L’evoluzione delle normative sulla cybersicurezza in Europa prosegue con l’introduzione della Direttiva NIS2 (EU Directive on Security of Network and Information Systems), recepita in Italia attraverso il Decreto Legislativo n. 138/2024.
Questo provvedimento rafforza e amplia le misure di protezione informatica, imponendo obblighi più stringenti per un numero maggiore di aziende e settori.
Un nuovo paradigma di cybersecurity
Seguendo l’approccio del GDPR, la NIS2 introduce il principio dell’accountability, aumentando la responsabilità delle imprese e delle istituzioni pubbliche nella gestione del rischio informatico. L’obiettivo è costruire un ecosistema digitale più sicuro e interconnesso, riducendo il rischio di attacchi che potrebbero compromettere infrastrutture critiche.
Uno degli aspetti chiave della NIS2 è l’ampliamento del campo di applicazione, che ora include settori cruciali come:
- Gestione dei rifiuti
- Trasporti
- Industria alimentare
- Fornitura e distribuzione di acqua potabile
- Infrastrutture digitali
- Pubblica amministrazione
- Produzione e ricerca nel settore farmaceutico e spaziale
Obblighi e scadenze per le aziende
Le aziende e gli enti pubblici soggetti alla NIS2 hanno tempo fino al 28 febbraio 2025 per registrarsi sulla piattaforma digitale messa a disposizione dall’ACN (Agenzia per la Cybersicurezza Nazionale) tramite il Portale dei Servizi. La mancata registrazione può comportare una sanzione amministrativa fino allo 0,1% del fatturato annuo su scala mondiale dell’azienda.
Dopo la registrazione, viene effettuata una classificazione in due categorie:
- “Soggetto alla norma”, con conseguenti obblighi di adeguamento
- “Fuori ambito”, con la possibilità di fornire una motivazione per l’esclusione
Anche nel caso in cui l’azienda ritenga di essere esclusa dagli obblighi, è consigliabile procedere comunque con la registrazione per evitare sanzioni e ottenere un’esclusione formale.
Maggiore responsabilità per il management
Le aziende devono adottare un approccio basato sulla gestione del rischio, implementando misure di sicurezza adeguate.
In particolare, la normativa prevede obblighi stringenti su:
- Gestione del rischio: valutazione periodica delle vulnerabilità e implementazione di misure di sicurezza.
- Notifica degli incidenti: comunicazione tempestiva e dettagliata degli incidenti di sicurezza alle autorità competenti.
- Sicurezza della supply chain: controllo e gestione dei rischi legati ai fornitori.
- Accountability del management: responsabilità diretta della dirigenza, con possibili sanzioni in caso di mancata conformità.
I gruppi e le imprese collegate
Un aspetto particolarmente delicato riguarda la dimensione aziendale e il concetto di imprese collegate. La normativa non si limita alle sole holding formalmente costituite, ma si estende a realtà in cui esiste un effettivo esercizio di potere di direzione e coordinamento tra società.
Affrontare la NIS2 con un approccio strategico
L’adeguamento alla NIS2 rappresenta un passaggio fondamentale per garantire la sicurezza informatica delle aziende italiane e allinearsi agli standard europei. Tuttavia, la complessità della normativa richiede un’analisi approfondita per ogni specifica realtà aziendale.
Per questo motivo, è essenziale affidarsi a esperti del settore per una consulenza personalizzata.
Contattaci per comprendere meglio gli obblighi della NIS2 e per definire una strategia di conformità su misura per la tua azienda.
