Gli attacchi informatici sono aumentati del 60% negli ultimi cinque anni, con l’80% degli incidenti nel 2022 che ha causato danni gravi o molto gravi. In questo contesto, la normativa NIS2 rappresenta la risposta dell’Unione Europea per rafforzare la cybersecurity delle organizzazioni.
La direttiva NIS2, entrata in vigore il 16 gennaio 2023, coinvolgerà circa 110.000 entità in Europa, di cui 15.000 solo in Italia. In particolare, le organizzazioni dovranno adottare misure strutturate per la gestione del rischio informatico, con sanzioni che possono arrivare fino a 10 milioni di euro o al 2% del fatturato mondiale annuo per le inadempienze più gravi.
In questo articolo, analizzeremo in dettaglio i requisiti della normativa NIS2, dalla valutazione dei rischi fino al processo di certificazione, offrendo una guida pratica per le organizzazioni che devono adeguarsi entro ottobre 2024.
Il Quadro Normativo Europeo NIS2
La Direttiva NIS2 (Network and Information Security 2) costituisce la pietra angolare del quadro normativo europeo per la cybersicurezza. Questa normativa rappresenta un significativo avanzamento rispetto al precedente impianto legislativo, delineando un percorso più strutturato e rigoroso per proteggere le infrastrutture critiche e garantire la resilienza digitale delle organizzazioni.
Obiettivi della Direttiva (UE) 2022/2555
La Direttiva (UE) 2022/2555, pubblicata il 14 dicembre 2022, mira a stabilire un livello comune elevato di cybersicurezza in tutta l’Unione Europea. Innanzitutto, essa intende superare le carenze della precedente Direttiva NIS1 (2016/1148), che si era rivelata insufficiente di fronte all’espansione del panorama delle minacce informatiche e all’interconnessione crescente della società.
Gli obiettivi principali includono:
- Eliminare le divergenze tra Stati membri tramite norme minime per un quadro normativo coordinato
- Istituire meccanismi più efficaci di cooperazione tra autorità nazionali
- Aggiornare l’elenco dei settori e delle attività soggetti agli obblighi di cybersicurezza
- Prevedere misure di esecuzione efficaci per garantire l’applicazione degli obblighi
Un aspetto fondamentale della nuova direttiva è l’estensione dell’ambito di applicazione a una parte più ampia dell’economia. Infatti, la NIS2 supera la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali, considerata ormai obsoleta, per adottare un approccio più organico che rifletta l’importanza effettiva dei settori per le attività socioeconomiche europee.
Recepimento in Italia: D.Lgs. 138/2024
L’Italia ha recepito la Direttiva NIS2 con il Decreto Legislativo 4 settembre 2024, n. 138, pubblicato nella Gazzetta Ufficiale del 1° ottobre 2024. Il decreto è entrato in vigore il 16 ottobre 2024, ponendo le basi per un rafforzamento significativo della cybersicurezza nazionale.
Il D.Lgs. 138/2024 conferma l’Agenzia per la Cybersicurezza Nazionale (ACN) come Autorità nazionale competente NIS e Punto di contatto unico. Inoltre, identifica nove Ministeri come Autorità di settore che supportano l’attuazione della normativa con competenze specifiche, collaborando attraverso il Tavolo per l’attuazione della disciplina NIS presieduto da ACN.
Le principali novità del recepimento italiano includono:
- L’ampliamento del campo di applicazione a 18 settori, di cui 11 altamente critici e 7 critici
- La revisione del meccanismo di identificazione dei soggetti, basato sulla dimensione (size-cap rule), che estende l’applicazione a tutte le medie e grandi imprese nei settori identificati
- L’obbligo per tutti i soggetti pubblici e privati di registrarsi sulla piattaforma dell’ACN a partire dal 1° dicembre 2024
- Il rafforzamento dei poteri di supervisione e l’allineamento delle sanzioni a quelle previste dal GDPR
Per quanto riguarda le scadenze, le organizzazioni devono completare la registrazione sulla piattaforma dell’ACN entro il 28 febbraio 2025. Successivamente, entro il 31 marzo 2025, l’Agenzia comunicherà alle imprese l’eventuale inserimento nell’elenco dei soggetti NIS2.
