1. Risk Management
Strutturare politiche di analisi dei rischi e di sicurezza dei sistemi informatici organizzativi.
TIM Webex
Comunicazione Unificata per Medie e Grandi Aziende, nel Cloud TIM. Scopri di più
TIM Cloud Open
Risorse computazionali, storage e tanti altri servizi per configurare liberamente il tuo Cloud. Scopri di più
TIM Enterprise per NIS 2
Aiutiamo le aziende italiane a mettersi in regola con la nuova direttiva europea. Scopri di più
M2M Smart
La soluzione per monitorare le SIM dati delle aziende. Scopri di più
TIM Extended Reality
Nuove forme di comunicazione attraverso una fruizione immersiva di realtà aumentata. Scopri di più
Che cos’è la NIS2?
NIS2 (Network and Information Systems) aggiorna la precedente direttiva NIS e si inserisce tra le politiche implementate dall'Unione Europea in tema di Cybersecurity. L’indicazione era che la nuova dovesse essere recepita, da parte di ogni Stato membro, entro il 17 ottobre 2024. In Italia è stato pubblicato il Decreto Legislativo 138/2024 che recepisce la Direttiva NIS2. Le disposizioni si applicheranno a decorrere dal 18 ottobre 2024.
Un momento necessario per l’Europa. L'aumento della digitalizzazione e il conseguente ampliamento della superficie di attacco informatico in Europa, hanno reso necessario estendere il perimetro della precedente direttiva (già obbligatoria per alcuni settori considerati essenziali) anche ad altri settori merceologici: Pubblica amministrazione, Acque di scarico, Settore spaziale, Servizi ICT, Rifiuti, Organizzazioni di ricerca, Servizi digitali, Settore manifatturiero, Produzione di sostanze chimiche e alimentari, Servizi postali e di corriere. Inoltre, il Parlamento italiano ha deciso di includere anche il settore delle imprese che offrono servizi strumentali al comparto culturale e ha raccomandato al Governo l’estensione a Comuni e Province.
La nuova direttiva si applicherà non solo alle organizzazioni appartenenti alle categorie individuate e ai loro dipendenti, ma anche ai subappaltatori e ai fornitori delle organizzazioni coinvolte.
Al fine di rendere efficace l'applicazione delle norme, la direttiva NIS2:
- fornisce requisiti generali per aumentare il livello di resilienza dell’ecosistema digitale europeo, fatto di reti e di sistema informativa;
- prevede stringenti obblighi di notifica: la normativa impone infatti ai soggetti interessati di segnalare allo CSIRT (Computer Security Incident Response Team) gli incidenti detti “significativi”.
Tutte le organizzazioni impattate dovranno adempiere agli obblighi di cybersicurezza prescritti dalla direttiva per non incorrere in sanzioni.
Perché possiamo essere il tuo riferimento per la NIS2?
Consulenza tecnologica
Un team di esperti in cybersecurity
Offerta completa
Tutte le soluzioni per essere in regola.
L'esperienza di Telsy
Centro di competenza cyber per TIM
FAQ
Qual è il criterio di classificazione delle imprese? Piccola/Media/Grande, su che base?
Per classificare le imprese, la Direttiva NIS2 fa riferimento alla raccomandazione 2003/361/CE che definisce le PMI come le aziende che soddisfano i seguenti due criteri:
• numero occupati < 250
• fatturato globale annuo <= 50mln€ OPPURE totale di bilancio annuo <= 43mln€
Le grandi aziende sono invece le imprese che soddisfano almeno uno dei seguenti due criteri:
• numero di occupati >= 250
• fatturato globale annuo > 50 milioni di euro OPPURE un totale di bilancio annuo > 43mln€
In particolare, un’impresa può scegliere di soddisfare il criterio del fatturato o il criterio del totale di bilancio. L’impresa non deve soddisfare entrambi i requisiti e può superare una delle soglie senza perdere la sua qualifica di PMI. La definizione offre questa possibilità di scelta poiché il fatturato delle imprese che operano nel settore del commercio e della distribuzione, per la loro stessa natura, è più elevato di quelle del settore manifatturiero. L’opportunità di scegliere tra questo criterio e quello del totale di bilancio, che rappresenta il patrimonio totale di un’impresa, consente di trattare in modo equo le PMI che svolgono diversi tipi di attività economica.
