Domande frequenti
Tutto quello che devi sapere su NIS2 e su come NIS2 Pro può aiutare la tua organizzazione.
Nozioni di base su NIS2
- Cos’è la Direttiva NIS2?
- NIS2 (Direttiva sulla sicurezza delle reti e dell’informazione 2) è un regolamento europeo sulla cybersicurezza che stabilisce obblighi di base in materia di sicurezza e segnalazione degli incidenti per le organizzazioni che operano in settori critici e importanti. Sostituisce la Direttiva NIS originale adottata nel 2016.
- Quando è entrata in vigore NIS2?
- La direttiva è entrata in vigore il 16 gennaio 2023. Gli Stati membri dell’UE dovevano recepirla nel diritto nazionale entro il 17 ottobre 2024. Le tempistiche di applicazione variano da paese a paese.
- Quali settori copre NIS2?
- NIS2 copre 18 settori suddivisi in due gruppi. I settori essenziali includono energia, trasporti, settore bancario, sanità, acqua, infrastruttura digitale, gestione dei servizi ICT, pubblica amministrazione e spazio. I settori importanti includono servizi postali, gestione dei rifiuti, prodotti chimici, alimentare, manifattura, fornitori digitali e ricerca.
- Qual è la differenza tra entità essenziali e importanti?
- Le entità essenziali sono soggette a requisiti di vigilanza più rigorosi, inclusi audit e ispezioni proattivi. Le entità importanti sono soggette a una vigilanza reattiva, generalmente attivata da prove di non conformità. Entrambe devono soddisfare gli stessi obblighi di sicurezza di base.
- NIS2 si applica alle aziende fuori dall’UE?
- Sì. Se la tua organizzazione fornisce servizi all’interno dell’UE — anche se ha sede altrove — NIS2 potrebbe applicarsi. Le entità extra-UE devono designare un rappresentante in uno degli Stati membri in cui operano.
Ambito e classificazione
- Come faccio a sapere se la mia organizzazione rientra nell’ambito?
- NIS2 si applica alle organizzazioni di medie e grandi dimensioni nei 18 settori coperti. Le soglie generali sono 50+ dipendenti o 10 milioni di euro+ di fatturato annuo. Alcuni tipi di entità — come i fornitori DNS e i fornitori di servizi fiduciari — rientrano nell’ambito indipendentemente dalle dimensioni.
- Cosa fa lo Scope Check di NIS2 Pro?
- La nostra valutazione Scope Check pone domande mirate sul tuo settore, dimensioni, operazioni e dipendenze digitali per determinare se NIS2 si applica probabilmente alla tua organizzazione e se saresti classificato come essenziale o importante.
- Una piccola azienda può rientrare in NIS2?
- In generale, le organizzazioni al di sotto delle soglie dimensionali sono escluse. Tuttavia, alcune categorie rientrano nell’ambito indipendentemente dalle dimensioni — ad esempio, i fornitori di servizi DNS, i registri TLD, i fornitori di servizi fiduciari e le entità identificate come critiche da uno Stato membro.
- Cosa succede se opero in più paesi UE?
- Potresti essere soggetto alle leggi di recepimento nazionali di ciascuno Stato membro in cui operi. NIS2 introduce un modello di giurisdizione principale per alcune entità digitali, ma la maggior parte delle organizzazioni deve conformarsi ai requisiti specifici di ciascun paese.
Requisiti di conformità
- Quali sono i principali obblighi di conformità ai sensi di NIS2?
- NIS2 richiede alle organizzazioni di implementare misure di cybersicurezza basate sul rischio, stabilire capacità di rilevamento e risposta agli incidenti, garantire la sicurezza della catena di approvvigionamento, condurre valutazioni dei rischi regolari e fornire formazione al personale. Gli organi direttivi devono inoltre approvare e supervisionare tali misure.
- Quali obblighi di segnalazione degli incidenti impone NIS2?
- Gli incidenti significativi devono essere segnalati all’autorità competente in tre fasi: un preallarme entro 24 ore, una notifica dettagliata entro 72 ore e un rapporto finale entro un mese. La definizione di «significativo» dipende da fattori come la portata dell’interruzione del servizio e l’impatto sui dati.
- Il management è personalmente responsabile ai sensi di NIS2?
- Sì. NIS2 introduce la responsabilità personale per il top management. I membri del consiglio di amministrazione e i dirigenti possono essere ritenuti responsabili per la mancata garanzia della conformità, e gli Stati membri possono imporre divieti temporanei di gestione per violazioni ripetute.
- Ho bisogno di ISO 27001 per conformarmi a NIS2?
- ISO 27001 non è obbligatorio, ma fornisce una solida base. Molti requisiti NIS2 si sovrappongono ai controlli ISO 27001. NIS2 Pro include uno strumento di corrispondenza che mappa i risultati della valutazione ai controlli ISO 27001 pertinenti.
- Quali sono le sanzioni per la non conformità?
- Le entità essenziali rischiano sanzioni fino a 10 milioni di euro o il 2% del fatturato annuo globale (il valore più alto). Le entità importanti rischiano sanzioni fino a 7 milioni di euro o l’1,4% del fatturato globale. I singoli Stati membri possono imporre sanzioni aggiuntive.
Scadenze e tempistiche
- Qual è la scadenza per il recepimento di NIS2?
- Gli Stati membri dovevano recepire NIS2 nel diritto nazionale entro il 17 ottobre 2024. Alcuni paesi hanno rispettato questa scadenza; altri sono ancora in corso. Consulta la nostra pagina sullo stato di NIS2 per i progressi aggiornati per paese.
- Quando devo registrarmi presso l’autorità competente?
