Question 1

Cos’è la Direttiva NIS2?

Accepted Answer

NIS2 (Direttiva sulla sicurezza delle reti e dell’informazione 2) è un regolamento europeo sulla cybersicurezza che stabilisce obblighi di base in materia di sicurezza e segnalazione degli incidenti per le organizzazioni che operano in settori critici e importanti. Sostituisce la Direttiva NIS originale adottata nel 2016.

Question 2

Quando è entrata in vigore NIS2?

Accepted Answer

La direttiva è entrata in vigore il 16 gennaio 2023. Gli Stati membri dell’UE dovevano recepirla nel diritto nazionale entro il 17 ottobre 2024. Le tempistiche di applicazione variano da paese a paese.

Question 3

Quali settori copre NIS2?

Accepted Answer

NIS2 copre 18 settori suddivisi in due gruppi. I settori essenziali includono energia, trasporti, settore bancario, sanità, acqua, infrastruttura digitale, gestione dei servizi ICT, pubblica amministrazione e spazio. I settori importanti includono servizi postali, gestione dei rifiuti, prodotti chimici, alimentare, manifattura, fornitori digitali e ricerca.

Question 4

Qual è la differenza tra entità essenziali e importanti?

Accepted Answer

Le entità essenziali sono soggette a requisiti di vigilanza più rigorosi, inclusi audit e ispezioni proattivi. Le entità importanti sono soggette a una vigilanza reattiva, generalmente attivata da prove di non conformità. Entrambe devono soddisfare gli stessi obblighi di sicurezza di base.

Question 5

NIS2 si applica alle aziende fuori dall’UE?

Accepted Answer

Sì. Se la tua organizzazione fornisce servizi all’interno dell’UE — anche se ha sede altrove — NIS2 potrebbe applicarsi. Le entità extra-UE devono designare un rappresentante in uno degli Stati membri in cui operano.

Question 6

Come faccio a sapere se la mia organizzazione rientra nell’ambito?

Accepted Answer

NIS2 si applica alle organizzazioni di medie e grandi dimensioni nei 18 settori coperti. Le soglie generali sono 50+ dipendenti o 10 milioni di euro+ di fatturato annuo. Alcuni tipi di entità — come i fornitori DNS e i fornitori di servizi fiduciari — rientrano nell’ambito indipendentemente dalle dimensioni.

Question 7

Cosa fa lo Scope Check di NIS2 Pro?

Accepted Answer

La nostra valutazione Scope Check pone domande mirate sul tuo settore, dimensioni, operazioni e dipendenze digitali per determinare se NIS2 si applica probabilmente alla tua organizzazione e se saresti classificato come essenziale o importante.

Question 8

Una piccola azienda può rientrare in NIS2?

Accepted Answer

In generale, le organizzazioni al di sotto delle soglie dimensionali sono escluse. Tuttavia, alcune categorie rientrano nell’ambito indipendentemente dalle dimensioni — ad esempio, i fornitori di servizi DNS, i registri TLD, i fornitori di servizi fiduciari e le entità identificate come critiche da uno Stato membro.

Question 9

Cosa succede se opero in più paesi UE?

Accepted Answer

Potresti essere soggetto alle leggi di recepimento nazionali di ciascuno Stato membro in cui operi. NIS2 introduce un modello di giurisdizione principale per alcune entità digitali, ma la maggior parte delle organizzazioni deve conformarsi ai requisiti specifici di ciascun paese.

Question 10

Quali sono i principali obblighi di conformità ai sensi di NIS2?

Accepted Answer

NIS2 richiede alle organizzazioni di implementare misure di cybersicurezza basate sul rischio, stabilire capacità di rilevamento e risposta agli incidenti, garantire la sicurezza della catena di approvvigionamento, condurre valutazioni dei rischi regolari e fornire formazione al personale. Gli organi direttivi devono inoltre approvare e supervisionare tali misure.

Question 11

Quali obblighi di segnalazione degli incidenti impone NIS2?

