Come soddisfare i requisiti NIS2 con moderne soluzioni di rete e sicurezza
15/07/2025 di News Team
La necessità di rafforzare la sicurezza informatica è innegabile. Secondo gli esperti di dati globali di Statista, il crimine informatico si colloca sempre più tra i reati più diffusi e dannosi del nostro tempo. In risposta a questa crescente minaccia, l'Unione Europea (UE) ha aggiornato la direttiva NIS2 per affrontare meglio il complesso panorama della sicurezza informatica odierno e garantire una protezione più ampia per le aziende e le organizzazioni.
1. Che cos'è la direttiva NIS2?
La NIS2 è una modifica della direttiva sulla sicurezza delle reti e dell'informazione (NIS), che mira a elevare il livello di sicurezza informatica negli Stati membri dell'UE e a rendere l'Unione europea più resiliente alla criminalità informatica.
Con i nuovi requisiti NIS2 per le aziende, più settori dovranno analizzare le proprie misure di sicurezza e adattarsi a standard di sicurezza più severi. Dovranno migliorare la risposta agli incidenti e rafforzare la condivisione dell'intelligence tra gli Stati membri. L'obiettivo è quello di creare un livello di sicurezza informatica unificato e più forte. Tuttavia, la direttiva NIS2 non richiede necessariamente una revisione completa delle misure di sicurezza informatica esistenti. In molti casi, si tratta di perfezionare aree specifiche e migliorare le procedure esistenti. Le aziende potrebbero anche sottoutilizzare gli strumenti già a loro disposizione, in particolare nel cloud. Prima di investire in nuovi sistemi, è importante considerare come le soluzioni attuali possono essere rafforzate.
Rispetto alla direttiva originale, la NIS2 è più solida del suo predecessore e ha un impatto su una gamma più ampia di settori, tra cui i produttori di prodotti critici, la pubblica amministrazione e lo spazio. Introduce un sistema a due livelli, che classifica le organizzazioni come "entità essenziali" (allegato I) o "entità importanti" (allegato II), con obblighi, livelli di supervisione e sanzioni diversi in base a tale classificazione. Inoltre, la direttiva NIS2 impone misure di sicurezza più severe e sanzioni significativamente più elevate per garantire la conformità. Inoltre, sposta la responsabilità dai dipartimenti IT alla leadership senior, con i dirigenti che potrebbero dover affrontare divulgazioni pubbliche o divieti di ruoli futuri se trovati non conformi.
Sebbene la direttiva NIS2 stabilisca una base di riferimento per i requisiti di sicurezza informatica, è importante notare che i legislatori locali di ciascuno Stato membro dell'UE hanno l'autorità di rafforzare la direttiva o di ampliarne l'ambito di applicazione. Ad esempio, possono imporre ulteriori responsabilità o ampliare i settori a cui si applicherà la direttiva. Gli Stati membri dell'UE avevano tempo fino al 17 ottobre 2024 per integrare la NIS2 nelle rispettive legislazioni nazionali. Ciò ha richiesto a ogni Stato di sviluppare e pubblicare i propri piani di conformità. Ora, i singoli paesi stanno stabilendo scadenze specifiche per le organizzazioni all'interno dei loro confini. Di conseguenza, non esiste una scadenza per la conformità a livello dell'UE. Le tempistiche variano da paese a paese, con la maggior parte delle scadenze previste nel 2025 e alcune che si estendono fino all'inizio del 2026.
2. Applicabilità di NIS2: chi è interessato?
Circa 160.000 organizzazioni in tutta l'Unione Europea sono interessate dalla direttiva NIS2. La questione di quale tipo di società sia soggetta alla direttiva NIS2 è determinata dal settore in cui operano e dalle loro dimensioni.
Classificazione del settore:
- Entità essenziali: organizzazioni cruciali per la manutenzione di infrastrutture e servizi critici. Le perturbazioni potrebbero avere gravi conseguenze per la società e l'economia.