La Direttiva fornisce anche le definizioni per distinguere le PMI in Micro, Piccole e Medie imprese:
• Le microimprese sono definite come imprese con meno di 10 occupati e che realizzano un fatturato annuo oppure un totale di bilancio annuo non superiore a 2 milioni di euro.
• Le piccole imprese sono definite come imprese con meno di 50 occupati e che realizzano un fatturato annuo oppure un totale di bilancio annuo non superiore a 10 milioni di euro.
• Le medie imprese sono definite come imprese con meno di 250 occupati e che realizzano un fatturato annuo non superiore a 50 milioni di euro oppure un totale di bilancio annuo non superiore a 43 milioni di euro.
Sempre in relazione alla citata normativa UE, per definire il dimensionamento di un’impresa è necessario anche verificarne il “titolare effettivo”, considerando quindi il parterre degli shareholder. In particolare, è necessario computare, ai fini della definizione dei numeri che concorrono al dimensionamento, anche quelli dei soggetti controllanti, in percentuale alla quota di partecipazione. Ad esempio, Telsy, per determinare i propri parametri deve computare, per ciascuna voce, il 100% (quota di partecipazione del controllante) delle numeriche di TIM per le stesse voci. Pertanto, Telsy Spa risulta essere una “grande impresa” anche se i numeri di dipendenti, fatturato e giro d’affari la collocherebbero tra le “medie”.
Come si stabilisce se l'azienda è soggetta alla Direttiva? È un'autocertificazione? Si può ottenere una certificazione di conformità con la NIS2 se è tutto in ordine?
Le modalità di identificazione ed eventuale esclusione dei soggetti sarà chiarita al momento del recepimento nazionale della direttiva in quanto è previsto che gli Stati membri possano decidere in merito ai meccanismi appropriati che consentono di identificare i soggetti che rientrano nell'ambito di applicazione della presente direttiva. Questa, infatti, afferma che, al fine di garantire una panoramica chiara dei soggetti che rientrano nell'ambito di applicazione della Direttiva, gli Stati membri dovrebbero definire un elenco dei soggetti essenziali ed importanti nonché dei soggetti che forniscono servizi di registrazione dei nomi di dominio. A tal fine, gli Stati membri dovrebbero imporre ai soggetti di trasmettere alle autorità competenti almeno le seguenti informazioni: ragione sociale, indirizzo e recapiti aggiornati, compresi gli indirizzi di posta elettronica, le serie IP e i numeri di telefono di un referente, se del caso, il settore e il sottosettore pertinente e, ove applicabile, un elenco degli Stati membri in cui prestano servizi che rientrano nell'ambito di applicazione della direttiva.
Per facilitare la compilazione e l'aggiornamento dell'elenco dei soggetti, gli Stati membri dovrebbero poter istituire meccanismi nazionali che consentano ai soggetti di registrarsi.
Le aziende come fanno a sapere se rientrano tra quelle essenziali e importanti? A parte il fatturato, si tratta di autovalutazione oppure con il recepimento della Direttiva ci saranno maggiori indicazioni (es. codici Ateco)?
Le modalità di identificazione ed eventuale esclusione dei soggetti sarà chiarita al momento del recepimento nazionale della direttiva. Successivamente, gli Stati Membri avranno tempo fino al 17 aprile 2025 per finalizzare l'elenco dei soggetti coinvolti.
In ogni caso, non si ripeterà il meccanismo della NIS1, rivelatosi fallimentare, per cui l’autorità NIS individua i singoli soggetti con provvedimento “Top - Down”. Il meccanismo si baserà sul principio “ignorantia legis non excusat” e chiamerà ogni soggetto ad interrogarsi sulla propria appartenenza ai settori in allegato alla NIS2 e quindi sul proprio dimensionamento in base alle richiamate regole europee (con particolare attenzione alle aziende partecipate / controllate). A quel punto il soggetto dovrà, con modalità da definire (verosimilmente inserimento dati su portale ACN) “auto denunciarsi” come soggetto NIS, salvo poi determinazione diversa da parte di ACN.