Interazione con Altre Normative (GDPR, DORA, CRA)
La Direttiva NIS2 non opera isolatamente, ma si integra con altre normative europee per creare un ecosistema coerente di sicurezza informatica. Questa interazione è particolarmente rilevante con:
1. GDPR (Regolamento Generale sulla Protezione dei Dati): Mentre il GDPR si concentra sulla protezione dei dati personali, la NIS2 mira alla sicurezza delle reti e dei sistemi informativi. Entrambi presentano regimi sanzionatori significativi, con multe che possono raggiungere livelli elevati.
2. DORA (Digital Operational Resilience Act): Il Regolamento UE 2022/2554 è complementare alla NIS2, ma si focalizza specificamente sulla resilienza operativa digitale del settore finanziario. DORA entrerà in vigore il 17 gennaio 2025 e rappresenta l’unico atto giuridico settoriale che può applicarsi al posto della NIS2 per il settore finanziario, poiché prevede “misure almeno equivalenti”.
3. CRA (Cyber Resilience Act): Mentre la NIS2 si concentra sulla resilienza delle organizzazioni, il CRA propone un quadro normativo per la sicurezza dei prodotti digitali (hardware e software) durante tutto il loro ciclo di vita.
La Commissione Europea ha pubblicato orientamenti specifici per chiarire le relazioni tra la NIS2 e altri atti giuridici settoriali dell’Unione, facilitando così un’implementazione coordinata.
La convergenza di queste normative evidenzia l’approccio olistico dell’Unione Europea alla cybersicurezza, creando un sistema di norme interconnesse che mirano a proteggere l’infrastruttura digitale europea da minacce in continua evoluzione.
Architettura della Valutazione dei Rischi NIS2
La normativa NIS2 stabilisce un’architettura strutturata per la valutazione dei rischi informatici che va oltre il tradizionale approccio tecnico. L’articolo 21 della Direttiva, infatti, delinea un impianto metodologico completo per gestire efficacemente le minacce alla sicurezza delle reti e dei sistemi informativi.
Approccio Multi-Rischio per la Cybersecurity
Il cuore dell’architettura valutativa della normativa NIS2 risiede nell’approccio multi-rischio, che espande notevolmente la prospettiva tradizionale della cybersecurity. Secondo la direttiva, è necessario proteggere i sistemi informatici non solo dalle minacce digitali, ma anche da eventi quali “furti, incendi, inondazioni, problemi di telecomunicazione o interruzioni di corrente”.
Questo approccio richiede l’implementazione di valutazioni che considerino:
- La valutazione completa dei rischi con analisi regolari e approfondite
- I rischi fisici e ambientali che potrebbero compromettere i sistemi
- Le vulnerabilità legate alle risorse umane e ai processi interni
- La sicurezza della catena di approvvigionamento
In particolare, le aziende devono adottare una prospettiva che consideri il “grado di esposizione del soggetto a rischi, delle dimensioni del soggetto e della probabilità che si verifichino incidenti, nonché della loro gravità, compreso il loro impatto sociale ed economico”.
Metodologie di Threat Modeling
Il threat modeling rappresenta uno strumento essenziale per conformarsi efficacemente alla direttiva NIS2. Questa metodologia consente di identificare e mitigare le minacce in modo strutturato, evidenziando i rischi per la sicurezza in ordine di gravità.
Tra le metodologie più utilizzate troviamo:
- STRIDE: creato da Microsoft nel 1999, si concentra su sei aspetti chiave: spoofing, manomissione, ripudio, divulgazione di informazioni, negazione del servizio ed elevazione dei privilegi
- PASTA (Process for Attack Simulation and Threat Analysis)
- VAST (Visual, Agile e Simple Threat modeling)
Un aspetto fondamentale del threat modeling è che “deve diventare parte integrante della gestione dei rischi per la sicurezza delle informazioni”. Inoltre, è necessario coinvolgere tutte le figure professionali dell’organizzazione, non solo gli esperti di sicurezza informatica, poiché “ogni professionista offre una prospettiva unica in cui emergono dettagli che altrimenti sarebbero trascurati”.
Valutazione delle Vulnerabilità dei Sistemi Critici
La direttiva NIS2 richiede alle organizzazioni di implementare processi di valutazione delle vulnerabilità e penetration testing regolari. Come specificato nell’articolo 13 del Decreto NIS2, le aziende devono sviluppare “piani di continuità operativa che garantiscano la resilienza e il rapido recupero dei sistemi in caso di attacchi informatici su vasta scala”.
