raggio di azione ed aggiornare il suo contenuto.
Infatti, la NIS2 intende ampliare le competenze della precedente direttiva NIS, andando ad agire su più settori, modificando le soglie di dimensione delle aziende nel suo perimetro e aggiungendo controlli sempre più stringenti di sicurezza informatici, allineandosi con lo sviluppo e la crescita dei potenziali rischi.
Nel nostro paese, la direttiva NIS2 è stata ufficialmente recepita alla fine del 2024, con l’entrata in vigore degli obblighi operativi e dei relativi controlli. Questi sono stati resi applicabili dal 1° gennaio 2025 per tutti i soggetti classificati come essenziali o importanti. ACN – Agenzia per la Cybersicurezza Nazionale è l’organo con poteri ispettivi che si è occupato della classificazione in Italia. Con un focus sulla collaborazione con le aziende, l’ACN ha deciso poi di posticipare l’obbligo di registrazione delle aziende considerate essenziali o importanti (che hanno ricevuto precedentemente la qualifica direttamente da ACN via PEC) all’interno del registro nazionale (CSIRT Italia).
Il focus operativo è oggi sul lavoro di adeguamento da mettere rapidamente ed efficacemente in atto per non trovarsi impreparati prima della scadenza nel 2026. Infatti, per evitare le sanzioni ed essere pienamente conformi in previsione di gennaio, le aziende coinvolte dovranno effettuare tempestivi cambiamenti. Relativamente alla sua struttura, la direttiva NIS2 si basa sui principi della certificazione ISO 27001 (sicurezza informatica): dalla logica della gestione del rischio fino alla logica di ciclo PDCA (Plan-Do-Check-Act). Per approfondire la certificazione ISO 27001, puoi leggere qui il nostro articolo: Intro a ISO 27001: il Sistema di gestione della sicurezza dei dati e delle informazioni (SGSI).
Rispetto alla certificazione ISO 27001, la direttiva NIS2 si differenzia introducendo dei controlli aggiuntivi che hanno lo scopo di approfondire e monitorare determinate aree strategiche.
Alcuni esempi di queste aree sono la sicurezza della supply chain,i test di resilienza (chiamati spesso penetration test), gli obblighi di notifica degli incidenti (con tempi ridotti rispetto alla precedente direttiva) e l’area business continuity con focus specifico anche sui disaster recovery (ovvero la strategia dell’azienda nel caso la peggiore delle ipotesi possa verificarsi).
Questo stretto legame tra la certificazione ISO 27001 e la direttiva NIS2, dovuto alla forte sovrapposizione dei requisiti, agevola tutte le imprese che si siano già certificate in precedenza. Infatti la buona notizia è che gran parte del lavoro potrebbe già essere stato svolto.
Qualora invece l’ azienda non fosse ancora certificata ISO 27001, non bisogna perdersi d’animo perchè l’implementazione dei controlli della direttiva NIS2 sfrutta come base di supporto proprio la certificazione ISO 27001, permettendo di coordinare in un unico sistema di gestione tutti i requisiti di sicurezza richiesti dalla NIS2, evitando duplicazioni.
In sintesi, adeguando la struttura aziendale ai requisiti ed ai controlli posti in atto dalla direttiva NIS2, si ottiene anche la piena conformità con la ISO 27001 (che se si volesse ottenere, andrebbe solamente certificata).
Come la NIS2 supporta le aziende a livello pratico?
Come già scritto, l’obiettivo ultimo della direttiva NIS2 è quello di aumentare il grado di resilienza e la capacità comune degli Stati membri nel rispondere agli incidenti informatici, tramite un modello di applicazione a cascata (si parla del concetto di filiera).
A livello di impatto pratico, le aziende che ricadono all’interno del perimetro individuato dalla direttiva NIS2 devono adeguarsi implementando azioni e controlli specifici di sicurezza informatica:
la valutazione e gestione strutturata (secondo un preciso schema) dei rischi legati alla sicurezza informatica della nostra azienda;
la definizione di procedure documentate per la gestione e la risposta agli incidenti informatici;
la formazione del personale sulla sicurezza informatica (corsi ad hoc);
aumento del controllo della supply chain (filiera), estendendo i requisiti di sicurezza informatica a tutti i fornitori che vengono considerati critici;
l’implementazione di piani di business continuity e disaster recovery;
l’aderenza ai nuovi obblighi di notifica rapida degli incidenti alle autorità competenti (portale ad hoc per la segnalazione).
