NIS2: tutto quello che devi sapere sulla normativa sulla cybersecurity e l'acquisto di software
NIS2 è la più grande normativa europea sulla cybersecurity degli ultimi anni. Per le organizzazioni nei settori critici cambiano molte cose, anche nell'ambito dell'acquisto di software e della gestione dei fornitori. Ecco tutto quello che devi sapere.
- 15 gennaio 2025
- 5 min
- NIS2 – Direttiva sulla sicurezza informatica
La direttiva NIS2 è la più grande normativa europea sulla cybersecurity degli ultimi anni. Ha un ambito molto ampio, applicazione severa ed è direttamente rilevante per chiunque sia responsabile degli acquisti di software in un'organizzazione. Ecco cosa devi sapere.
Cos'è NIS2?
NIS2 sta per Network and Information Security Directive 2, il successore della direttiva NIS originale del 2016. La direttiva obbliga le organizzazioni in settori critici a rafforzare strutturalmente la loro resilienza digitale. NIS2 sarà in vigore in Europa dal 17 ottobre 2024. L'implementazione olandese tramite la Legge sulla Cybersecurity è prevista per il secondo trimestre del 2026.
A chi si applica NIS2?
NIS2 si applica alle organizzazioni in 18 settori critici, suddivisi in entità essenziali e importanti. Pensa a: energia, trasporti, sanità, acqua, infrastrutture digitali, servizi finanziari, pubblica amministrazione e altro. Anche i fornitori di queste organizzazioni possono rientrare indirettamente nella legge attraverso l'obbligo di cura nella catena di fornitura.
Quali sono i cambiamenti rispetto a NIS1?
Le principali modifiche sono:
Copertura più ampia: Molti più settori e organizzazioni ora ricadono sotto la direttiva
Responsabilità personale: I dirigenti sono responsabili della conformità e possono essere ritenuti personalmente responsabili
Multe più elevate: Fino a 10 milioni di euro o il 2% del fatturato mondiale annuo per le entità essenziali
Obbligo di cura nella catena di fornitura: Le organizzazioni devono controllare anche la sicurezza dei propri fornitori
Obbligo di segnalazione: Gli incidenti devono essere segnalati entro 24 ore al CSIRT
Cosa significa NIS2 per l'acquisto di software?
L'obbligo di cura nella catena di fornitura è l'impatto più diretto sull'acquisto di software. Le organizzazioni sono obbligate a:
Mantenere un elenco aggiornato di tutti i fornitori ICT e software
Stipulare accordi contrattuali sulla sicurezza con tutti i fornitori rilevanti
Valutare periodicamente la sicurezza dei fornitori
Stabilire procedure di escalation degli incidenti con i fornitori di software critici
Senza una panoramica strutturata del software, la conformità a NIS2 non è possibile. SoftVaro aiuta le organizzazioni a creare questa panoramica come punto di partenza per la conformità.
Domande frequenti
Le domande più frequenti su questo argomento.
Che rapporto ha NIS2 con l'acquisto di software?
NIS2 obbliga le organizzazioni a mantenere un elenco aggiornato di tutto il software e i fornitori ICT, comprensivo di accordi contrattuali sulla sicurezza. Senza questo elenco non si è conformi.
Quando entra in vigore NIS2 nei Paesi Bassi?
La Legge sulla Cybersecurity (implementazione olandese di NIS2) è prevista per il secondo trimestre del 2026. Le organizzazioni devono essere conformi non appena la legge entra in vigore.
Quali sono le sanzioni per il mancato rispetto di NIS2?
Le entità essenziali rischiano multe fino a 10 milioni di euro o il 2% del fatturato mondiale annuo. Le entità importanti fino a 7 milioni di euro o l'1,4% del fatturato annuo. I dirigenti possono essere ritenuti personalmente responsabili.
Pronto a risparmiare sul software?
SoftVaro negozia per te l’offerta migliore con oltre 4.000 fornitori. Indipendente, trasparente, in 24 ore.