Dal 16 ottobre 2024 è in vigore la nuova normativa Network and Information Security (direttiva NIS) di derivazione europea, recepita con il dlgs 138/2024.
Dal 16 ottobre 2024 è in vigore in Italia la nuova direttiva europea NIS 2 (Network and Information Security), recepita con il Decreto Legislativo 138/2024. La normativa, entrata in vigore a livello europeo il 17 gennaio 2023, mira a rafforzare la cybersecurity nell’Unione Europea, promuovendo un quadro normativo più uniforme e coordinato tra gli Stati membri. L’obiettivo è elevare il livello di sicurezza informatica, ridurre le vulnerabilità e aumentare la resilienza delle infrastrutture critiche, sia pubbliche che private, di fronte alle crescenti minacce cyber.
Chi è interessato dalla NIS 2?
La direttiva si applica principalmente a organizzazioni di medie e grandi dimensioni, con esclusione delle imprese con meno di 50 dipendenti o un fatturato annuo inferiore a 10 milioni di euro, a meno che non siano considerate di importanza critica. Tuttavia, anche le piccole imprese potrebbero essere coinvolte se operano in settori critici o fanno parte della catena di approvvigionamento di soggetti essenziali.
Oltre ai comparti tradizionali come energia, telecomunicazioni, trasporti, bancario, mercati finanziari e sanità, la NIS2 include anche:
Settori ad alta criticità: acque reflue, gestione dei servizi ICT B2B, pubblica amministrazione, spazio.
Altri settori critici: servizi postali, gestione dei rifiuti, chimica, alimentare, produzione di dispositivi medici, elettronica, apparecchiature elettriche, macchinari, autoveicoli, trasporti specializzati, fornitori di servizi digitali e organizzazioni di ricerca.
I soggetti sono distinti in “essenziali” e “importanti”, con obblighi proporzionali al livello di criticità. I soggetti essenziali, che operano in settori critici per la società e l’economia, sono sottoposti a requisiti più rigorosi.
Obblighi per le aziende
Le organizzazioni interessate dovranno:
- Adottare misure di sicurezza tecniche, organizzative e operative per ridurre i rischi informatici.
- Notificare gli incidenti significativi alle autorità competenti entro tempi stretti.
- Valutare la sicurezza della catena di approvvigionamento, inclusi i rapporti con i fornitori.
- Formare il personale e i dirigenti sui temi della cybersecurity, con particolare attenzione a phishing, social engineering e gestione delle password.
Governance e responsabilità
La NIS 2 introduce responsabilità specifiche per gli organi di amministrazione e direttivi, che dovranno:
- Approvare le misure di sicurezza.
- Sovrintendere alla loro implementazione.
- Seguire una formazione specifica in materia di cybersecurity.
- Essere responsabili delle eventuali violazioni.
Tappe fondamentali per le aziende
- Registrazione sulla piattaforma ACN entro il 28 febbraio 2025.
- Notifica degli incidenti: obbligatoria a partire dal 1° gennaio 2026.
- Implementazione delle misure di sicurezza: da completare entro il 1° ottobre 2026.
Sanzioni
Le violazioni della NIS 2 possono portare a sanzioni significative:
- Fino a 10 milioni di euro o il 2% del fatturato annuo per i soggetti essenziali.
- Fino a 7 milioni di euro o l’1,4% del fatturato annuo per i soggetti importanti.
- Sanzioni accessorie per i dirigenti, inclusa l’incapacità a svolgere funzioni dirigenziali.
Business Continuity e gestione del rischio
La direttiva impone anche l’adozione di piani di Business Continuity per garantire la continuità operativa in caso di incidenti. È necessario mappare i processi critici, testare regolarmente i piani e valutare i rischi lungo la catena di fornitura.
Conclusioni
La NIS 2 rappresenta un passo importante verso una maggiore sicurezza informatica in Europa. Le aziende interessate dovranno adeguarsi tempestivamente, adottando misure di sicurezza, formando il personale e collaborando con le autorità competenti. Prepararsi per tempo è essenziale per evitare sanzioni e garantire la resilienza delle proprie infrastrutture.