Con l’introduzione della Direttiva NIS2 in Italia, le aziende devono prepararsi a una serie di nuove e rigorose misure di cybersecurity. Questo passo è essenziale per rispondere alle crescenti minacce digitali in un mondo sempre più interconnesso e riflette la necessità di migliorare la resilienza delle infrastrutture critiche e delle reti informatiche su scala nazionale ed europea.
Il contesto europeo: perché NIS2?
Evoluzione normativa per affrontare le nuove sfide della cybersecurity
La Direttiva NIS2, recepita ufficialmente dal Decreto Legislativo n. 138/2024, rappresenta l’evoluzione della precedente Direttiva NIS1, rafforzando il quadro normativo già esistente. La ragione principale di questa evoluzione normativa è la crescente complessità delle minacce informatiche e la crescente dipendenza delle società moderne dalle infrastrutture digitali e dalle reti informatiche.
La NIS2 si applica a una gamma più ampia di settori rispetto alla NIS1, includendo non solo gli operatori di servizi essenziali come l’energia, i trasporti e le infrastrutture finanziarie, ma anche i fornitori di servizi digitali, le pubbliche amministrazioni, la gestione delle acque e il settore sanitario. Ciò riflette la crescente importanza di proteggere ogni settore che fornisce servizi fondamentali per la vita quotidiana e l’economia.
Il recepimento in Italia
A partire dal 18 ottobre 2024, tutte le aziende italiane che operano in settori critici dovranno conformarsi a questa nuova normativa. L’Agenzia Nazionale per la Cybersecurity (ACN) è stata designata come ente responsabile della supervisione e dell’applicazione della normativa in Italia.
Entro il 31 marzo 2025, l’ACN completerà l’identificazione e la notifica ufficiale delle aziende soggette alla direttiva, obbligandole a rispettare le nuove misure di sicurezza.
Il decreto legislativo impone obblighi specifici agli attori essenziali e importanti, modulati in base a:
- Dimensioni dell’azienda
- Settore di appartenenza
- Grado di esposizione al rischio
Le parti interessate dovranno:
- Registrati sulla piattaforma dedicata di ACN.
- Fornire informazioni aggiornate sulle attività e sulle misure di sicurezza.
L’obiettivo è quello di creare un database che permetta alle autorità di monitorare e gestire efficacemente il panorama delle minacce informatiche.
Obblighi e responsabilità per le aziende
Il NIS2 introduce obblighi severi per le aziende italiane e il mancato rispetto di questi obblighi può comportare sanzioni molto severe. Vediamo nel dettaglio alcuni dei principali obblighi.
a. Gestione del rischio
Le aziende devono adottare una politica di gestione del rischio informatico con misure tecniche e organizzative proporzionate all’entità e al livello del rischio.
b. Segnalazione degli incidenti
La notifica tempestiva di incidenti significativi è obbligatoria: pre-notifica entro 24 ore e rapporto completo entro 72 ore per garantire un’azione tempestiva e la trasparenza.
c. Valutazioni periodiche della sicurezza
I test di penetrazione e le valutazioni di vulnerabilità devono essere eseguiti almeno ogni sei mesi per mantenere i sistemi sicuri e aggiornati.
d. Sicurezza della catena di approvvigionamento
Le aziende devono valutare i rischi dei fornitori, assicurandosi che rispettino gli stessi standard di sicurezza.
e. Formazione continua
I dipendenti, in particolare i dirigenti, devono ricevere una formazione continua per prevenire e rispondere agli attacchi informatici.
Settori coinvolti e distinzione tra attori essenziali e importanti
La direttiva NIS2 distingue tra attori essenziali e attori importanti, stabilendo obblighi differenziati:
Attori essenziali
- Energia
- Trasporti
- Infrastruttura finanziaria
- Assistenza sanitaria
- Gestione dell’acqua
Attori importanti
- Servizi digitali
- Produzione alimentare
- Gestione dei rifiuti
I grandi operatori sono soggetti a regole più severe e a controlli più frequenti, poiché il loro fallimento avrebbe ripercussioni significative sulla comunità. Tuttavia, anche gli attori importanti devono adottare misure adeguate, poiché il loro fallimento potrebbe comunque causare gravi danni economici e sociali.
Sanzioni in caso di non conformità
L'inosservanza degli obblighi del NIS2 comporta sanzioni severe.
Attori essenziali
- Fino a 10 milioni di euro o al 2% del fatturato mondiale annuo (se superiore).
Attori importanti
- Fino a 7 milioni di euro o all’1,4% del fatturato mondiale annuo (se superiore).
Altre misure coercitive
- Sospensione temporanea dei certificati o delle autorizzazioni in caso di non conformità.
- Dichiarazione di inidoneità per i membri dei consigli di amministrazione fino alla risoluzione delle violazioni.
Come prepararsi alla NIS2
Per le aziende, la conformità NIS2 richiede una pianificazione strategica, un monitoraggio continuo e una mappatura accurata dell’infrastruttura e dei fornitori per identificare le vulnerabilità e rafforzare la sicurezza.