Riprendendo l’aspetto di sviluppo sinergico della direttiva NIS2 con la certificazione ISO 27001, l’ottenimento della conformità alla direttiva NIS2 si delinea quindi in due direzioni diverse a seconda della presenza della certificazione (e quindi di un sistema di gestione della sicurezza dei dati e delle informazioni - SGSI) come discriminante:
La mia azienda è già certificata ISO 27001: L’approccio è diretto verso i controlli aggiuntivi e specifici della NIS2.
La mia azienda non è certificata ISO 27001: L’approccio verso la compliance a NIS2 è sviluppato usando come base l'architettura del Sistema di gestione della sicurezza dei dati e delle informazioni (SGSI) della ISO 27001 a cui vengono poi applicati i controlli specifici NIS2.
Non esitare a contattarci per ottenere più informazioni e assicurarti di essere in regola.
Il contesto attuale e la Direttiva NIS2, tra differenze e continuità rispetto alla ISO 27001
Con una semplice ricerca, possiamo vedere come gli attacchi informatici di diverse tipologie verso organizzazioni di differenti settori si verifichino sempre più di frequente e siano purtroppo in crescita.
Secondo il rapporto di Exprivia, nel 2024, si sono registrati ben 2.461 casi tra attacchi, incidenti e violazioni della privacy.
I grandi passi percorsi dall’intelligenza artificiale negli ultimi anni hanno contribuito a fornire agli hacker nuovi strumenti per essere sempre più efficaci (il 30% di questi crimini infatti sfrutta l’AI).
Sempre da quanto riferito da Exprivia, “«L’analisi del nostro Osservatorio mostra che, nonostante l’aumento costante degli attacchi informatici, nel 2024 solo il 24% di essi ha arrecato danni reali, rispetto al 31% dell’anno precedente: ciò dimostra l’efficacia degli investimenti in sicurezza e delle normative europee più stringenti adottate nel corso del tempo”.
Ed è proprio in questo contesto che l’UE ha deciso di intervenire in maniera diretta con strumenti come la direttiva NIS2 al fine di investire nel lungo termine sulla sicurezza informatica dei paesi membri (e quindi delle aziende che operano all’interno del territorio europeo).
La normativa europea NIS2 è la direttiva che impone misure di cybersicurezza più severe alle organizzazioni pubbliche e private che operano in settori individuati come critici. Come è già stato sottolineato, il suo scopo è quello di garantire la resistenza e la protezione dalle minacce informatiche ormai sempre più presenti e ricorrenti, partendo dal presupposto che le aziende e le istituzioni, se provviste dei giusti strumenti e delle giuste metodologie, possano difendersi in maniera adeguata dalle minacce cyber.
La NIS2 nasce come revisione e ampliamento della prima direttiva NIS, che era stata emanata ormai un decennio fa, nel 2016. La direttiva NIS aveva già introdotto un quadro comune e best practices per il tema della sicurezza delle reti e dei sistemi informativi, ma era necessario estendere il suo raggio di azione ed aggiornare il suo contenuto.
Infatti, la NIS2 intende ampliare le competenze della precedente direttiva NIS, andando ad agire su più settori, modificando le soglie di dimensione delle aziende nel suo perimetro e aggiungendo controlli sempre più stringenti di sicurezza informatici, allineandosi con lo sviluppo e la crescita dei potenziali rischi.
Nel nostro paese, la direttiva NIS2 è stata ufficialmente recepita alla fine del 2024, con l’entrata in vigore degli obblighi operativi e dei relativi controlli. Questi sono stati resi applicabili dal 1° gennaio 2025 per tutti i soggetti classificati come essenziali o importanti. ACN – Agenzia per la Cybersicurezza Nazionale è l’organo con poteri ispettivi che si è occupato della classificazione in Italia. Con un focus sulla collaborazione con le aziende, l’ACN ha deciso poi di posticipare l’obbligo di registrazione delle aziende considerate essenziali o importanti (che hanno ricevuto precedentemente la qualifica direttamente da ACN via PEC) all’interno del registro nazionale (CSIRT Italia).
