NIS2: nuovi obblighi per la sicurezza cibernetica in Italia e in Europa

L'entrata in vigore della Direttiva (UE) 2022/2555, nota come NIS2, segna un passo significativo nella sicurezza informatica in Europa, imponendo nuove responsabilità alle aziende. Questa normativa non solo migliora la resilienza alle minacce cibernetiche, ma definisce anche requisiti rigorosi per la gestione del rischio e la segnalazione degli incidenti informatici, garantendo che le organizzazioni siano adeguatamente preparate a fronteggiare le sfide della cybersicurezza.

Questo ambito, come tutto l’ecosistema digitale, ha raggiunto un livello di complessità significativo. La produzione normativa è particolarmente intensa e spesso questo genera sovrapposizioni regolamentari. Tutto ciò crea problemi di chiarezza e difficoltà di orientamento.

In questo articolo approfondiamo la NIS2 e tutto ciò che devi sapere al riguardo!

wesley-tingey-RnfF8SXkzRw-unsplash

Ambito di applicazione di NIS2: le entità essenziali e importanti

La direttiva NIS2 si applica a due categorie principali di organizzazioni: le "entità essenziali" e le "entità importanti".

Le entità essenziali includono grandi aziende operanti in settori critici, come energia, trasporti e Pubblica Amministrazione. Per essere classificate come grandi aziende, le organizzazioni devono avere almeno 250 dipendenti, oppure un fatturato annuale minimo di 50 milioni di euro o un bilancio annuale di almeno 43 milioni di euro. Le entità importanti comprendono le aziende che operano in settori quali ricerca, servizi postali e gestione dei rifiuti; devono contare almeno 50 dipendenti e raggiungere fatturato e bilancio annuale di 10 milioni di euro.

La Direttiva distingue i settori ritenuti altamente critici, nonché i relativi sottosettori, le categorie di pubbliche amministrazioni e le ulteriori tipologie di soggetti a cui si applicherà il decreto. Questa distinzione è fondamentale per comprendere la portata della normativa e l'impatto che avrà sulle aziende italiane e non solo.

Obblighi di Cybersecurity e continuità aziendale

Un tema rilevante della Direttiva NIS2 è la responsabilità dei soggetti abilitati: la normativa prevede che la direzione aziendale supervisioni e approvi le misure di sicurezza informatica. La responsabilità si sposta quindi verso il vertice aziendale, rendendo necessaria una formazione specifica per dirigenti e manager, che devono essere in grado di gestire, rispondere e mitigare i rischi informatici.

Un pilatro cruciale della normativa è la continuità aziendale: le organizzazioni devono sviluppare strategie dettagliate per rispondere e riprendersi tempestivamente in caso di attacco informatico, minimizzando le interruzioni dei servizi forniti. Le aziende devono quindi creare una strategia dettagliata e credibile di risposta e rispristino dagli attacchi cyber security, con l’obiettivo di garantire la ripresa e ridurre rapidamente eventuali interruzioni. 

Segnalazione degli incidenti: garantire una risposta rapida e coordinata 

Una delle novità introdotte dalla NIS2 è la procedura di segnalazione degli incidenti, la quale impone che le entità notifichino tempestivamente al CSIRT Italia (Computer Security Incident Response Team Italia) qualsiasi incidente con possibili e rilevanti ripercussioni sui loro servizi. La definizione di un incidente significativo include quello che può causare gravi perturbazioni operative dei servizi o perdite finanziarie considerevoli, ma anche effetti dannosi su persone fisiche o giuridiche, causando perdite materiali o immateriali considerevoli.

Questo sistema di notifica ha l’obiettivo di garantire un intervento rapido e coordinato in caso di crisi cibernetiche, rafforzando la cooperazione tra i diversi attori coinvolti. In caso di mancata conformità, NIS2 prevede delle sanzioni pecuniarie più incisive rispetto al passato: per le entità essenziali, la penale può arrivare fino a 10 milioni di euro, per le entità importanti può raggiungere i 7 milioni di euro.

La Risposta dell'Italia a NIS2, nuovi obblighi e priorità

L'Italia è stata tra i primi Stati membri dell’UE a recepire la Direttiva NIS2 attraverso il Decreto Legislativo 138/2024 (detto anche Decreto di Recepimento), il quale ha come obiettivi principali l'innalzamento del livello di cyber resilienza e il miglioramento del livello di consapevolezza comune e della capacità di preparazione e risposta alle crisi. Per garantire l'efficacia della normativa, sono stati introdotti nuovi obblighi di notificazione e sono state stabilite gerarchie di priorità per le segnalazioni al CSIRT Italia, che riflettono l'importanza sociale ed economica degli incidenti segnalati.

Adeguarsi e affrontare le sfide dalla NIS2   

Con l’entrata in vigore della NIS2, le aziende europee sono chiamate a un impegno crescente verso la sicurezza informatica. Le organizzazioni devono ora valutare se le attuali procedure di gestione del rischio cyber siano sufficienti per soddisfare i requisiti della NIS2, valutando anche la sicurezza della supply chain e dei fornitori.

È essenziale che i vertici aziendali assumano un ruolo attivo nel monitorare non solo le politiche aziendali di cybersicurezza, ma anche le inevitabili interconnessioni con il panorama digitale più ampio. La normativa promuove una cultura di sicurezza che può generare effetti positivi a lungo termine, sia per le aziende stesse che per l'ecosistema digitale. Essere pronti e informati sono gli imperativi per affrontare le sfide future nel mondo della cybersicurezza.
04 dicembre 2024
email-1

ISCRIVITI ALLA NEWSLETTER

Per rimanere aggiornato su tutte le novità, leggere gli ultimi articoli del blog e conoscere gli eventi in programma nelle prossime settimane, iscriviti subito alla newsletter

Iscriviti