Scopri tutte le domande e le risposte corrette del quiz NIS2 qui sotto.
Hai capito bene quali sono le 10 domande!
Non sono necessarie informazioni sul pagamento.
Jouw antwoord:
A: Migliorare la sicurezza informatica delle aziende europee.
B: Ridurre il rischio di violazioni di dati
C: Allineare le misure europee di cyber security
D: Tutto quanto sopra è corretto
La NIS2 è la nuova legge europea sulla sicurezza informatica. La legge dovrebbe proteggere meglio le aziende europee dalla criminalità informatica. Questa migliore protezione dovrebbe, ad esempio, ridurre il rischio di violazione dei dati.
Inoltre, l'obiettivo è quello di armonizzare le misure di sicurezza europee. L'europarlamentare Bart Groothuis ne parla alla Camera di Commercio: "Gli sviluppi tecnici sono molto rapidi. La NIS 1 è in vigore dal 2018 ed è obsoleta. Non tutti gli Stati membri applicano la legge in modo uguale o rigoroso. Se ora fate affari con altri Paesi europei o avete una filiale in più Paesi, ovunque si applicano regole diverse. Questo non funziona. Stiamo per tracciare un'unica linea di demarcazione".
Jouw antwoord:
B: Organizzazioni con più di 50 milioni di euro di fatturato
C: Organizzazioni essenziali e importanti in settori specifici
Il NIS2 si applica a tutte le organizzazioni essenziali e importanti dei settori indicati nella tabella seguente. Si applicano i seguenti criteri:
Le organizzazioni essenziali...
... sono grandi organizzazioni che operano in un settore del gruppo A della tabella seguente.
Un'organizzazione è grande a:
1. 250 o più dipendenti o;
2. Fatturato netto annuale di 50 milioni di euro o un totale di bilancio di 43 milioni di euro o più.
Le grandi organizzazioni...
... sono organizzazioni di medie dimensioni che operano in un settore del gruppo A o B della tabella seguente.
Un'organizzazione è di medie dimensioni a:
1. 50 o più dipendenti o;
2. Un fatturato annuo o un totale di bilancio pari o superiore a 10 milioni di euro.
| Gruppo A (organizzazioni essenziali e importanti) | Gruppo B (organizzazioni importanti) |
| Energia | Fornitori digitali |
| Trasporto | Servizi postali e di corriere |
| Settore bancario | Gestione dei rifiuti |
| Infrastrutture | Cibo |
| Assistenza sanitaria | Prodotti chimici |
| Acqua potabile | Ricerca |
| Infrastruttura digitale | Fabbricazione e produzione |
| Acque reflue | |
| Servizi governativi | |
| Spazio | |
| Gestione dei servizi ICT |
Jouw antwoord:
A: Vengono controllate solo le organizzazioni essenziali
B: Le organizzazioni essenziali vengono controllate prima e dopo, quelle importanti solo dopo.
C: Non c'è distinzione tra organizzazioni essenziali e importanti.
Il controllo delle organizzazioni essenziali sarà più severo di quello delle organizzazioni importanti. Le organizzazioni essenziali saranno controllate in anticipo.
DigitalTrustCenter del Ministero dell'Economia e del Clima, si può leggere quanto segue: "Le entità essenziali sono soggette a un regime di supervisione più intenso, con monitoraggio sia ex ante che ex post. Le entità significative sono soggette a una forma di vigilanza più leggera, solo ex post. Ad esempio, se ci sono indicazioni di non conformità alla legge o se si è verificato un incidente".
Jouw antwoord:
A: Sì
B: No
Il NIS2 si applicherà anche alle PMI. Vale a dire, per le organizzazioni essenziali e importanti nei settori citati.
L'eurodeputato Bart Groothuis spiega alla Camera di Commercio: "Tutti coloro che forniscono un servizio essenziale ai consumatori rientrano nella nuova legge. Quindi anche i piccoli fornitori di servizi. Stiamo ancora discutendo su cosa si intenda esattamente per 'essenziale'. Fornitori di servizi Internet, piccole fabbriche, aziende che si occupano di acqua o energia: questo tipo di aziende sarà considerato essenziale".
Jouw antwoord:
R: Una direttiva, si tratta di raccomandazioni sulla sicurezza.
B: Una normativa, che prescrive una sicurezza minima di base.
C: Una direttiva europea che gli Stati membri devono recepire nella legislazione.
La NIS2 è la nuova legislazione europea sul cyber. È una direttiva europea che gli Stati membri integrano nella loro legislazione nazionale.
Nei Paesi Bassi, il NIS è stato quindi integrato nella legge sulla sicurezza delle reti e dei sistemi informativi (Wbni) nel 2018.
Nel dicembre 2022 è stato raggiunto un accordo a livello europeo sul NIS2, che è entrato in vigore un mese dopo. Gli Stati membri devono integrarla nella loro legislazione nazionale entro 21 mesi da quel momento. Ciò significa che la normativa entrerà in vigore nei Paesi Bassi entro ottobre 2024.