- Entità importanti: organizzazioni che forniscono servizi importanti che sono meno critici delle "entità essenziali". La loro interruzione potrebbe avere un impatto considerevole.
| Entità essenziali | Entità importanti |
|---|---|
| Energia, Trasporti, Banche, Infrastrutture dei mercati finanziari, Salute, Acqua potabile, Acque reflue, Infrastrutture digitali, Gestione dei servizi ICT (B2B), Pubblica amministrazione, Spazio | |
| Prodotti chimici, Fornitori digitali, Servizi postali e di corriere, Gestione dei rifiuti, Alimentare (produzione, trasformazione, distribuzione), Produzione, Ricerca | |
| Energia, Trasporti, Banche, Infrastrutture dei mercati finanziari, Salute, Acqua potabile, Acque reflue, Infrastrutture digitali, Gestione dei servizi ICT (B2B), Pubblica amministrazione, Spazio | Prodotti chimici, Fornitori digitali, Servizi postali e di corriere, Gestione dei rifiuti, Alimentare (produzione, trasformazione, distribuzione), Produzione, Ricerca |
Criteri di dimensione:
- Micro: >10 dipendenti e > 2 milioni di euro di fatturato o bilancio
- Medio: >50 dipendenti e > 10 milioni di euro di fatturato o bilancio
- Grande: >250 dipendenti e > 50 milioni di euro di fatturato o > 43 milioni di euro di bilancio
Per essere soggetta alla NIS2, un'entità deve soddisfare sia criteri settoriali che dimensionali.
3. Obiettivi e obblighi principali
I nuovi requisiti NIS2 mirano a rafforzare la resilienza degli Stati membri dell'UE contro le minacce alla cibersicurezza. Gli obiettivi sono concepiti per garantire che i servizi essenziali forniti dalle imprese e dalle autorità pubbliche siano meglio protetti da interferenze dolose, perdita di dati e interruzioni operative.
La direttiva definisce gli obblighi e la supervisione in base alla categorizzazione di un'organizzazione:
- Entità essenziali: devono rispettare l'intero ambito di applicazione del NIS2, sottoporsi a supervisione proattiva (ex ante), segnalare gli incidenti al CSIRT entro il periodo di tempo specificato e condurre audit indipendenti.
- Entità importanti: devono implementare misure di sicurezza basate sul rischio in modo indipendente e verificarle attraverso l'autovalutazione. Sono soggetti a una supervisione reattiva (ex post), con l'adozione di misure in caso di incidenti o non conformità.
Le aziende possono garantire la conformità NIS2 implementando rigorose misure di sicurezza informatica, tra cui:
- Gestione del rischio e politiche di sicurezza
- Segnalazione degli incidenti (entro 24 ore, rapporto completo entro 72 ore)
- Business Continuity e gestione delle crisi
- Sicurezza della catena di approvvigionamento
- Responsabilità del management
Con NIS2, la sicurezza informatica diventa una priorità a livello di consiglio di amministrazione. La leadership deve supervisionare attivamente la conformità e la gestione del rischio, garantendo che i propri servizi e quelli dei propri fornitori soddisfino standard rigorosi.
Più che adattarsi alle nuove normative, le aziende dovrebbero cercare di promuovere una cultura della sicurezza, in cui i dipendenti a tutti i livelli dell'azienda siano attivamente impegnati nella salvaguardia sia delle operazioni che dei dati.
4. Responsabilità e sanzioni
La direttiva NIS2 definisce diverse sanzioni per un'organizzazione che non rispetta i suoi requisiti. La responsabilità comprende tutti, dai professionisti IT ai dirigenti senior. Ciò significa che i senior manager devono garantire una gestione e una supervisione efficaci del rischio.
La non conformità può avere un grave impatto sulle aziende, tra cui:
- Perturbazioni finanziarie: multe, obbligo di investimenti in titoli
- Interruzione dell'attività: l'attenzione è stata dirottata su conformità, monitoraggio normativo, sospensioni delle licenze
- Danni alla reputazione: obblighi di divulgazione al pubblico
- Conseguenze esecutive: multe, responsabilità penale e divieti di ruolo
Le sanzioni pecuniarie che possono essere irrogate in caso di inosservanza sono:
- Fino a 10 milioni di euro, pari al 2% del reddito annuo dell'azienda in tutto il mondo, per le entità essenziali
- Fino a 7 milioni di euro, pari all' 1,4% del reddito annuo della società in tutto il mondo, per entità importanti
5. Passaggi per ottenere la conformità NIS2
Capire se la tua organizzazione è classificata come entità essenziale o importante ai sensi della Direttiva NIS2 è fondamentale. Per rendere il processo più gestibile e per soddisfare i requisiti NIS2, concentrarsi su tre aree chiave:
- Servizi di consulenza e di processo: soddisfare le esigenze tecniche di sicurezza, stabilire politiche e procedure complete e implementare modifiche operative per la conformità.
- Tecnologia e soluzioni/servizi gestiti: implementa strumenti di sicurezza avanzati, fornisci monitoraggio e aggiornamenti continui e supporta la conformità con l'applicazione automatizzata.
