Fabio Lauria

NIS2-direktivet: möjlighet eller hinder för italienska företag?

16 maj 2025
Guider
Dela på sociala medier

Inledning: ett nytt paradigm för IT-säkerhet

NIS2-direktivet, som trädde i kraft den 17 januari 2023 (16 oktober i Italien), innebär en genomgripande förändring jämfört med det tidigare NIS-direktivet. Detta regelverk syftar till att skapa en gemensam cyberstrategi för alla EU-länder, med huvudsyftet att öka säkerhetsnivån för digitala tjänster i hela EU

Implementeringssäsongen för det europeiska NIS2-direktivet har officiellt inletts, vilket innebär en mer än betydande förändring i synen på hantering av informationssäkerhet.

Samtidigt som vi uppskattar den kommunikativa insatsen från den nationella cybersäkerhetsmyndigheten (NCA), som sätter aspekten av den repressiva och sanktionerande processen i andra hand till förmån för främjandet av aktivt deltagande, är det uppenbart att processen för att genomföra direktivets mål inte kan lösas enbart genom en formell lydnad till säkerhetsstyrningssystemet - det som vanligtvis kallas "papperssäkerhet" - utan i stället kräver en betydande insats för att definiera konkreta och hållbara säkerhetsmål.

Utvidgningen av perimetern: vem är involverad i NIS2

NIS2-direktivet utgör ett viktigt steg mot ökad cybersäkerhet och motståndskraft i hela Europa. När det gäller förordningar och direktiv ser många företag efterlevnad som det slutgiltiga målet: något som de måste uppfylla genom att uppfylla minimikrav. Detta bör dock ses som startpunkten för att uppnå högre nivåer av cybersäkerhet.

NIS2-direktivet är resultatet av en omfattande översyn av NIS och utgör ytterligare ett viktigt steg mot en fullständig definition av den europeiska cyberstrategin, med lämpliga samordnade och innovativa svar från medlemsstaterna för att säkerställa kontinuiteten i digitala tjänster i händelse av säkerhetsincidenter.

NIS2 innebär en betydande utvidgning av tillämpningsområdet jämfört med det tidigare NIS-direktivet och omfattar viktiga sektorer som avfallshantering, transport, livsmedelsindustri, dricksvattenförsörjning och distribution, digital infrastruktur, offentlig förvaltning, produktion, forskning och utveckling av läkemedel och medicintekniska produkter samt rymdsektorn.

I lagstiftningsdekret 138/2024, genom vilket NIS2-direktivet införlivas i italiensk lagstiftning, anges att bestämmelserna ska tillämpas från och med den 16 oktober 2024.

Förordningen kommer inte att tillämpas på småföretag om inte enheten identifieras som "kritisk" i den mening som avses i RCE-direktivet, en leverantör av allmänna elektroniska kommunikationsnät, en leverantör av betrodda tjänster eller faller inom andra specifika kategorier som anses vara väsentliga.

NIS2 gäller också företag med färre än 50 anställda om de tillhandahåller en väsentlig tjänst i en medlemsstat, om deras tjänst är avgörande för allmän säkerhet, trygghet eller hälsa, eller om de ingår i leveranskedjan för ett väsentligt eller viktigt företag.

De viktigaste kritiska frågorna för företagen

1. Komplexiteten i den skiktade modellen och klassificeringsproblem

Denna operativa komplexitet återspeglas i den italienska lagstiftarens val av en "skiktad" modell. Det första skiktet är standardskiktet, dvs. de väsentliga eller viktiga ämnen som överskrider storleksgränserna för småföretag. Det andra skiktet består av de enheter som, oavsett storlek eller omsättning, faller inom specifika föreskrivna kategorier.

Ett betydande problem gäller den faktiska mätningen av storleksaspekten, på grund av hänvisningen till begreppet "anknutna företag", som i affärsvärlden inte alltid är helt klart.

Kopplingen mellan två eller flera företag är i teorin oberoende av avsikten att bilda en verklig formaliserad koncern, vilket får till följd att de enheter som, även om de betraktas individuellt, inte skulle nå upp till de storleksgränser som anges i regeln utesluts från gruppen små och medelstora företag.

2. Ekonomiska och organisatoriska bördor

När vi går från processens idealitet till det konkreta tillvägagångssättet är frågan ganska annorlunda, eftersom den kolliderar med den ekonomiska dimensionen i ett land vars grundläggande struktur består av ett stort antal små och medelstora företag. Detta utgör en betydande utmaning vid genomförandet av NIS2, som kan bli alltför betungande för mindre företag.

NIS2-direktivet, som skapades i syfte att förbättra EU:s cybersäkerhet, innebär endast administrativa och straffrättsliga påföljder. Väsentliga operatörer kan åläggas administrativa böter på upp till 10 miljoner euro eller 2 procent av den totala globala omsättningen. Större operatörer kan å andra sidan åläggas böter på upp till 7 miljoner euro eller upp till 1,4 procent av den totala globala omsättningen.

3. Ledningens ansvar

Genom lagstiftningsdekretet införs en visshet: det kommer att finnas ett ansvar för ledningen och de styrande organen. Företagens ledningsorgan kommer att uppmanas att spela en aktiv roll i efterlevnaden av lagstiftningen, de kommer att behöva godkänna genomförandet av åtgärder för hantering av säkerhetsrisker, övervaka genomförandet av de skyldigheter som anges i lagstiftningen och kommer att hållas ansvariga för överträdelser.