In particolare, le organizzazioni devono:
- Eseguire vulnerability assessment regolari per identificare le vulnerabilità nei sistemi
- Condurre penetration test periodici, con frequenza almeno semestrale per i fornitori di servizi essenziali
- Implementare un ciclo di vulnerability management efficace che includa l’identificazione, l’analisi e la risoluzione tempestiva delle vulnerabilità
La normativa stabilisce che “le organizzazioni identificate come soggetti essenziali o critici devono rispettare obblighi particolarmente stringenti in termini di sicurezza informatica”, richiedendo test di sicurezza più frequenti e approfonditi.
Analisi dell’Impatto sul Business (BIA)
Un elemento chiave nell’architettura della valutazione dei rischi secondo la normativa NIS2 è la Business Impact Analysis. La BIA rappresenta “il primo e necessario passaggio per affrontare efficacemente i temi di continuità operativa” e consente di analizzare l’impatto che un fermo dei processi operativi aziendali avrebbe sull’organizzazione.
L’obiettivo principale della BIA è comprendere:
- Le dipendenze dell’azienda da risorse critiche, inclusi sistemi IT e OT
- I tempi massimi di inoperatività accettabili
- L’impatto economico, normativo e reputazionale di un’interruzione
La BIA deve essere svolta “in modo coordinato con le attività di analisi dei rischi” per indirizzare efficacemente gli investimenti in sicurezza. È importante notare che “la valutazione e gestione del rischio deve essere portata avanti non solo con riguardo alla singola realtà produttiva delle aziende interessate, ma anche in riferimento ai prodotti e servizi forniti da terze parti”.
In conclusione, l’indice di rischio ottenuto dall’analisi “rappresenta l’unità numerica a fronte della quale occorre applicare le misure di mitigazione opportune”, fornendo così la base per l’implementazione delle misure tecniche, operative e organizzative richieste dalla normativa NIS2.
Strumenti e Tecnologie per la Conformità NIS2
La conformità alla normativa NIS2 richiede l’implementazione di strumenti tecnologici avanzati, capaci di proteggere efficacemente le infrastrutture critiche. Per le organizzazioni che devono adeguarsi a questi nuovi requisiti normativi, diventa fondamentale comprendere quali tecnologie adottare per garantire un elevato livello di protezione.
Soluzioni di Autenticazione Multi-Fattore
L’autenticazione multi-fattore (MFA) rappresenta uno strumento essenziale per la conformità NIS2, come esplicitamente richiesto dall’articolo 21, paragrafo 2(j) della direttiva. Questa tecnologia di protezione richiede agli utenti di verificare la propria identità attraverso due o più fattori distinti:
- Qualcosa che si conosce (password o PIN)
- Qualcosa che si possiede (smartphone o token hardware)
- Qualcosa che si è (impronte digitali o riconoscimento facciale)
L’assenza di soluzioni MFA espone i sistemi a significativi rischi di compromissione, rendendo gli account vulnerabili ad attacchi di phishing, brute force e furto di credenziali. Secondo studi recenti, l’implementazione dell’MFA può bloccare fino al 100% degli attacchi automatizzati e al 96% dei tentativi di phishing di massa.
La direttiva NIS2 promuove direttamente l’uso dell’MFA come misura di sicurezza informatica, ritenendola un elemento chiave per la gestione del rischio. Sebbene la normativa non renda obbligatoria l’adozione dell’MFA in tutti i casi, la sua inclusione tra gli elementi essenziali evidenzia l’importanza di tale controllo di sicurezza, in particolare per il controllo degli accessi e la riduzione dell’impatto delle credenziali compromesse.
Sistemi di Monitoraggio e Rilevamento
Il logging e il monitoraggio rivestono un ruolo fondamentale nell’ambito della sicurezza informatica, soprattutto in conformità alla direttiva NIS2. Queste attività forniscono un meccanismo cruciale per la raccolta, l’analisi e la gestione dei dati di sicurezza della rete, consentendo alle organizzazioni di individuare e rispondere prontamente alle minacce informatiche.