Si noti che nei Paesi Bassi si fa riferimento al NIB2 (Network and Information Security) invece che al NIS2.
Jouw antwoord:
A: Ogni organizzazione è responsabile dei propri sistemi.
B: Ogni organizzazione è responsabile dei propri sistemi e di quelli dei fornitori e di altri soggetti della catena.
C: Ogni organizzazione è responsabile dei propri sistemi, di quelli dei fornitori e di altri soggetti della catena, nonché di quelli di altri partner (di cooperazione).
La NIS2 rende le organizzazioni responsabili dei propri sistemi, di quelli dei fornitori e di altri soggetti della catena, nonché di quelli di altri partner (di cooperazione). La NIS2 obbliga quindi a proteggersi dai rischi del sistema. In particolare, le organizzazioni devono Valutare il sito cyber security dei fornitori.
- Esaminare in modo critico i rischi per la sicurezza nelle aziende della catena di fornitura.
- Partecipare alle valutazioni dei rischi della catena di fornitura all'interno del settore.
- Stabilire la valutazione e la gestione del rischio della catena di fornitura per le terze parti.
- Adottare misure per una comunicazione elettronica sicura con i fornitori.
- Notificare ai clienti e alle autorità le minacce di terzi.
Più specificamente, secondo il NIS2, le organizzazioni dovrebbero monitorare attivamente eventuali rischi informatici nella catena (di fornitura). Le organizzazioni dovrebbero:
- Identificare e valutare le minacce ai prodotti e ai servizi di terzi.
- Sviluppare politiche, piani e soluzioni per affrontare le minacce.
- Adottare misure per garantire l'approvvigionamento e la fornitura di prodotti e servizi di terzi.
Infine, le organizzazioni devono monitorare, valutare e adottare continuamente misure appropriate per considerare e affrontare seriamente qualsiasi rischio informatico di terzi. Ad esempio, è importante condurre valutazioni regolari o addirittura audit di terze parti. Inoltre, è necessario prestare regolare attenzione agli accordi con i fornitori.
Se si scopre che la sicurezza di terzi non è all'altezza, le organizzazioni devono intervenire in prima persona, anche interrompendo la partnership, se necessario.
Jouw antwoord:
A: No, si tratta di un avviso per il quale le autorità emettono segnalazioni
B: Sì, fino a un massimo di 100.000 euro per incidente
C: Sì, fino a un massimo di 1.000.000 di euro per incidente
D: Sì, fino a un massimo di 10.000.000 di euro o al 2% del fatturato globale annuo.
Come nel caso della NIS, le autorità possono imporre multe in caso di non conformità. L'ammenda può arrivare fino a un massimo di 10 milioni di euro o al 2% del fatturato mondiale annuo. Il valore più alto determina l'importo della multa.
Jouw antwoord:
A: Le multe o le sanzioni possono essere più basse
B: Le organizzazioni ricevono la certificazione
C: Queste misure non hanno alcun impatto
Le autorità decidono quali multe o sanzioni imporre alle organizzazioni in violazione.
Jouw antwoord:
A: Una notifica immediata in caso di violazione dei dati.
B: Una notifica immediata per qualsiasi incidente informatico che influisca sulle operazioni aziendali.
C: Un rapporto finale che descriva l'incidente, il tipo di minaccia, la gravità e le conseguenze e le misure applicate e in corso.
D: Tutto quanto sopra
Le organizzazioni devono segnalare immediatamente tutti gli incidenti informatici che influiscono sulle operazioni aziendali, comprese le violazioni dei dati.
Il National Cyber Security Center scrive: "La direttiva NIS2 richiede alle entità di segnalare gli incidenti all'autorità di regolamentazione entro 24 ore. Si tratta di incidenti che (possono) interrompere in modo significativo la fornitura del servizio essenziale. Nel caso di un incidente informatico, deve essere segnalato anche al Computer Security Incident Response Team (CSIRT)".
L'obbligo di rendicontazione prevede due relazioni:
Rapporto diretto:
Le organizzazioni devono fare un rapporto il prima possibile con le informazioni strettamente necessarie, come ad esempio cosa è successo, quale è la (possibile) causa e quale atto illegale o doloso ha avuto luogo. Le organizzazioni effettueranno la segnalazione all'autorità nazionale competente o al Computer Security Incident Response Team (CSIRT). L'autorità o il CSIRT rispondono alla segnalazione entro 24 ore.
Notifica finale:
Entro un mese dalla notifica iniziale, le organizzazioni devono presentare un rapporto finale. Tale rapporto deve includere quanto segue:
Jouw antwoord:
A: ottobre 2023
B: marzo 2024
C: ottobre 2024
Nel dicembre 2022 è stato raggiunto un accordo a livello europeo. L'accordo è entrato in vigore un mese dopo. Da allora gli Stati membri hanno 21 mesi di tempo per recepire la NIS2 nella legislazione nazionale.
Ciò significa che il NIS2 entrerà in vigore nei Paesi Bassi entro l'ottobre 2024.
Si noti che nei Paesi Bassi si parla di NIB2 (Network and Information Security) anziché di NIS2.