Accepted Answer

Gli incidenti significativi devono essere segnalati all’autorità competente in tre fasi: un preallarme entro 24 ore, una notifica dettagliata entro 72 ore e un rapporto finale entro un mese. La definizione di «significativo» dipende da fattori come la portata dell’interruzione del servizio e l’impatto sui dati.

Question 12

Il management è personalmente responsabile ai sensi di NIS2?

Accepted Answer

Sì. NIS2 introduce la responsabilità personale per il top management. I membri del consiglio di amministrazione e i dirigenti possono essere ritenuti responsabili per la mancata garanzia della conformità, e gli Stati membri possono imporre divieti temporanei di gestione per violazioni ripetute.

Question 13

Ho bisogno di ISO 27001 per conformarmi a NIS2?

Accepted Answer

ISO 27001 non è obbligatorio, ma fornisce una solida base. Molti requisiti NIS2 si sovrappongono ai controlli ISO 27001. NIS2 Pro include uno strumento di corrispondenza che mappa i risultati della valutazione ai controlli ISO 27001 pertinenti.

Question 14

Quali sono le sanzioni per la non conformità?

Accepted Answer

Le entità essenziali rischiano sanzioni fino a 10 milioni di euro o il 2% del fatturato annuo globale (il valore più alto). Le entità importanti rischiano sanzioni fino a 7 milioni di euro o l’1,4% del fatturato globale. I singoli Stati membri possono imporre sanzioni aggiuntive.

Question 15

Qual è la scadenza per il recepimento di NIS2?

Accepted Answer

Gli Stati membri dovevano recepire NIS2 nel diritto nazionale entro il 17 ottobre 2024. Alcuni paesi hanno rispettato questa scadenza; altri sono ancora in corso. Consulta la nostra pagina sullo stato di NIS2 per i progressi aggiornati per paese.

Question 16

Quando devo registrarmi presso l’autorità competente?

Accepted Answer

Le scadenze per la registrazione variano da paese a paese. In molti Stati membri, le entità interessate devono registrarsi presso l’autorità competente nazionale entro un periodo specificato dopo l’entrata in vigore della legge di recepimento. Consulta la guida del tuo paese per i dettagli.

Question 17

Quanto spesso devo rivalutare la mia conformità NIS2?

Accepted Answer

Consigliamo una rivalutazione almeno ogni 12 mesi, o ogni volta che c’è un cambiamento significativo nella tua organizzazione — come l’ingresso in un nuovo mercato, una trasformazione IT importante, un’acquisizione o un incidente di sicurezza.

Question 18

Cosa richiede NIS2 per la sicurezza della catena di approvvigionamento?

Accepted Answer

Le organizzazioni devono valutare e gestire i rischi di cybersicurezza lungo tutta la loro catena di approvvigionamento, compresi fornitori diretti e prestatori di servizi. Ciò include requisiti di sicurezza contrattuali, due diligence sui fornitori e monitoraggio del rischio di terze parti.

Question 19

Sono responsabile della conformità dei miei fornitori?

Accepted Answer

Non sei direttamente responsabile di rendere i tuoi fornitori conformi a NIS2, ma devi valutare e gestire i rischi che introducono nelle tue operazioni. Se una debolezza di sicurezza di un fornitore causa un incidente che colpisce i tuoi servizi, rimani responsabile.

Question 20

NIS2 riguarda i fornitori di servizi cloud?

Accepted Answer

Sì. I fornitori di servizi di cloud computing sono esplicitamente inclusi come entità importanti ai sensi di NIS2. Se fai affidamento su fornitori cloud, devi anche valutarli come parte della gestione dei rischi della catena di approvvigionamento.

Question 21

Cosa fa NIS2 Pro?

Accepted Answer

NIS2 Pro aiuta le organizzazioni a valutare il loro ambito NIS2, valutare la loro maturità in cybersicurezza, generare report di conformità, tracciare le azioni di miglioramento e gestire le rivalutazioni nel tempo. È progettato specificamente per le PMI che navigano i requisiti NIS2.