La direttiva richiede l’implementazione di sistemi di monitoraggio continuo che permettano di rilevare comportamenti sospetti o non autorizzati, permettendo di individuare rapidamente possibili violazioni della sicurezza. In particolare, è necessario:
- Stabilire criteri chiari per la registrazione delle attività della rete
- Utilizzare strumenti di logging e monitoraggio avanzati
- Incorporare il monitoraggio nelle procedure di risposta agli incidenti
Inoltre, l’articolo 34 del D.lgs. 138/2024 prescrive l’obbligo di condurre audit di sicurezza periodici e mirati, nonché scansioni di sicurezza, da parte di organismi indipendenti. Questa disposizione implica che le organizzazioni debbano eseguire audit periodici per rispondere alle richieste dell’Autorità nazionale competente NIS e prepararsi agli audit disposti dall’Autorità stessa.
Piattaforme di Gestione del Rischio Cyber
Per ottenere la conformità NIS2, le organizzazioni devono soddisfare diversi requisiti rigorosi progettati per migliorare la loro posizione di sicurezza informatica. Questi requisiti sono completi e coprono vari aspetti dell’infrastruttura IT, della governance e dei processi di gestione del rischio.
Le piattaforme di gestione del rischio cyber consentono di adottare un approccio strutturato alla gestione del rischio, assicurando che le potenziali minacce siano identificate e ridotte. Queste soluzioni tecnologiche permettono di:
- Valutare e affrontare regolarmente i rischi di cybersecurity
- Condurre valutazioni del rischio periodiche
- Sviluppare piani di trattamento del rischio efficaci
La valutazione e gestione del rischio deve essere portata avanti non solo con riguardo alla singola realtà produttiva delle aziende interessate, ma anche in riferimento ai prodotti e servizi forniti da terze parti.
Tecnologie per la Protezione della Supply Chain
La normativa NIS2 introduce una sfida critica per la sicurezza della supply chain, poiché la protezione di un’azienda è intrinsecamente legata alla sicurezza dei suoi fornitori e prestatori di servizi. Una catena è forte quanto il suo anello più debole, e una violazione presso un fornitore può mettere a rischio anche tutte le imprese a lui collegate.
L’ENISA, con la sua guida per la conformità alla NIS2, sottolinea come le entità che rientrano nel perimetro della normativa debbano sviluppare e applicare una rigorosa politica di sicurezza della supply chain. Questo implica identificare e comunicare il proprio ruolo nella catena e governare le relazioni con fornitori diretti e partner di servizi.
Per proteggere efficacemente la supply chain, le organizzazioni devono:
- Istituire e implementare una politica di sicurezza della catena di approvvigionamento
- Stabilire criteri per la selezione e la stipula di contratti con fornitori/prestatori di servizi
- Creare e mantenere un processo di monitoraggio dei fornitori durante l’intero ciclo di vita
- Mantenere aggiornato un elenco degli incidenti di sicurezza correlati all’interazione con fornitori
La direttiva impone che i contratti con i fornitori specifichino requisiti di cybersecurity, consapevolezza, competenze e formazione, oltre all’obbligo di notificare incidenti che presentano un rischio per la sicurezza. L’integrazione della Cyber Threat Intelligence aiuta ulteriormente a proteggere la catena di approvvigionamento, un aspetto cruciale per soddisfare i requisiti della direttiva NIS2.
Gestione Operativa degli Incidenti di Sicurezza
La gestione degli incidenti di sicurezza costituisce un pilastro fondamentale della normativa NIS2, con requisiti operativi ben definiti che le organizzazioni devono implementare. La direttiva impone un cambio di paradigma nella risposta agli eventi critici, passando da un approccio reattivo a uno proattivo e strutturato.
Procedure di Notifica entro 24 Ore
La direttiva NIS2 stabilisce tempistiche precise per la notifica degli incidenti significativi. Le comunicazioni al CSIRT devono avvenire attraverso un processo articolato in tre fasi:
- Notifica di preallarme entro 24 ore dalla conoscenza dell’incidente
- Aggiornamenti entro 72 ore con informazioni supplementari
- Relazione finale dettagliata entro un mese dall’evento
La notifica iniziale deve contenere una valutazione preliminare dell’incidente, inclusa la sua gravità e il potenziale impatto, nonché gli indicatori di compromissione disponibili. Questo processo è progettato per attenuare la potenziale diffusione degli incidenti e consentire alle organizzazioni di richiedere assistenza tempestiva.