In ambito sanitario, la Direttiva sarà applicabile indistintamente a tutti gli operatori o solo alle strutture sanitarie di grandi dimensioni?
Anche in ambito sanitario e pubblica amministrazione, le modalità di identificazione ed eventuale esclusione dei soggetti sarà chiarita al momento del recepimento nazionale della direttiva. Per il momento è da ritenersi valido ciò che è già chiarito nel testo della Direttiva: sono soggetti NIS tutte le ASL inquanto parte della pubblica amministrazione regionale oltre ad una serie di categorie di soggetti privati individuati nell’allegato della Direttiva.
Per le aziende che non sono soggette agli adempimenti della NIS2, un eventuale rispetto è sicuramente benefico. In questi casi, come può essere incentivato? Ci sono delle priorità in questo senso?
Dal punto di vista dell’utente, affidarsi ad un’organizzazione cyber-resiliente rappresenta un chiaro elemento valoriale nell’atto della scelta: l’utente sceglierà, idealmente, l’azienda che percepisce come più sicura, proprio per limitare i rischi. Ecco, quindi, che un vincolo normativo, anche se imposto, può rivelarsi un’opportunità per la reputazione e competitività aziendale. Questo ragionamento vale per tutte le organizzazioni, non solo quelle soggette agli adempimenti NIS2. Anche i soggetti non coinvolti, dunque, possono approcciare la costruzione della propria postura di sicurezza sul framework di adempimenti previsti dalla NIS2 che la direttiva stessa suggerisce di perseguire con criteri di proporzionalità rispetto al business e in logica multi-rischio. Attualmente non sono previsti incentivi specifici per l’adeguamento delle aziende alla Direttiva NIS2. Ovviamente rimangono validi gli strumenti già in essere che finanziano l’innovazione, come ad esempio l’incentivo “industria 4.0” che prevede il credito di imposta per l’acquisto di alcune soluzioni di “cybersecurity”.
La Direttiva impone la comunicazione degli incidenti, pratica prevista anche per la GDPR. A quale autorità devono essere fatte le comunicazioni degli incidenti?
I soggetti impattati dalla NIS2 dovranno notificare senza indebito ritardo al proprio CSIRT nazionale (Computer Security Incident Response Team) o, se opportuno, alla propria autorità competente eventuali incidenti “significati”.
Nel caso italiano, il CSIRT Italia è l’organo dell’Agenzia per la Cybersicurezza Nazionale (ACN) preposto principalmente ad attività di natura reattiva; costituisce l’interfaccia con i soggetti esterni ai quali, oltre a fornire supporto in caso di incidente informatico, indirizza i prodotti di allertamento preventivo sulle minacce e relative attività di mitigazione.
Inoltre, se opportuno, i soggetti interessati notificano senza indebito ritardo ai destinatari dei loro servizi gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi.
Il sito di segnalazione incidenti è già operativo poichè, per talune categorie di soggetti particolarmente critiche, l’obbligo è già vigente: Segnalazione evento - CSIRT Italia.
Che tipo di incidenti dovranno essere comunicati all'autorità e con quali modalità?
Dovrà essere notificato all’autorità ogni incidente “significativo”, cioè un incidente che ha: causato o è in grado di causare una grave perturbazione operativa dei servizi; perdite finanziarie per il soggetto interessato; si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.
I soggetti interessati notificano secondo le seguenti modalità:
a. senza indebito ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell'incidente significativo, un preallarme che, se opportuno, indichi se l'incidente significativo è sospettato di essere il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero;
b. senza indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell'incidente significativo, una notifica dell'incidente che, se opportuno, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale dell'incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione;
c. su richiesta di un CSIRT o, se opportuno, di un'autorità competente, una relazione intermedia sui pertinenti aggiornamenti della situazione;
d. una relazione finale entro un mese dalla trasmissione della notifica dell'incidente di cui alla lettera b), che comprenda:
e. una descrizione dettagliata dell'incidente, comprensiva della sua gravità e del suo impatto;
f. il tipo di minaccia o la causa di fondo che ha probabilmente innescato l'incidente;
g. le misure di attenuazione adottate e in corso;
h. se opportuno, l'impatto transfrontaliero dell'incidente;
i. in caso di incidente in corso al momento della trasmissione della relazione finale di cui alla lettera d), gli Stati membri provvedono affinché i soggetti interessati forniscano una relazione sui progressi in quel momento e una relazione finale entro un mese dalla gestione dell'incidente.