Il focus operativo è oggi sul lavoro di adeguamento da mettere rapidamente ed efficacemente in atto per non trovarsi impreparati prima della scadenza nel 2026. Infatti, per evitare le sanzioni ed essere pienamente conformi in previsione di gennaio, le aziende coinvolte dovranno effettuare tempestivi cambiamenti. Relativamente alla sua struttura, la direttiva NIS2 si basa sui principi della certificazione ISO 27001 (sicurezza informatica): dalla logica della gestione del rischio fino alla logica di ciclo PDCA (Plan-Do-Check-Act). Per approfondire la certificazione ISO 27001, puoi leggere qui il nostro articolo: Intro a ISO 27001: il Sistema di gestione della sicurezza dei dati e delle informazioni (SGSI).
Rispetto alla certificazione ISO 27001, la direttiva NIS2 si differenzia introducendo dei controlli aggiuntivi che hanno lo scopo di approfondire e monitorare determinate aree strategiche.
Alcuni esempi di queste aree sono la sicurezza della supply chain,i test di resilienza (chiamati spesso penetration test), gli obblighi di notifica degli incidenti (con tempi ridotti rispetto alla precedente direttiva) e l’area business continuity con focus specifico anche sui disaster recovery (ovvero la strategia dell’azienda nel caso la peggiore delle ipotesi possa verificarsi).
Questo stretto legame tra la certificazione ISO 27001 e la direttiva NIS2, dovuto alla forte sovrapposizione dei requisiti, agevola tutte le imprese che si siano già certificate in precedenza. Infatti la buona notizia è che gran parte del lavoro potrebbe già essere stato svolto.
Qualora invece l’ azienda non fosse ancora certificata ISO 27001, non bisogna perdersi d’animo perchè l’implementazione dei controlli della direttiva NIS2 sfrutta come base di supporto proprio la certificazione ISO 27001, permettendo di coordinare in un unico sistema di gestione tutti i requisiti di sicurezza richiesti dalla NIS2, evitando duplicazioni.
In sintesi, adeguando la struttura aziendale ai requisiti ed ai controlli posti in atto dalla direttiva NIS2, si ottiene anche la piena conformità con la ISO 27001 (che se si volesse ottenere, andrebbe solamente certificata).
Come la NIS2 supporta le aziende a livello pratico?
Come già scritto, l’obiettivo ultimo della direttiva NIS2 è quello di aumentare il grado di resilienza e la capacità comune degli Stati membri nel rispondere agli incidenti informatici, tramite un modello di applicazione a cascata (si parla del concetto di filiera).
A livello di impatto pratico, le aziende che ricadono all’interno del perimetro individuato dalla direttiva NIS2 devono adeguarsi implementando azioni e controlli specifici di sicurezza informatica:
la valutazione e gestione strutturata (secondo un preciso schema) dei rischi legati alla sicurezza informatica della nostra azienda;
la definizione di procedure documentate per la gestione e la risposta agli incidenti informatici;
la formazione del personale sulla sicurezza informatica (corsi ad hoc);
aumento del controllo della supply chain (filiera), estendendo i requisiti di sicurezza informatica a tutti i fornitori che vengono considerati critici;
l’implementazione di piani di business continuity e disaster recovery;
l’aderenza ai nuovi obblighi di notifica rapida degli incidenti alle autorità competenti (portale ad hoc per la segnalazione).
Riprendendo l’aspetto di sviluppo sinergico della direttiva NIS2 con la certificazione ISO 27001, l’ottenimento della conformità alla direttiva NIS2 si delinea quindi in due direzioni diverse a seconda della presenza della certificazione (e quindi di un sistema di gestione della sicurezza dei dati e delle informazioni - SGSI) come discriminante:
La mia azienda è già certificata ISO 27001: L’approccio è diretto verso i controlli aggiuntivi e specifici della NIS2.
La mia azienda non è certificata ISO 27001: L’approccio verso la compliance a NIS2 è sviluppato usando come base l'architettura del Sistema di gestione della sicurezza dei dati e delle informazioni (SGSI) della ISO 27001 a cui vengono poi applicati i controlli specifici NIS2.