Question 22

NIS2 Pro sostituisce la consulenza legale?

Accepted Answer

No. NIS2 Pro fornisce orientamento e strumenti per supportare il tuo percorso di conformità, ma non costituisce consulenza legale. Per interpretazioni legali vincolanti, consulta un professionista legale qualificato che conosce la legge di recepimento della tua giurisdizione.

Question 23

Posso gestire più aziende in NIS2 Pro?

Accepted Answer

Sì. NIS2 Pro supporta più profili aziendali sotto un unico account. Questo è utile per le strutture di gruppo, i consulenti che gestiscono portafogli di clienti o le organizzazioni con filiali in diversi settori o paesi.

Question 24

Quali report posso generare?

Accepted Answer

NIS2 Pro genera report di analisi dell’ambito, dettagli del punteggio di maturità, roadmap di miglioramento, sintesi per il consiglio di amministrazione, registri dei rischi, kit di risposta agli incidenti, report di corrispondenza ISO 27001 e report di confronto delle versioni — tutto esportabile in PDF o DOCX.

Question 25

Posso invitare membri del team?

Accepted Answer

Sì. Puoi invitare colleghi a collaborare su un profilo aziendale con accesso basato sui ruoli: Admin, Contributor o Viewer. I membri del team ricevono un invito via email e possono accedere ai dati aziendali condivisi una volta accettato.

Question 26

Come è tariffato NIS2 Pro?

Accepted Answer

NIS2 Pro offre uno Scope Check una tantum a 10 € e tre livelli di abbonamento (Basic, Business, Business Plus) con fatturazione mensile o annuale. La tariffa dello Scope Check viene accreditata su un abbonamento se ti iscrivi entro 30 giorni. Visita la pagina dei prezzi per tutti i dettagli.

Question 27

Cosa include un abbonamento?

Accepted Answer

Gli abbonamenti sbloccano la piattaforma completa: valutazioni illimitate, tutti i tipi di report, tracciamento dei miglioramenti, registro dei rischi, calendario di conformità, collaborazione del team, flussi di rivalutazione e accesso a tutte le guide per paese e settore.

Question 28

Posso cancellare il mio abbonamento?

Accepted Answer

Sì. Puoi cancellare in qualsiasi momento dalla tua pagina account. Il tuo accesso continua fino alla fine del periodo di fatturazione corrente. Nessun dato viene eliminato alla cancellazione.

Question 29

Come si relaziona NIS2 al GDPR?

Accepted Answer

NIS2 e il GDPR sono regolamenti complementari ma distinti. Il GDPR si concentra sulla protezione dei dati personali, mentre NIS2 si concentra sulla sicurezza dei sistemi di rete e informazione. Un incidente può attivare obblighi in base a entrambi — ad esempio, una violazione dei dati che colpisce dati personali richiede la notifica GDPR insieme alla segnalazione dell’incidente NIS2.

Question 30

NIS2 Pro archivia i miei dati in modo sicuro?

Accepted Answer

Sì. Tutti i dati sono archiviati in infrastruttura con sede nell’UE con crittografia a riposo e in transito. L’accesso è controllato tramite sessioni autenticate e permessi basati sui ruoli. Non condividiamo i tuoi dati di valutazione con terze parti.

Question 31

Posso esportare o eliminare i miei dati?

Accepted Answer

Sì. Puoi esportare tutti i tuoi dati di valutazione e report in qualsiasi momento. Se desideri eliminare il tuo account e tutti i dati associati, contatta il nostro team di supporto e processeremo la richiesta in conformità con i requisiti del GDPR.

Domande frequenti

Nozioni di base su NIS2

Ambito e classificazione

Requisiti di conformità

Scadenze e tempistiche

Catena di approvvigionamento e terze parti

Piattaforma NIS2 Pro

Prezzi e piani

GDPR e protezione dei dati

Hai ancora domande?