Vai al contenuto
Guida alla compliance

NIS2: tutto quello che devi sapere sulla legge sulla cybersecurity e sull'acquisto di software

NIS2 è la più grande legge europea sulla cybersecurity degli ultimi anni. Per le organizzazioni dei settori critici cambiano molte cose, anche nell'ambito dell'acquisto di software e della gestione dei fornitori. Ecco tutto quello che devi sapere.

  • 15 gennaio 2025
  • 5 min
  • NIS2 – Direttiva sulla sicurezza informatica

La direttiva NIS2 è la più grande legge europea sulla cybersecurity degli ultimi anni. Ha un ambito molto ampio, è rigorosa nell'applicazione ed è direttamente rilevante per chiunque sia responsabile dell'acquisto di software in un'organizzazione. Ecco cosa devi sapere.

Che cos'è NIS2?

NIS2 sta per Network and Information Security Directive 2, il successore della direttiva NIS originale del 2016. La direttiva impone alle organizzazioni dei settori critici di rafforzare strutturalmente la loro resilienza digitale. NIS2 sarà in vigore a livello europeo dal 17 ottobre 2024. L'implementazione olandese tramite la legge sulla cybersecurity è prevista per il secondo trimestre del 2026.

Per chi vale NIS2?

NIS2 riguarda le organizzazioni in 18 settori critici, suddivisi in entità essenziali e importanti. Pensiamo a: energia, trasporti, sanità, acqua, infrastrutture digitali, servizi finanziari, pubblica amministrazione e altro ancora. Anche i fornitori delle organizzazioni di questi settori possono ricadere indirettamente sotto la legge tramite l'obbligo di cura della catena di fornitura.

Cosa cambia rispetto a NIS1?

I cambiamenti principali sono:

  • Ambito più ampio: Molti più settori e organizzazioni rientrano ora nella direttiva

  • Responsabilità personale: I dirigenti sono responsabili della conformità e possono essere chiamati a risponderne personalmente

  • Multe più elevate: Fino a €10 milioni o il 2% del fatturato globale annuo per entità essenziali

  • Obbligo di cura della catena di fornitura: Le organizzazioni devono controllare anche la sicurezza dei loro fornitori

  • Obbligo di notifica: Gli incidenti devono essere segnalati entro 24 ore al CSIRT

Cosa significa NIS2 per l'acquisto di software?

L'obbligo di cura della catena di fornitura è l'impatto più diretto sull'acquisto di software. Le organizzazioni sono tenute a:

  • Mantenere un elenco aggiornato di tutti i fornitori ICT e del software

  • Stipulare accordi contrattuali di sicurezza con tutti i fornitori rilevanti

  • Valutare periodicamente la sicurezza dei fornitori

  • Stabilire procedure di escalation degli incidenti con i fornitori di software critici

Senza una panoramica strutturata del software la conformità a NIS2 non è realizzabile. SoftVaro aiuta le organizzazioni a creare questa panoramica come punto di partenza per la compliance.

Domande frequenti

Le domande più comuni su questo argomento.

Qual è il legame tra NIS2 e l'acquisto di software?

NIS2 obbliga le organizzazioni a mantenere un elenco aggiornato di tutto il software e i fornitori ICT, compresi gli accordi contrattuali sulla sicurezza. Senza questo elenco non sei conforme.

Quando entra in vigore NIS2 nei Paesi Bassi?

La legge sulla cybersecurity (implementazione olandese di NIS2) è prevista per il secondo trimestre del 2026. Le organizzazioni devono essere immediatamente conformi non appena la legge entra in vigore.

Quali sono le sanzioni per il mancato rispetto di NIS2?

Le entità essenziali rischiano multe fino a €10 milioni o il 2% del fatturato mondiale annuo. Le entità importanti fino a €7 milioni o l'1,4% del fatturato annuo. I dirigenti possono essere chiamati a rispondere personalmente.

Pronto a risparmiare sul software?

SoftVaro negozia per te l’offerta migliore con oltre 4.000 fornitori. Indipendente, trasparente, in 24 ore.

Scopri il tuo risparmio

Di più dalla knowledge base

Articolo

Cos'è il tail spend management nel software?

Leggi di piùArticolo

Che cos'è la shadow IT e perché rappresenta un rischio?

Leggi di piùArticolo

Che cos'è la consolidazione dei fornitori e come affrontarla?

Leggi di piùGuida alla compliance

DORA spiegata: impatto sugli acquisti software nel settore finanziario

Leggi di piùArticolo

Audit software: come funzionano e come proteggerti?

Leggi di piùArticolo

Modelli di licenza software spiegati: subscription, perpetual e usage-based

Leggi di più

Cambia lingua

Altre pagine

Preferenze cookie

Scegli per categoria cosa possiamo posizionare. I cookie strettamente necessari non possono essere disattivati.

  • Analitica di terze parti (Google)

    Google Analytics 4 per il miglioramento del prodotto: pagine viste, tempo sulla pagina, clic. In aggiunta al nostro Umami rispettoso della privacy (sempre attivo, nessun consenso richiesto). Trasferimento dati a Google negli USA — secondo Clausole Contrattuali Standard.

  • Marketing

    Leadinfo identifica le aziende che visitano il sito tramite indirizzo IP, per il follow-up commerciale B2B. Nessun dato personale di singoli visitatori.

  • Strettamente necessari

    Per il funzionamento di base del sito: preferenza linguistica, gestione sessione. Nessuna terza parte.

    Sempre attivo

Nessuna misurazione Umami

Umami rientra nell'eccezione analitica e non richiede consenso, ma puoi scegliere di non essere misurato.