Non esitare a contattarci per ottenere più informazioni e assicurarti di essere in regola.
Il contesto attuale e la Direttiva NIS2, tra differenze e continuità rispetto alla ISO 27001
Con una semplice ricerca, possiamo vedere come gli attacchi informatici di diverse tipologie verso organizzazioni di differenti settori si verifichino sempre più di frequente e siano purtroppo in crescita.
Secondo il rapporto di Exprivia, nel 2024, si sono registrati ben 2.461 casi tra attacchi, incidenti e violazioni della privacy.
I grandi passi percorsi dall’intelligenza artificiale negli ultimi anni hanno contribuito a fornire agli hacker nuovi strumenti per essere sempre più efficaci (il 30% di questi crimini infatti sfrutta l’AI).
Sempre da quanto riferito da Exprivia, “«L’analisi del nostro Osservatorio mostra che, nonostante l’aumento costante degli attacchi informatici, nel 2024 solo il 24% di essi ha arrecato danni reali, rispetto al 31% dell’anno precedente: ciò dimostra l’efficacia degli investimenti in sicurezza e delle normative europee più stringenti adottate nel corso del tempo”.
Ed è proprio in questo contesto che l’UE ha deciso di intervenire in maniera diretta con strumenti come la direttiva NIS2 al fine di investire nel lungo termine sulla sicurezza informatica dei paesi membri (e quindi delle aziende che operano all’interno del territorio europeo).
La normativa europea NIS2 è la direttiva che impone misure di cybersicurezza più severe alle organizzazioni pubbliche e private che operano in settori individuati come critici. Come è già stato sottolineato, il suo scopo è quello di garantire la resistenza e la protezione dalle minacce informatiche ormai sempre più presenti e ricorrenti, partendo dal presupposto che le aziende e le istituzioni, se provviste dei giusti strumenti e delle giuste metodologie, possano difendersi in maniera adeguata dalle minacce cyber.
La NIS2 nasce come revisione e ampliamento della prima direttiva NIS, che era stata emanata ormai un decennio fa, nel 2016. La direttiva NIS aveva già introdotto un quadro comune e best practices per il tema della sicurezza delle reti e dei sistemi informativi, ma era necessario estendere il suo raggio di azione ed aggiornare il suo contenuto.
Infatti, la NIS2 intende ampliare le competenze della precedente direttiva NIS, andando ad agire su più settori, modificando le soglie di dimensione delle aziende nel suo perimetro e aggiungendo controlli sempre più stringenti di sicurezza informatici, allineandosi con lo sviluppo e la crescita dei potenziali rischi.
Nel nostro paese, la direttiva NIS2 è stata ufficialmente recepita alla fine del 2024, con l’entrata in vigore degli obblighi operativi e dei relativi controlli. Questi sono stati resi applicabili dal 1° gennaio 2025 per tutti i soggetti classificati come essenziali o importanti. ACN – Agenzia per la Cybersicurezza Nazionale è l’organo con poteri ispettivi che si è occupato della classificazione in Italia. Con un focus sulla collaborazione con le aziende, l’ACN ha deciso poi di posticipare l’obbligo di registrazione delle aziende considerate essenziali o importanti (che hanno ricevuto precedentemente la qualifica direttamente da ACN via PEC) all’interno del registro nazionale (CSIRT Italia).
Il focus operativo è oggi sul lavoro di adeguamento da mettere rapidamente ed efficacemente in atto per non trovarsi impreparati prima della scadenza nel 2026. Infatti, per evitare le sanzioni ed essere pienamente conformi in previsione di gennaio, le aziende coinvolte dovranno effettuare tempestivi cambiamenti. Relativamente alla sua struttura, la direttiva NIS2 si basa sui principi della certificazione ISO 27001 (sicurezza informatica): dalla logica della gestione del rischio fino alla logica di ciclo PDCA (Plan-Do-Check-Act). Per approfondire la certificazione ISO 27001, puoi leggere qui il nostro articolo: Intro a ISO 27001: il Sistema di gestione della sicurezza dei dati e delle informazioni (SGSI).
Rispetto alla certificazione ISO 27001, la direttiva NIS2 si differenzia introducendo dei controlli aggiuntivi che hanno lo scopo di approfondire e monitorare determinate aree strategiche.