- Monitoraggio e convalida della sicurezza: monitora continuamente i sistemi, convalida le misure di sicurezza attraverso test e audit e garantisci la segnalazione tempestiva degli incidenti.
Concentrandoti su questi tre elementi, puoi semplificare il tuo approccio alla conformità NIS2 e rafforzare la resilienza della tua organizzazione.
6. In che modo Deutsche Telekom aiuta le aziende a soddisfare i requisiti NIS2
Ora è il momento per le aziende di valutare le proprie strategie di sicurezza informatica e agire. Ci sono alcuni semplici primi passi che le aziende possono intraprendere, come nominare un responsabile della sicurezza informatica, stabilire politiche e responsabilità chiare e condurre un audit di sicurezza informatica all'interno dell'azienda.
Indipendentemente dall'approccio adottato, è importante tenere presente che la direttiva NIS2 non riguarda solo l'imposizione di ulteriori normative alle aziende. Invece, si tratta di aiutare le organizzazioni a proteggere i propri dati e il proprio business, che dovrebbe essere una priorità assoluta per quasi tutte le aziende.
Le soluzioni di Deutsche Telekom sono in linea con tutti i requisiti NIS2 pertinenti, fornendo una solida base per la conformità per impostazione predefinita. Tra queste, SD-WAN (Software-Defined Wide Area Networking) e SASE (Secure Access Service Edge) si distinguono come potenti abilitatori per le organizzazioni che mirano a soddisfare i requisiti di sicurezza informatica della direttiva.
Una solida base per una rete sicura, scalabile e gestita centralmente, come quella fornita da queste tecnologie, è fondamentale per soddisfare i requisiti di NIS2 per la gestione del rischio, l'accesso sicuro e la visibilità della rete.
- SD-WAN garantisce una connettività resiliente e crittografata e un controllo centralizzato in ambienti distribuiti.
- SASE offre funzioni di sicurezza native per il cloud come Zero Trust Network Access (ZTNA), Secure Web Gateway e Cloud Access Security Brokers, tutti essenziali per proteggere i dati e gli utenti in un mondo di lavoro ibrido.
Ma la conformità non si ferma all'architettura, ma richiede l'eccellenza operativa. È qui che l'esperienza di Deutsche Telekom in materia di sicurezza informatica completa il quadro. Con il più grande Cyber Defense and Security Operations Center (SOC) d'Europa che monitora oltre un miliardo di punti dati al giorno, Deutsche Telekom fornisce il rilevamento delle minacce 24 ore su 24, 7 giorni su 7, la risposta agli incidenti e la gestione delle vulnerabilità.
I servizi di sicurezza informatica includono test di penetrazione automatizzati, audit di conformità e formazione sulla consapevolezza della sicurezza, che supportano direttamente i mandati di NIS2 per le misure tecniche e organizzative.
Insieme, SD-WAN e SSE, le parti di rete e sicurezza di SASE, convergono in un'architettura completa e nativa per il cloud che non solo aiuta le organizzazioni a soddisfare gli obblighi NIS2, ma consente loro anche di costruire un futuro digitale più sicuro e resiliente.
La tabella seguente illustra come i componenti SASE chiave supportino direttamente specifici requisiti di conformità NIS2, in particolare in aree come il controllo degli accessi, la prevenzione delle minacce e la sicurezza del cloud.