Senza indebito ritardo e ove possibile entro 24 ore dal ricevimento del preallarme di cui alla lettera a), il CSIRT o l'autorità competente fornisce una risposta al soggetto notificante, comprendente un riscontro iniziale sull'incidente significativo e, su richiesta del soggetto, orientamenti o consulenza operativa sull'attuazione di possibili misure di attenuazione. Se il CSIRT non è il destinatario iniziale della notifica di cui al paragrafo 1, gli orientamenti sono forniti dall'autorità competente in cooperazione con il CSIRT. Su richiesta del soggetto interessato, il CSIRT fornisce ulteriore supporto tecnico. Qualora si sospetti che l'incidente significativo abbia carattere criminale, il CSIRT o l'autorità competente fornisce anche orientamenti sulla segnalazione dell'incidente significativo alle autorità di contrasto.
Il 100% delle vulnerabilità emerse nella gestione degli incidenti rivela che le stesse sono state generate internamente all’organizzazione. Anche in questi casi serve divulgare?
Si, anche in questo caso occorre divulgare. Le persone fisiche o giuridiche possano segnalare in forma anonima una vulnerabilità al CSIRT che agisce da intermediario di fiducia agevolando, se necessario, l'interazione tra la persona fisica o giuridica che segnala la vulnerabilità e il fabbricante o fornitore di servizi ICT o prodotti ICT potenzialmente vulnerabili, assicurando l'anonimato della persona fisica o giuridica segnalante.
I compiti del CSIRT designato come coordinatore comprendono:
• l'individuazione e il contatto dei soggetti interessati
• l'assistenza alle persone fisiche o giuridiche che segnalano una vulnerabilità
• la negoziazione dei tempi di divulgazione e la gestione delle vulnerabilità che interessano più soggetti.
Quali sanzioni sono previste in caso di inadempienza?
La direttiva stabilisce un apparato sanzionatorio che i singoli Stati Membri sono chiamati a rendere effettivo, proporzionato e dissuasivo in fase di recepimento ed è prevista la proporzionalità delle sanzioni per i soggetti essenziali e importanti.
Le sanzioni amministrative pecuniarie previste sono le seguenti:
• le organizzazioni essenziali sono soggette a sanzioni “pari a un massimo di almeno 10.000.000 euro o a un massimo di almeno il 2 % del fatturato mondiale annuo.”
• le organizzazioni importanti sono soggette a sanzioni “pari a un massimo di almeno 7.000.000 euro o a un massimo di almeno l’1,4% del fatturato mondiale annuo.”
Ciò significa che l’Italia dovrà individuare un massimale per le sanzioni non inferiore a 10.000.000 o del 2% del fatturato per i soggetti essenziali e di 7.000.000 o dell’1,4% del fatturato per i soggetti importanti.
Inoltre, la non conformità di un’organizzazione essenziale può comportare la sospensione o il divieto temporaneo a qualsiasi persona che svolga funzioni dirigenziali (come amministratore delegato o rappresentante legale) di svolgere le suddette funzioni.
Infine, la Direttiva prevede che gli Stati membri possano poter stabilire sanzioni penali in caso di violazione delle norme nazionali di recepimento.
Per gli Enti Locali e PA in genere, come si calcolano le sanzioni?
Gli Enti Locali non sono soggetti NIS in base alla Direttiva. Sarà lo stato italiano che dovrà decidere se e come includerli. Sul punto si è pronunciato il Parlamento dopo un lungo confronto con il Governo, invitando il Governo stesso a includere gli enti locali ma solo a valle di una specifica previsione finanziaria che dia loro le risorse per coprire le maggiori spese derivanti dall’inclusione.
Gli enti della pubblica amministrazione regionale e centrali sono soggetti alla vigilanza da parte dii ACN, che le misure di esecuzione in caso di inadempimento e violazione. Tuttavia, per quanto riguarda questi enti, la Direttiva lascia impregiudicato il diritto nazionale in materia di responsabilità dei dipendenti pubblici e dei funzionari eletti o nominati.