Documentazione degli Incidenti Significativi
Identificare quali incidenti siano effettivamente “significativi” è essenziale per la corretta applicazione della normativa. Secondo il regolamento di esecuzione, un incidente è considerato significativo quando:
- Causa danni finanziari superiori a 500.000 euro o al 5% del fatturato annuo
- Comporta l’esfiltrazione di segreti commerciali
- Causa il decesso o danni considerevoli alla salute di una persona
- Provoca una grave perturbazione operativa dei servizi
Inoltre, anche gli incidenti ricorrenti, se verificati almeno due volte nell’arco di sei mesi e con la stessa causa apparente, possono essere considerati collettivamente come un unico incidente significativo.
Comunicazione con CSIRT e Autorità Competenti
Il processo di comunicazione con le autorità competenti richiede la designazione di un punto di contatto con competenze adeguate. Questo referente deve:
- Rivedere le informazioni ricevute dal CSIRT per rilevanza e urgenza
- Validare le informazioni con quelle in proprio possesso
- Collaborare con i team interni per sviluppare strategie di mitigazione
- Condividere approfondimenti sugli incidenti con il CSIRT
È importante notare che l’articolo 23 del decreto legislativo stabilisce che gli organi di amministrazione e gli organi direttivi dei soggetti NIS2 vengano tempestivamente informati degli incidenti, sottolineando l’importanza di una governance efficace nella gestione delle crisi.
Analisi Post-Incidente e Lesson Learned
Nonostante l’impegno nella prevenzione, gli attacchi e gli incidenti possono comunque verificarsi. Per questo motivo, l’analisi post-incidente assume un ruolo strategico nel framework NIS2. Le organizzazioni devono:
- Condurre revisioni post-incidente per identificare la causa principale degli eventi
- Documentare formalmente le lezioni apprese
- Sviluppare raccomandazioni per migliorare la postura di sicurezza
- Tradurre gli insegnamenti in aggiornamenti delle procedure di sicurezza
Questo approccio ciclico garantisce che ogni incidente diventi un’opportunità di apprendimento, contribuendo al miglioramento continuo delle pratiche di sicurezza dell’organizzazione e rafforzando la resilienza complessiva dell’infrastruttura digitale europea.
Strategie di Business Continuity e Disaster Recovery
La resilienza operativa rappresenta un elemento determinante nella normativa NIS2, richiedendo alle organizzazioni l’implementazione di strategie concrete per garantire la continuità dei servizi essenziali anche durante gravi incidenti informatici. La direttiva pone un’enfasi particolare su questo aspetto, considerandolo fondamentale per la sicurezza informatica complessiva.
Requisiti NIS2 per la Continuità Operativa
L’articolo 24, comma 2, lettera c) del decreto legislativo n.138 del 4 settembre 2024 delinea tre elementi fondamentali per la continuità operativa:
- Business Continuity e Disaster Recovery Plan
- Gestione dei backup e ridondanza
- Gestione delle crisi
La direttiva NIS2 prevede che le entità interessate stabiliscano e mantengano un piano di continuità aziendale basato sui risultati della valutazione del rischio. Secondo quanto stabilito, le aziende coinvolte devono adottare piani di ripristino rapido dei servizi essenziali per garantire la continuità operativa.
Sviluppo di Piani di Ripristino Efficaci
Per sviluppare piani di ripristino efficaci, è necessario definire metriche specifiche basate sui risultati della Business Impact Analysis (BIA):
- Recovery Time Objective (RTO): determina il tempo massimo consentito per il recupero delle risorse
- Recovery Point Objective (RPO): stabilisce la frequenza dei backup (ad esempio, ogni 5 minuti)
- Service Delivery Objective (SDO): indica il livello minimo di prestazioni durante l’elaborazione alternativa
Inoltre, è fondamentale documentare con precisione il piano di disaster recovery, considerando ogni asset critico. La normativa suggerisce di seguire la regola del backup 3-2-1: mantenere tre copie dei dati (l’originale più due backup), su due diversi tipi di supporti, con una copia conservata fuori sede.
Test e Simulazioni di Scenari di Crisi
I piani di continuità aziendale e di disaster recovery devono essere testati periodicamente, con una frequenza di almeno una volta all’anno. Questa pratica è essenziale poiché, come evidenziato dalle esercitazioni tabletop, consente di “simulare la risposta di un’organizzazione a diversi scenari di minaccia rilevanti”.
