La Direttiva NIS2 (Network and Information Security), che sostituisce la precedente NIS1, rappresenta un pilastro fondamentale per il rafforzamento della sicurezza informatica nell’Unione Europea.
Principali novità introdotte dalla NIS2
Ampliamento dei destinatari: La nuova direttiva estende il proprio ambito applicativo a un maggior numero di organizzazioni. Oltre agli Operatori di Servizi Essenziali (OSE) definiti nella NIS1, sono ora inclusi i "Soggetti Essenziali" e "Soggetti Importanti". Questi ultimi comprendono non solo le aziende di infrastrutture critiche ma anche operatori di settori chiave come telecomunicazioni, sanità, finanza, trasporti, e fornitori di servizi digitali quali cloud e social network.
Obblighi di sicurezza: Le organizzazioni interessate devono adottare misure tecniche, operative ed organizzative adeguate per ridurre i rischi legati alla sicurezza dei sistemi informativi e per mitigare l’impatto di eventuali incidenti. È fondamentale stabilire chiaramente i ruoli dedicati alla sicurezza informatica, come un Chief Security Officer (CSO) o equivalente.
Notifica degli incidenti di sicurezza: Uno degli aspetti centrali della NIS2 è il rafforzamento degli obblighi di segnalazione:
Pre-notifica entro 24 ore dall'individuazione di un incidente significativo.
Notifica completa entro 72 ore, con una valutazione dell'impatto e degli indicatori di compromissione.
Relazione finale entro un mese, che includa la causa dell'incidente e le misure adottate per mitigarlo.
Roadmap e scadenze
Le aziende devono seguire un calendario preciso per conformarsi alla direttiva:
Gennaio-febbraio 2025: registrazione obbligatoria sulla piattaforma digitale dell'Agenzia per la Cybersicurezza Nazionale (ACN).
Marzo 2025: identificazione dei soggetti essenziali e importanti da parte dell’ACN.
Aprile 2025: comunicazione ufficiale alle aziende del loro status di conformità.
2026: avvio degli obblighi di notifica degli incidenti e ulteriori adempimenti relativi alla governance aziendale.
Sanzioni in caso di non conformità
La NIS2 prevede sanzioni severe per le aziende che non rispettano gli obblighi:
Fino a 10 milioni di euro o al 2% del fatturato globale per i soggetti essenziali.
Fino a 7 milioni di euro o all’1,4% del fatturato globale per i soggetti importanti.
Sanzioni specifiche sono previste anche per la mancata registrazione sulla piattaforma ACN.
Implicazioni per le aziende
Per molte aziende, la NIS2 non sarà solo un obbligo, ma un’opportunità per migliorare la propria cyber-resilienza. È essenziale effettuare una valutazione interna della "cyber maturity" e collaborare con esperti per integrare le misure necessarie. Tra le varie indicazioni, la direttiva offre anche uno schema proporzionale di applicazione, basato sul rischio specifico e sulla dimensione delle organizzazioni.
La Direttiva NIS2 segna un passo decisivo verso una maggiore protezione in ambito cyber del territorio europeo. Tuttavia, il rispetto delle nuove regole richiede un impegno significativo in termini di tempo, risorse e competenze. Le aziende italiane dovrebbero iniziare immediatamente a pianificare il proprio adeguamento, monitorando le scadenze e sfruttando i supporti disponibili.