Alcuni esempi di queste aree sono la sicurezza della supply chain,i test di resilienza (chiamati spesso penetration test), gli obblighi di notifica degli incidenti (con tempi ridotti rispetto alla precedente direttiva) e l’area business continuity con focus specifico anche sui disaster recovery (ovvero la strategia dell’azienda nel caso la peggiore delle ipotesi possa verificarsi).
Questo stretto legame tra la certificazione ISO 27001 e la direttiva NIS2, dovuto alla forte sovrapposizione dei requisiti, agevola tutte le imprese che si siano già certificate in precedenza. Infatti la buona notizia è che gran parte del lavoro potrebbe già essere stato svolto.
Qualora invece l’ azienda non fosse ancora certificata ISO 27001, non bisogna perdersi d’animo perchè l’implementazione dei controlli della direttiva NIS2 sfrutta come base di supporto proprio la certificazione ISO 27001, permettendo di coordinare in un unico sistema di gestione tutti i requisiti di sicurezza richiesti dalla NIS2, evitando duplicazioni.
In sintesi, adeguando la struttura aziendale ai requisiti ed ai controlli posti in atto dalla direttiva NIS2, si ottiene anche la piena conformità con la ISO 27001 (che se si volesse ottenere, andrebbe solamente certificata).
Come la NIS2 supporta le aziende a livello pratico?
Come già scritto, l’obiettivo ultimo della direttiva NIS2 è quello di aumentare il grado di resilienza e la capacità comune degli Stati membri nel rispondere agli incidenti informatici, tramite un modello di applicazione a cascata (si parla del concetto di filiera).
A livello di impatto pratico, le aziende che ricadono all’interno del perimetro individuato dalla direttiva NIS2 devono adeguarsi implementando azioni e controlli specifici di sicurezza informatica:
la valutazione e gestione strutturata (secondo un preciso schema) dei rischi legati alla sicurezza informatica della nostra azienda;
la definizione di procedure documentate per la gestione e la risposta agli incidenti informatici;
la formazione del personale sulla sicurezza informatica (corsi ad hoc);
aumento del controllo della supply chain (filiera), estendendo i requisiti di sicurezza informatica a tutti i fornitori che vengono considerati critici;
l’implementazione di piani di business continuity e disaster recovery;
l’aderenza ai nuovi obblighi di notifica rapida degli incidenti alle autorità competenti (portale ad hoc per la segnalazione).
Riprendendo l’aspetto di sviluppo sinergico della direttiva NIS2 con la certificazione ISO 27001, l’ottenimento della conformità alla direttiva NIS2 si delinea quindi in due direzioni diverse a seconda della presenza della certificazione (e quindi di un sistema di gestione della sicurezza dei dati e delle informazioni - SGSI) come discriminante:
La mia azienda è già certificata ISO 27001: L’approccio è diretto verso i controlli aggiuntivi e specifici della NIS2.
La mia azienda non è certificata ISO 27001: L’approccio verso la compliance a NIS2 è sviluppato usando come base l'architettura del Sistema di gestione della sicurezza dei dati e delle informazioni (SGSI) della ISO 27001 a cui vengono poi applicati i controlli specifici NIS2.
Non esitare a contattarci per ottenere più informazioni e assicurarti di essere in regola.
Achieve, maintain, and leverage ISO certifications.
Copyright ©2024 Complaion. All Rights Reserved.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milano.
PEC: part@pec.it, Capitale Sociale: €17.017,18, REA MI-2690509.
Achieve, maintain, and leverage ISO certifications.
Copyright ©2024 Complaion. All Rights Reserved.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milano.
PEC: part@pec.it, Capitale Sociale: €17.017,18, REA MI-2690509.
Achieve, maintain, and leverage ISO certifications.
Copyright ©2024 Complaion. All Rights Reserved.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milano.
PEC: part@pec.it, Capitale Sociale: €17.017,18, REA MI-2690509.
Achieve, maintain, and leverage ISO certifications.
Copyright ©2024 Complaion. All Rights Reserved.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milano.
PEC: part@pec.it, Capitale Sociale: €17.017,18, REA MI-2690509.