| Funzionalità SASE | Requisito NIS2 soddisfatto | Articolo NIS2 pertinente |
|---|---|---|
| Zero Trust Network Access (ZTNA)Cloud-delivered Firewall as a Service (FWaaS)Secure Web Gateway (SWG)Cloud Access Security Broker (CASB)Integrazione dell'intelligence sulle minacceMonitoraggio e registrazione continui | ||
| Controllo degli accessi basato sull'identità, segmentazionefornito dal cloud Difesa perimetrale, prevenzione delle minacceFiltraggio dei contenuti, blocco del malwareVisibilità cloud, applicazione della conformitàVisibilità cloud, applicazione della conformitàVisibilità cloud, applicazione della conformità | ||
| Articolo 21, paragrafo 2, lettera a) - Analisi dei rischi e politiche di sicurezzaArticolo 21(2)(d) - Supply chain e gestione delle risorseArticolo 21, paragrafo 2, lettera e) - Gestione degli incidenti di sicurezzaArticolo 21, paragrafo 2, lettera g) - Sicurezza nelle reti e nei sistemi informativiArticolo 7 - Condivisione delle informazioni sulle minacce informaticheArticolo 23 – Gestione e segnalazione degli incidenti | ||
| Zero Trust Network Access (ZTNA) | Controllo degli accessi basato sull'identità, segmentazione | Articolo 21, paragrafo 2, lettera a) - Analisi dei rischi e politiche di sicurezza |
| Cloud-delivered Firewall as a Service (FWaaS) | fornito dal cloud Difesa perimetrale, prevenzione delle minacce | Articolo 21(2)(d) - Supply chain e gestione delle risorse |
| Secure Web Gateway (SWG) | Filtraggio dei contenuti, blocco del malware | Articolo 21, paragrafo 2, lettera e) - Gestione degli incidenti di sicurezza |
| Cloud Access Security Broker (CASB) | Visibilità cloud, applicazione della conformità | Articolo 21, paragrafo 2, lettera g) - Sicurezza nelle reti e nei sistemi informativi |
| Integrazione dell'intelligence sulle minacce | Visibilità cloud, applicazione della conformità | Articolo 7 - Condivisione delle informazioni sulle minacce informatiche |
| Monitoraggio e registrazione continui | Visibilità cloud, applicazione della conformità | Articolo 23 – Gestione e segnalazione degli incidenti |
Per quanto riguarda la SD-WAN, la tabella seguente mostra in che modo le funzionalità relative alla rete contribuiscono alla conformità NIS2 migliorando la resilienza della rete, la visibilità e il flusso sicuro dei dati negli ambienti distribuiti.
| Funzionalità SD-WAN | Requisito NIS2 soddisfatto | Articolo pertinente |
|---|---|---|
| Gestione centralizzataRouting sensibile alle applicazioniCrittografia e segmentazioneConnettività resilienteAnalisi in tempo reale | ||
| Semplifica la conformità e l'auditingAssicura la continuità del servizioProtezione dei dati, isolamentoRidondanza, uptimeSupporta la risposta agli incidenti | ||
| Articolo 21, paragrafo 2, lettera h) - Crittografia e configurazioni sicureArticolo 21, paragrafo 2, lettera f) - Continuità operativa e gestione delle crisiArticolo 21, paragrafo 2, lettera h) - Crittografia e comunicazioni sicureArticolo 21, paragrafo 2, lettera f) - Continuità operativaArticolo 23, paragrafo 1 - Individuazione precoce e comunicazione | ||
| Gestione centralizzata | Semplifica la conformità e l'auditing | Articolo 21, paragrafo 2, lettera h) - Crittografia e configurazioni sicure |
| Routing sensibile alle applicazioni | Assicura la continuità del servizio | Articolo 21, paragrafo 2, lettera f) - Continuità operativa e gestione delle crisi |
| Crittografia e segmentazione | Protezione dei dati, isolamento | Articolo 21, paragrafo 2, lettera h) - Crittografia e comunicazioni sicure |
| Connettività resiliente | Ridondanza, uptime | Articolo 21, paragrafo 2, lettera f) - Continuità operativa |
| Analisi in tempo reale | Supporta la risposta agli incidenti | Articolo 23, paragrafo 1 - Individuazione precoce e comunicazione |
Servizi di sicurezza mappati agli articoli NIS2
Mentre SASE e SD-WAN offrono l'architettura e la connettività, i servizi di sicurezza informatica di Deutsche Telekom offrono la forza operativa necessaria per soddisfare i requisiti più esigenti di NIS2. Ecco come:
| Servizi di sicurezza | Cosa fa | Requisito NIS2 soddisfatto | Articolo pertinente |
|---|---|---|---|
| Responsabile virtuale della sicurezza delle informazioni (vCISO)Backup come servizio (BaaS)Disaster Recovery-as-a-Service (DRaaS)Rilevamento e risposta alle minacceGestione delle vulnerabilitàTest di penetrazione e audit di conformitàFormazione di sensibilizzazione alla sicurezza | |||