- Le scadenze per la registrazione variano da paese a paese. In molti Stati membri, le entità interessate devono registrarsi presso l’autorità competente nazionale entro un periodo specificato dopo l’entrata in vigore della legge di recepimento. Consulta la guida del tuo paese per i dettagli.
- Quanto spesso devo rivalutare la mia conformità NIS2?
- Consigliamo una rivalutazione almeno ogni 12 mesi, o ogni volta che c’è un cambiamento significativo nella tua organizzazione — come l’ingresso in un nuovo mercato, una trasformazione IT importante, un’acquisizione o un incidente di sicurezza.
Catena di approvvigionamento e terze parti
- Cosa richiede NIS2 per la sicurezza della catena di approvvigionamento?
- Le organizzazioni devono valutare e gestire i rischi di cybersicurezza lungo tutta la loro catena di approvvigionamento, compresi fornitori diretti e prestatori di servizi. Ciò include requisiti di sicurezza contrattuali, due diligence sui fornitori e monitoraggio del rischio di terze parti.
- Sono responsabile della conformità dei miei fornitori?
- Non sei direttamente responsabile di rendere i tuoi fornitori conformi a NIS2, ma devi valutare e gestire i rischi che introducono nelle tue operazioni. Se una debolezza di sicurezza di un fornitore causa un incidente che colpisce i tuoi servizi, rimani responsabile.
- NIS2 riguarda i fornitori di servizi cloud?
- Sì. I fornitori di servizi di cloud computing sono esplicitamente inclusi come entità importanti ai sensi di NIS2. Se fai affidamento su fornitori cloud, devi anche valutarli come parte della gestione dei rischi della catena di approvvigionamento.
Piattaforma NIS2 Pro
- Cosa fa NIS2 Pro?
- NIS2 Pro aiuta le organizzazioni a valutare il loro ambito NIS2, valutare la loro maturità in cybersicurezza, generare report di conformità, tracciare le azioni di miglioramento e gestire le rivalutazioni nel tempo. È progettato specificamente per le PMI che navigano i requisiti NIS2.
- NIS2 Pro sostituisce la consulenza legale?
- No. NIS2 Pro fornisce orientamento e strumenti per supportare il tuo percorso di conformità, ma non costituisce consulenza legale. Per interpretazioni legali vincolanti, consulta un professionista legale qualificato che conosce la legge di recepimento della tua giurisdizione.
- Posso gestire più aziende in NIS2 Pro?
- Sì. NIS2 Pro supporta più profili aziendali sotto un unico account. Questo è utile per le strutture di gruppo, i consulenti che gestiscono portafogli di clienti o le organizzazioni con filiali in diversi settori o paesi.
- Quali report posso generare?
- NIS2 Pro genera report di analisi dell’ambito, dettagli del punteggio di maturità, roadmap di miglioramento, sintesi per il consiglio di amministrazione, registri dei rischi, kit di risposta agli incidenti, report di corrispondenza ISO 27001 e report di confronto delle versioni — tutto esportabile in PDF o DOCX.
- Posso invitare membri del team?
- Sì. Puoi invitare colleghi a collaborare su un profilo aziendale con accesso basato sui ruoli: Admin, Contributor o Viewer. I membri del team ricevono un invito via email e possono accedere ai dati aziendali condivisi una volta accettato.
Prezzi e piani
- Come è tariffato NIS2 Pro?
- NIS2 Pro offre uno Scope Check una tantum a 10 € e tre livelli di abbonamento (Basic, Business, Business Plus) con fatturazione mensile o annuale. La tariffa dello Scope Check viene accreditata su un abbonamento se ti iscrivi entro 30 giorni. Visita la pagina dei prezzi per tutti i dettagli.
- Cosa include un abbonamento?
- Gli abbonamenti sbloccano la piattaforma completa: valutazioni illimitate, tutti i tipi di report, tracciamento dei miglioramenti, registro dei rischi, calendario di conformità, collaborazione del team, flussi di rivalutazione e accesso a tutte le guide per paese e settore.
- Posso cancellare il mio abbonamento?
- Sì. Puoi cancellare in qualsiasi momento dalla tua pagina account. Il tuo accesso continua fino alla fine del periodo di fatturazione corrente. Nessun dato viene eliminato alla cancellazione.
GDPR e protezione dei dati
- Come si relaziona NIS2 al GDPR?
- NIS2 e il GDPR sono regolamenti complementari ma distinti. Il GDPR si concentra sulla protezione dei dati personali, mentre NIS2 si concentra sulla sicurezza dei sistemi di rete e informazione. Un incidente può attivare obblighi in base a entrambi — ad esempio, una violazione dei dati che colpisce dati personali richiede la notifica GDPR insieme alla segnalazione dell’incidente NIS2.
- NIS2 Pro archivia i miei dati in modo sicuro?
- Sì. Tutti i dati sono archiviati in infrastruttura con sede nell’UE con crittografia a riposo e in transito. L’accesso è controllato tramite sessioni autenticate e permessi basati sui ruoli. Non condividiamo i tuoi dati di valutazione con terze parti.
- Posso esportare o eliminare i miei dati?
- Sì. Puoi esportare tutti i tuoi dati di valutazione e report in qualsiasi momento. Se desideri eliminare il tuo account e tutti i dati associati, contatta il nostro team di supporto e processeremo la richiesta in conformità con i requisiti del GDPR.
Nozioni di base su NIS2
Ambito e classificazione
Requisiti di conformità
Scadenze e tempistiche
Catena di approvvigionamento e terze parti
Piattaforma NIS2 Pro
Prezzi e piani
GDPR e protezione dei dati
Hai ancora domande?
Il nostro team è qui per aiutarti nella conformità NIS2.