I controlli relativi alla compliance alla NIS2 da chi e come verranno effettuati?
La Direttiva dispone che gli Stati Membri conferiscano priorità ai compiti di vigilanza alle autorità competenti – nel caso italiano il CSIRT Italia – al fine di monitorare efficacemente l’adozione delle misure necessarie a garantire il rispetto della presente direttiva. Le priorità si fondano su un approccio basato sul rischio e le metodologie di vigilanza sono stabilite dallo CSIRT che, nell'esercizio dei rispettivi compiti di vigilanza abbiano il potere di sottoporre tali soggetti come minimo a:
a. ispezioni in loco e vigilanza a distanza, compresi controlli casuali, effettuati da professionisti formati;
b. audit sulla sicurezza periodici e mirati effettuati da un organismo indipendente o da un'autorità competente;
c. audit ad hoc, ivi incluso in casi giustificati da un incidente significativo o da una violazione della presente direttiva da parte del soggetto essenziale;
d. scansioni di sicurezza basate su criteri di valutazione dei rischi obiettivi, non discriminatori, equi e trasparenti, se necessario in cooperazione con il soggetto interessato;
e. richieste di informazioni necessarie a valutare le misure di gestione dei rischi cyber adottate dal soggetto interessato, comprese le politiche di cybersecurity documentate, nonché il rispetto dell'obbligo di trasmettere informazioni alle autorità competenti;
f. richieste di accesso a dati, documenti e altre informazioni necessari allo svolgimento dei compiti di vigilanza;
g. richieste di dati che dimostrino l'attuazione di politiche di cybersecurity, quali i risultati di audit sulla sicurezza effettuati da un controllore qualificato e i relativi elementi di prova.
Inoltre, la Direttiva prevede che se autorità preposte ricevono elementi di prova, indicazioni o informazioni secondo cui un soggetto importante non rispetta presumibilmente la presente direttiva, in particolare dagli articoli 21 e 23 della medesima, gli Stati membri provvedono affinché le autorità competenti intervengano, se necessario, mediante misure di vigilanza ex post.
Per l’Italia i controlli saranno effettuati da un nucleo apposito costituito presso l’ACN, alla cui guida è stato posto un ufficiale della GDF. Inoltre, l’ACN ha stipulato accordi con i vari Law enforcers per ottenere un meccanismo di segnalazione incrociata tra denuncia alle autorità che andrà segnalata ad ACN e segnalazione al CSIRT che sarà segnalata alle autorità di polizia per la verifica di fattispecie di reato eventuali.
Quando sarà disponibile il decreto di recepimento?
Poiché NIS2 è una Direttiva dell'UE, gli Stati membri devono trasporla nella legislazione nazionale applicabile entro il 17 ottobre 2024. NIS2 sarà applicata a partire dal 18 ottobre 2024, anche se gli Stati Membri hanno tempo fino al 17 aprile 2025 per finalizzare l'elenco delle organizzazioni che devono conformarsi.
Il recepimento nazionale della Direttiva NIS2 è stato fissato al 18 ottobre 2024. Questo significa che entro tale data, gli Stati membri dell’Unione Europea dovranno adattare le proprie normative alla nuova Direttiva per garantire un elevato livello di cybersecurity.
La bozza del testo, su cui dovranno pronunciarsi le commissioni competenti di Camera e Senato, è atteso per il mese di giugno.
Visto che il recepimento della NIS2 da parte degli Stati Membri avverrà entro il 17 ottobre 2024, quali sono gli obblighi prima di questa data?
Prima del recepimento della Direttiva da parte degli Stati Membri, non sono previsti obblighi da adempiere. Tuttavia, dal momento che il recepimento può comportare un ampliamento della platea di soggetti e settori coinvolti, misure aggiuntive, un inasprimento delle sanzioni ma non una riduzione di quanto già disposto in sede europea, le organizzazioni hanno l’opportunità di iniziare fin da subito a “famigliarizzare” con la NIS2 e iniziare per tempo a pianificare il percorso di adeguamento da intraprendere.
