Le norme dell’UE in materia di cybersicurezza introdotte nel 2016 sono state aggiornate dalla Direttiva UE 2022/2555, meglio conosciuta come “Direttiva NIS2” e recepita in Italia tramite il Decreto Legislativo 138/2024, “Decreto NIS”. La direttiva ha voluto modernizzare il quadro giuridico esistente per tenere il passo con una maggiore digitalizzazione e un panorama in evoluzione delle minacce alla cybersicurezza: estendendo l’ambito di applicazione delle norme in materia di cybersecutity a nuovi settori e entità, migliora ulteriormente la resilienza e le capacità di risposta agli incidenti degli enti pubblici e privati, delle autorità competenti e dell’Ue nel suo complesso.
Un campo di applicazione esteso
La Direttiva NIS2 amplia considerevolmente il campo di applicazione rispetto alla Direttiva NIS1. Se la precedente normativa coinvolgeva solo otto settori critici, la nuova direttiva include anche medie e grandi imprese in settori come la produzione alimentare, automobilistica, chimica, elettronica, farmaceutica e biomedica. Questa estensione riflette la crescente consapevolezza che le minacce informatiche possono colpire una vasta gamma di industrie, rendendo necessarie misure di protezione più diffuse.
Notifiche tempestive degli incidenti
Una delle principali novità della Direttiva NIS2 è l’obbligo di notificare tempestivamente gli incidenti significativi al Computer Security Incident Response Team (CSIRT) dell’Agenzia per la Cybersicurezza Nazionale (ACN). Gli incidenti devono essere notificati entro 24 ore, con aggiornamenti entro 72 ore e un rapporto finale entro un mese. Questo approccio mira a garantire una gestione rapida ed efficace delle emergenze, limitando il potenziale danno causato dagli attacchi informatici.
Maggiore responsabilità del management
La Direttiva NIS2 introduce una maggiore responsabilità per dirigenti e amministratori, che devono assicurarsi che le politiche di cybersecurity siano implementate correttamente e che i dipendenti siano adeguatamente formati. In caso di mancata ottemperanza, il Decreto NIS prevede sanzioni amministrative, inclusa l’incapacità di svolgere funzioni dirigenziali. Questo incoraggia una cultura aziendale orientata alla sicurezza e alla prevenzione dei rischi informatici.
Sanzioni più severe
Le sanzioni previste dalla Direttiva NIS2 sono significativamente più severe rispetto alla normativa precedente. Le multe possono raggiungere il 2% del fatturato globale per le entità essenziali, creando un forte incentivo per le aziende a conformarsi alle nuove regolamentazioni.
Gestione dei fornitori e delle catene di approvvigionamento
La compliance non riguarda solo le singole aziende, ma anche i loro fornitori. Le società devono garantire che i propri fornitori siano conformi agli standard di sicurezza richiesti, imponendo una due diligence accurata lungo tutta la catena di approvvigionamento. Questo rappresenta una sfida significativa, specialmente per le medie imprese che potrebbero avere un potere negoziale limitato rispetto ai grandi fornitori di sistemi informativi e reti.
Sfide per i gruppi societari
L’implementazione della Direttiva NIS2 è particolarmente complessa per i gruppi societari internazionali, che devono armonizzare le misure di sicurezza tra entità giuridiche con livelli tecnologici e contesti normativi diversi. La gestione della supply chain aggiunge ulteriore complessità, richiedendo un notevole sforzo organizzativo per definire ruoli e responsabilità chiari e coordinare le segnalazioni di incidenti tra i vari Stati membri.
Opportunità competitiva della compliance
Nonostante i costi iniziali, la conformità alla Direttiva NIS2 offre benefici a lungo termine. Migliorare la resilienza informatica protegge le aziende da sanzioni e danni reputazionali, rafforzando al contempo la fiducia di clienti e partner commerciali. Un solido sistema di sicurezza può diventare un vantaggio competitivo, distinguendo l’azienda in un mercato sempre più attento alla cybersecurity.
Adeguarsi alla Direttiva NIS2
Per adeguarsi alla Direttiva NIS2, le aziende devono condurre un’analisi approfondita del proprio stato dell’arte tramite audit e gap analysis, identificando le vulnerabilità esistenti e confrontandole con i requisiti normativi. È essenziale definire i livelli di criticità dei processi di business e implementare misure tecniche come la crittografia, l’autenticazione a doppio fattore e i protocolli di continuità operativa.
La revisione dei contratti con i fornitori e la formazione del personale sono altrettanto cruciali. Le aziende devono prevedere clausole specifiche nei contratti che rafforzino gli standard di sicurezza informatica lungo la supply chain e investire in programmi strutturati di educazione alla cybersecurity per ridurre il rischio associato agli errori umani.
Next steps
L’implementazione della Direttiva NIS2 in Italia seguirà un percorso graduale. Dal 1° dicembre, le società possono registrarsi sul portale dell’ACN, con una prima scadenza al 28 febbraio per completare la procedura. Entro aprile 2025 verrà pubblicata una determina sugli obblighi di base, seguita dalla definizione dei requisiti di conformità a lungo termine nel 2026. Durante questo periodo, sono attesi decreti che definiranno criteri e procedure per monitoraggio, vigilanza ed esecuzione, garantendo una conformità efficace e trasparente.
Newsletter – Non perderti le ultime novità sul mondo dell’Intelligenza Artificiale: iscriviti alla newsletter di Rivista.AI e accedi a un mondo di contenuti esclusivi direttamente nella tua casella di posta!