Le simulazioni devono considerare diverse tipologie di scenari, verificando il recupero di singoli file, interi database e sistemi completi per identificare possibili debolezze. Dopo ogni sessione di test, è necessario documentare e analizzare il tempo impiegato, l’accuratezza del ripristino e le difficoltà incontrate per migliorare costantemente il processo.
Pertanto, le esercitazioni tabletop costituiscono uno strumento prezioso per preparare le diverse funzioni aziendali alla gestione delle crisi cyber, incrementando la consapevolezza delle risorse e la resilienza operativa in risposta a minacce significative.
Roadmap verso la Certificazione di Conformità
Il percorso verso la conformità alla normativa NIS2 culmina in un processo strutturato di certificazione, che rappresenta la validazione formale degli sforzi compiuti dalle organizzazioni. Questo iter richiede una pianificazione accurata e una comprensione approfondita delle tempistiche e dei requisiti previsti.
Fasi del Processo di Certificazione
Innanzitutto, le organizzazioni devono completare la registrazione sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN) tra il 1° dicembre 2024 e il 28 febbraio 2025. Successivamente, entro il 17 aprile 2025, l’ACN comunicherà l’inclusione nell’elenco dei soggetti essenziali o importanti.
Il percorso di certificazione prosegue con:
- Completamento dell’autovalutazione iniziale
- Implementazione delle misure di sicurezza richieste, con termine di adempimento che decorre 9 mesi dopo la ricezione della comunicazione di inserimento nell’elenco
- Sottoposizione ad audit periodici e mirati da parte di organismi indipendenti
In particolare, per i soggetti essenziali è previsto un regime di vigilanza completo con controlli sia preventivi (ex ante) che successivi (ex post), mentre per i soggetti importanti si applica un regime più leggero, solo ex post.
Selezione dell’Organismo di Certificazione
La scelta dell’organismo di certificazione rappresenta un passaggio cruciale nel processo di conformità. Gli Stati membri possono imporre ai soggetti essenziali e importanti di utilizzare determinati prodotti, servizi e processi ICT certificati nell’ambito dei sistemi europei per la cybersicurezza.
Pertanto, è fondamentale verificare che l’organismo selezionato:
- Sia riconosciuto dalle autorità competenti nazionali
- Abbia esperienza specifica nel settore di appartenenza
- Disponga delle competenze necessarie per valutare le misure di sicurezza implementate
Costi e Benefici della Certificazione NIS2
L’adeguamento alla direttiva NIS2 comporta investimenti significativi. Secondo uno studio d’impatto, le aziende aumenteranno le spese in materia di sicurezza informatica del 22% nei primi anni dopo l’implementazione. Questo incremento dei costi operativi è necessario per garantire una protezione adeguata contro le crescenti minacce informatiche.
Inoltre, i benefici della certificazione includono:
- Riduzione del rischio di incorrere in sanzioni che possono raggiungere 10 milioni di euro o il 2% del fatturato mondiale annuo per le entità essenziali
- Miglioramento della postura di sicurezza complessiva
- Protezione della reputazione aziendale
- Vantaggio competitivo nel mercato, specialmente nei settori regolamentati
Conclusioni
La direttiva NIS2 rappresenta un cambiamento fondamentale nell’approccio alla cybersicurezza delle organizzazioni europee. Attraverso requisiti rigorosi e strutturati, questa normativa stabilisce standard elevati per proteggere le infrastrutture critiche e garantire la resilienza digitale.
L’architettura della valutazione dei rischi, gli strumenti tecnologici necessari, le procedure di gestione degli incidenti e i piani di continuità operativa costituiscono elementi essenziali per raggiungere la conformità. Certamente, le organizzazioni devono considerare questi aspetti come parti interconnesse di un sistema integrato di sicurezza informatica.
Le scadenze stabilite dalla normativa richiedono azioni immediate. Entro febbraio 2025, tutte le organizzazioni coinvolte dovranno completare la registrazione sulla piattaforma dell’ACN. Successivamente, avranno nove mesi per implementare le misure di sicurezza richieste e prepararsi agli audit di conformità.
Gli investimenti necessari per l’adeguamento alla NIS2 porteranno benefici significativi: maggiore protezione contro le minacce informatiche, riduzione del rischio di sanzioni e rafforzamento della posizione competitiva nel mercato. La certificazione di conformità rappresenta quindi non solo un obbligo normativo, ma un’opportunità strategica per migliorare la sicurezza e la resilienza aziendale.