Rimangono fermi gli obblighi disposti da altre normative come ad esempio la Direttiva NIS1, il Perimetro di Sicurezza Nazionale Cibernetica o dal DDL Cybersecurity attualmente in corso di approvazione parlamentare, che anticipa taluni contenuti del decreto di recepimento della NIS2 (es. Segnalazione al CSIRT per talune categorie particolarmente critiche).
In merito alla business continuity ci sono delle metodologie raccomandate, linee guida o altro tra le raccomandazioni?
La direttiva non fornisce raccomandazioni su metodologie, linee guida o tecnologie. È facoltà degli Stati Membri e alle Autorità competenti di entrare nel merito.
La piattaforma di protezione del cloud ottempera al regolamento cloud di ACN?
Prima del recepimento della Direttiva da parte degli Stati Membri, non sono previsti obblighi. Le soluzioni cloud di TIM attemperano già i requisiti di ACN e sono catalogati sul sito dell’Autorità. Clicca qui per più info.
Pur affidandosi a fornitori, in capo a una PA restano delle responsabilità. Quali sono nello specifico le responsabilità/accountability che un’organizzazione non può delegare ai fornitori? Cosa deve fare l’organizzazione per tutelarsi?
Un soggetto NIS deve garantire che la sua filiera di approvvigionamento sia cyber-sicura. Sostanzialmente ogni soggetto NIS deve svolgere verso i suoi fornitori il ruolo che ACN svolge verso i soggetti NIS, garantendo che i requisiti NIS siano rispettati dalla catena di approvvigionamento.
È possibile avere ulteriori dettagli in merito al controllo e gestione della sicurezza della supply chain?
Ogni organizzazione deve interrogarsi sulla propria supply chain ed in particolare identificare quelle linee di fornitura che, se fossero compromesse, comporterebbero una interruzione della produzione di beni o dell’erogazione di servizi. A quei fornitori, i soggetti NIS dovranno chiedere di adeguarsi ai requisiti NIS2 a prescindere da settore e dimensionamento. Di questa azione dovranno dare conto ad ACN in fase di eventuale visita ispettiva.
Le norme di riferimento che dovrà adottare la supply chain saranno elencate nel D.Lgs di recepimento?
È possibile che vi siano norme più di dettaglio. In ogni caso possiamo già dire che il principio è che il fornitore di un soggetto NIS è a sua volta un soggetto NIS. Cambia il controllore. Nel caso del fornitore a vigilare deve essere il soggetto NIS acquirente.
Da un punto di vista di compliance alla NIS2, quali sono, operativamente, le modifiche rispetto alla NIS1?
La NIS2 affronta i limiti della Direttiva NIS iniziale stabilita nel 2016 con requisiti più rigorosi, un'ampia portata di entità e settori differenti che devono conformarsi e sanzioni più severe per la non conformità così da raggiungere una maggiore armonizzazione tra gli Stati Membri in materia di cybersecurity. Le principali novità introdotte dalla NIS2 rispetto alla precedente Direttiva sono le seguenti:
• Copre una gamma più ampia di settori e servizi ritenuti vitali per le principali attività sociali ed economiche del mercato interno includendo anche i subappaltatori e i fornitori;
• Fornisce un elenco più dettagliato di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi (la NIS1 si limitava a stabilire le misure minime di gestione e prevenzione delle minacce demandando agli Stati Membri il compito di dettagliare gli obblighi conseguenti);
• Impone requisiti di reportistica sugli incidenti più rigorosi;
• Prevede, in caso di incidente significativo, l’obbligo di notifica senza indebito ritardo al CSIRT o alle autorità competenti, e, se opportuno, ai destinatari dei loro servizi;
• Fornisce una definizione più dettagliata di incidente significativo;
• Stabilisce un apparato sanzionatorio simile al GDPR.
L'applicazione del Framework Nazionale di Cybersecurity come previsto dal D.P.C.M. 14 aprile 2021 per la NIS1 è da ritenersi sufficiente?
Non formalmente. Chiaramente seguire quel testo è un buon viatico perché tutte le misure tecniche sono prese da li.
In che modo la NIS 2 impatta sulle aziende già certificate ISO 27001:2013 (e in fase di transizione alla ISO 27001:2022)?
Non c’è collegamento.
È prevista la nomina di un DPO?