4. Incidentrapportering och riskhantering

Genomförandedekretet skärper kraven på incidentrapportering och föreskriver att incidenter som har en betydande inverkan på tillhandahållandet av tjänster måste rapporteras till CSIRT Italien utan onödigt dröjsmål. Anmälningsprocessen föreskriver strikta tidsfrister: en föranmälan inom 24 timmar, en anmälan inom 72 timmar efter händelsen och en slutrapport inom en månad efter händelsen.

I NIS2-direktivet anges ett antal huvudkrav som organisationer måste uppfylla för att säkerställa en hög nivå av cybersäkerhet. Dessa krav omfattar: riskanalys och säkerhetspolicy för informationssystem, strategier för att bedöma hur effektiva riskhanteringsåtgärderna är samt grundläggande digital hygien och utbildning i cybersäkerhet.

5. Fokus på leveranskedjan

Det framgår att den lagstiftning som införlivar NIS2-direktivet inte bara är inriktad på de sektorer som anses vara mycket kritiska eller kritiska, utan också, på ett framsynt sätt, på deras leverantörer, vilket innebär en avsevärd utvidgning av antalet ämnen som sannolikt kommer att påverkas av tillämpningen av lagstiftningsdekretet.

NIS 2-direktivet föreskriver att ansvariga enheter måste vidta lämpliga och proportionerliga tekniska, operativa och organisatoriska åtgärder för att hantera de säkerhetsrisker som informationssystem och nätverk utgör, och även beakta säkerheten i leveranskedjan, inklusive säkerhetsaspekter som rör förhållandet mellan varje enhet och dess direkta leverantörer eller tjänsteleverantörer.

Viktiga tidsfrister som ska uppfyllas

Därmed inleds kapplöpningen för efterlevnad, som måste vara slutförd senast i oktober 2026. I början av 2025 måste företag som identifierats som NIS2-objekt vara i drift med alla planerade åtgärder, inklusive ledningssystem för IT-säkerhet och ledningsansvar. Senast i maj 2025 måste företagen uppdatera sina uppgifter i den institutionella plattformen. I januari 2026 träder den formella skyldigheten att rapportera betydande incidenter i tid i kraft, och senast i september 2026 måste organisationer ha genomfört alla nödvändiga säkerhetsåtgärder.

Från och med den 16 oktober 2024 gäller den nya förordningen om nät- och informationssäkerhet (NIS). ACN är den behöriga NIS-myndigheten och den enda kontaktpunkten. Från och med den 1 december 2024 till och med den 28 februari 2025 måste medelstora och stora företag, i vissa fall även små och mikroföretag, och offentliga förvaltningar som omfattas av den nya lagstiftningen registrera sig på ACN:s tjänsteportal.

Slutsats: ett nödvändigt men utmanande paradigmskifte

Den ökande sammankopplingen och digitaliseringen av samhället har gjort institutioner, företag och medborgare alltmer utsatta för cyberhot.

Den högsta ledningen för den nationella cybersäkerhetsmyndigheten har gjort ett offentligt åtagande att göra denna process hållbar, vilket verkligen kan markera en vändpunkt för landets förmåga att hantera de växande hoten. Det kommer att bli nödvändigt att vänta och se hur landets produktiva och administrativa struktur kommer att kunna reagera på vad som helt klart är en djupgående kulturell vändpunkt och som, vilket är intuitivt, varken kommer att vara en promenad i parken eller "kostnadsneutral".

Anpassning till NIS2 handlar därför inte bara om att följa standarden, utan kan också vara ett bra tillfälle att införa en säkerhetskultur samt tekniska och organisatoriska best-practices i företaget, vilket kan höja IT-säkerhetsnivån avsevärt. Det är dock viktigt att redan nu börja förbereda en anpassningsplan för att stegvis anpassa företagets olika tillgångar och personal med lämpliga fortbildningscykler.

Även om du inte är ett av de företag som är skyldiga att följa NIS2-direktivet är det viktigt att du börjar en kurs om cyberrisker för att skydda ditt företags framtid.

NIS2 utgör därför en komplex men nödvändig utmaning för italienska företag. Samtidigt som det innebär nya skyldigheter och ansvarsområden som kan verka betungande, ger det också möjlighet att ompröva IT-säkerheten som ett strategiskt element och inte bara som en kostnad.

Fabio Lauria

VD & Grundare | Electe Electe

Jag är VD för Electe och hjälper små och medelstora företag att fatta datadrivna beslut. Jag skriver om artificiell intelligens i affärsvärlden.

Mest populära
Registrera dig för de senaste nyheterna

Få nyheter och insikter varje vecka i din inkorg
. Gå inte miste om något!

Tack så mycket! Din ansökan har tagits emot!
Oops! Något gick fel när du skickade in formuläret.
plattform
PriserFunktionalitetFallstudierIntegrationer
Företag
Om ossKarriärVANLIGA FRÅGORNyhetsbrevKontakta oss
RESSURSER
KundportalStatusVillkor för tjänstenIntegritetspolicyPolicy för cookies
Electe S.r.l.
Via Montenapoleone 8, Milano (MI)
VAT IT12771670960
Copyright 2023 Electe © Alla rättigheter förbehålls.
Tillverkad med ♥️