| Fornisce leadership e strategia di sicurezza informatica a livello dirigenzialeConsente un rapido ripristino dei dati e la protezione contro la perdita di datiGarantisce un rapido ripristino da incidenti informatici o disastriRileva e mitiga le minacce in tempo realeIdentifica e corregge i punti deboli del sistemaConvalida il livello di sicurezza e la prontezzaEduca il personale a ridurre l'errore umano e le minacce interne | |||
| Governance, gestione del rischio e supervisione della conformitàContinuità operativa e disponibilità dei datiPianificazione della resilienza e della ripresa del sistemaRisposta agli incidenti e contenimentoMitigazione tecnica del rischioVerifica della conformità e applicazioneMitigazione del rischio del fattore umano | |||
| Articolo 21, paragrafo 1Articolo 21, paragrafo 2, lettera f)Articolo 21, paragrafo 2, lettera f)Articolo 23, paragrafo 1Articolo 21, paragrafo 2, lettera d)Articolo 29Articolo 21, paragrafo 2, lettera c) | |||
| Responsabile virtuale della sicurezza delle informazioni (vCISO) | Fornisce leadership e strategia di sicurezza informatica a livello dirigenziale | Governance, gestione del rischio e supervisione della conformità | Articolo 21, paragrafo 1 |
| Backup come servizio (BaaS) | Consente un rapido ripristino dei dati e la protezione contro la perdita di dati | Continuità operativa e disponibilità dei dati | Articolo 21, paragrafo 2, lettera f) |
| Disaster Recovery-as-a-Service (DRaaS) | Garantisce un rapido ripristino da incidenti informatici o disastri | Pianificazione della resilienza e della ripresa del sistema | Articolo 21, paragrafo 2, lettera f) |
| Rilevamento e risposta alle minacce | Rileva e mitiga le minacce in tempo reale | Risposta agli incidenti e contenimento | Articolo 23, paragrafo 1 |
| Gestione delle vulnerabilità | Identifica e corregge i punti deboli del sistema | Mitigazione tecnica del rischio | Articolo 21, paragrafo 2, lettera d) |
| Test di penetrazione e audit di conformità | Convalida il livello di sicurezza e la prontezza | Verifica della conformità e applicazione | Articolo 29 |
| Formazione di sensibilizzazione alla sicurezza | Educa il personale a ridurre l'errore umano e le minacce interne | Mitigazione del rischio del fattore umano | Articolo 21, paragrafo 2, lettera c) |
Raggiungere la conformità NIS2 richiede più di strumenti frammentati, ma anche un approccio strategico integrato. Combinando SD-WAN, SASE e solide capacità di sicurezza operativa, le organizzazioni possono creare un'architettura di sicurezza informatica completa che non solo soddisfa i requisiti normativi, ma rafforza anche la resilienza e l'agilità operativa.
7. Perché scegliere Deutsche Telekom?
Deutsche Telekom si impegna ad aiutare le aziende a superare queste nuove sfide e a soddisfare i requisiti della direttiva NIS2. La nostra missione è mantenere le vostre operazioni al sicuro nel panorama digitale in continua evoluzione di oggi, perché la vostra sicurezza informatica è il nostro business!
Ci sono molte buone ragioni per scegliere Deutsche Telekom per rendere la tua attività più sicura:
- DNA di sicurezza: che si tratti della protezione dei dispositivi mobili, della scansione delle vulnerabilità, della gestione delle identità e degli accessi, del rilevamento e del monitoraggio intelligente delle intrusioni, della nostra libreria completa di minacce o della nostra rete globale di centri operativi di sicurezza, la sicurezza è profondamente radicata in tutto ciò che facciamo.
- Esperienza: dalla connettività ai servizi cloud all'assistenza 24 ore su 24, 7 giorni su 7, sappiamo come gestire e proteggere in modo sicuro l'infrastruttura ICT business-critical end-to-end per vari settori e per il settore pubblico da decenni.
- Ecosistema leader: il nostro ecosistema di partner comprende i principali fornitori di tecnologia nei settori della sicurezza, degli overlay di rete definiti dal software e dei servizi cloud.
- Portata globale − Contatto locale: con entità legali in ventotto paesi, serviamo clienti su scala globale combinati con conoscenze e competenze locali.
- Sostenibile per principio: da oltre vent'anni, la responsabilità ambientale e sociale sono aspetti essenziali della nostra attività quotidiana e parte integrante della nostra governance aziendale.
La Direttiva NIS2 non è solo un requisito normativo, ma un'opportunità strategica. Allineando le pratiche di sicurezza informatica con NIS2, le organizzazioni possono ridurre i rischi, evitare sanzioni e creare fiducia e resilienza in tutte le loro operazioni.
Prendi l'iniziativa: cogli l'opportunità di valutare la prontezza NIS2
Contatta oggi stesso i nostri esperti di rete e sicurezza informatica tramite il modulo di contatto per programmare una consulenza gratuita e iniziare il tuo percorso di conformità in tutta sicurezza.