È prevista la nomina di un responsabile per la cybersecurity.
Cyber 4.0 si rivolge anche alle PA?
Lo fa attraverso l’EDIH (European Digital Innovation Hub) “Nest” NEST – Network for European Security & Trust, deputato specificatamente alla gestione dei finanziamenti per la Pubblica Amministrazione su iniziative di cybersecurity. NEST non è costituito dagli stessi partner del Centro di Competenza, nessuno dei partner del Centro di Competenza è socio del centro.
Per la pubblica amministrazione possiamo pensare ad una collaborazione con TIM Enterprise?
Certo. Anzi, è proprio con TIM Enterprise che la Pubblica Amministrazione può trovare un valido partner per queste iniziative, essendo TIM socio del Centro Cyber 4.0.
Per la PA, esiste un canale diverso rispetto alle imprese private?
Vedi la risposta alla domanda "Cyber 4.0 si rivolge anche alle PA?".
I fornitori devono essere per forza soci di Cyber 4.0?
Non necessariamente, la vendita può avvenire sia da parte del Cyber 4.0 in base ad un listino costruito sulla base delle offerte dei servizi dei propri soci, sia da fornitori esterni che il Cyber 4.0 ha selezionato sulla base delle competenze e dei servizi che sono in grado di erogare. Il Centro di Competenza può avere diversi fornitori, ma si appoggia sui soci/fornitori per la stragrande maggioranza delle forniture.
Solo TIM può erogare soluzioni attraverso Cyber 4.0?
No, anche gli altri soci di Cyber 4.0, ma TIM Enterprise è l’unico Telco Operator ammesso al Competence Center.
Come si può comunicare con Cyber 4.0 per avere una valutazione preliminare sulla possibilità di accedere ai numerosi bandi presenti sul sito e su quale percorso sia più adatto per l’impresa?
L’Account di TIM Enterprise procederà alla gestione dell’invio di una richiesta a cyber@cyber40.it per richiedere informazioni sul progetto/azienda/procedure specifiche.
Se il soggetto "azienda" fosse controllato da azienda estera, potrebbe comunque accedere ai fondi Cyber 4.0?
L’impresa servita deve essere iscritta ad una camera di commercio in Italia, anche se la proprietà è estera.
Ho necessità di sapere qual è il canale principale per l'adeguamento alla NIS2 per la P.A.?
Quando saranno disponibili i fondi NEST, il Centro di Competenza potrà erogare supporto consulenziale alla PA per l’adeguamento alla NIS2.
Come adeguarsi a NIS2
Tutte le soluzioni di cybersecurity per essere in regola
Network Security
La famiglia di soluzioni per la sicurezza delle connessioni di Rete dove trovare le risposte per le misure di gestione degli incidenti, business continuity, sicurezza dei sistemi e strategie cyber di NIS2.
Cloud Security
Servizi per la protezione di siti web, identità e accessi, rilevamento delle vulnerabilità, in conformità con i parametri di NIS2 per: risk management, gestione degli incidenti, sicurezza dei sistemi, sicurezza personale, autenticazione e strategie cyber.
Managed Security Services
Un SOC dedicato per prevenire, analizzare e rispondere a eventuali minacce informatiche, in linea con le misure di risk management, gestione degli incidenti, business continuity, supply chain, sicurezza dei sistemi, strategie cyber e formazione di NIS2.
Articoli sulla Direttiva NIS2
Scopri tuttiCybersecurity e Direttiva NIS2: verso la scadenza di gennaio 2026
È arrivato il momento di prepararsi: la nuova deadline NIS2 riguardante la notifica degli incidenti cyber è sempre più vicina.
Direttiva europea NIS2: la tappa di luglio e quelle del 2026
Continua il percorso delle aziende per essere compliant con la normativa di cybersicurezza NIS2. Approfondiamo qui i contenuti della prossima tappa di luglio e di quelle del 2026.
Cybersecurity e normative: i numeri del 2024 e le azioni da intraprendere per NIS2
TIM Enterprise al fianco delle aziende coinvolte da NIS2 per le due tappe del 15 aprile e del 31 maggio.
Anche la tua azienda deve adeguarsi a NIS2? Parlane con un nostro esperto
