
La Direttiva (UE) 2022/2555, comunemente nota come NIS 2, recepita in Italia col D.Lgs.
n.138/2024, rappresenta il nuovo quadro normativo di riferimento per la cibersicurezza all'interno dell'Unione Europea. Con l’abrogazione della precedente Direttiva (UE) 2016/1148, essa amplia il numero di settori coinvolti e stabilisce obblighi di sicurezza più specifici e dettagliati, con l’intento di creare un sistema di sicurezza informatica maggiormente robusto e resiliente.
Nell’intento di elencare gli aspetti più rilevanti e significativi per le aziende, si propone di seguito
un riassunto, generale e non esaustivo, delle principali novità introdotte.
Ambito di applicazione: la NIS 2 amplia significativamente i settori e le attività
considerate critiche rispetto alla NIS. Gli allegati della Direttiva elencano nel dettaglio i
settori coinvolti.
Classificazione dei soggetti: la Direttiva distingue tra soggetti essenziali e soggetti
importanti, classificazione che si basa non solo sulle dimensioni dell'azienda ma anche sul
potenziale impatto che un incidente informatico avrebbe sui servizi offerti.
La NIS 2 enfatizza la responsabilità degli organi di gestione: i dirigenti aziendali sono
chiamati a integrare la cybersecurity nelle strategie aziendali e ad approvare le misure di
sicurezza necessarie, garantendone l'efficace attuazione. La loro responsabilità si estende alla
creazione di una cultura aziendale orientata alla sicurezza.
La Direttiva NIS2 obbliga i soggetti essenziali e importanti a notificare gli incidenti
significativi tramite la piattaforma ACN: una pre-notifica entro 24 ore e una notifica
dettagliata entro 72 ore dalla scoperta dell'incidente, con una relazione finale entro un mese.
Le notifiche devono dettagliare natura, sistemi coinvolti, cause, conseguenze, indicatori di
compromissione (IoC), e misure di mitigazione. Il sistema promuove la risposta coordinata a
livello nazionale ed europeo e la condivisione di informazioni per la prevenzione, con obbligo
di informare i clienti. La mancata notifica, l'omissione di informazioni, o il mancato rispetto
delle tempistiche comportano sanzioni. CSIRT e ACN offrono supporto tecnico e assistenza
nella gestione degli incidenti.
Vigilanza e sanzioni: l'Agenzia per la Cybersicurezza Nazionale (ACN) è l'autorità
competente per la vigilanza e l'applicazione della NIS 2 in Italia. L'ACN ha poteri di verifica,
ispezione e sanzione. Le sanzioni per la violazione degli obblighi possono essere molto severe,
fino 10 milioni di euro o al 2% del fatturato totale annuo mondiale dell'esercizio precedente e
fino a 7 milioni di euro o all'1,4% del fatturato totale annuo mondiale dell'esercizio
precedente, a seconda della categoria di soggetti coinvolta. Sono previsti anche provvedimenti
di carattere personale per i dirigenti che non adempiono ai loro doveri in materia di
cybersecurity.
Oltre il mero adempimento normativo, la NIS 2 può essere considerata come un’opportunità
strategica per le aziende che operano nel contesto digitale attuale. È bene dunque considerare
molteplici aspetti.
Conformità normativa obbligatoria: se l’azienda rientra nei settori e nelle tipologie di
soggetti definiti dalla NIS 2, è obbligatorio conformarsi ai suoi obblighi. La mancata
conformità può comportare non solo, come si è detto, sanzioni finanziarie e amministrative
severe, ma anche danni alla reputazione aziendale.
Protezione degli asset aziendali: le minacce informatiche sono in costante crescita. La NIS
2 è uno strumento cruciale per proteggersi da attacchi informatici, furti di dati o interruzioni
dei servizi. Implementare le misure di sicurezza previste dalla Direttiva può evitare perdite
economiche e operative significative.
Miglioramento della reputazione: un approccio proattivo alla cybersecurity dimostra al
pubblico l’impegno attivo dell’azienda. Questo può aumentare la fiducia nel marchio e
migliorare l’immagine aziendale.
Vantaggio competitivo: la conformità alla NIS 2 può facilitare l'accesso a nuovi mercati e
migliorare le relazioni commerciali. Molte aziende considerano la cybersecurity un requisito
fondamentale, perciò adeguarsi tempestivamente ai nuovi standard può fornire un vantaggio
competitivo significativo.
Formazione continua e cultura della sicurezza: la NIS 2 evidenzia l'importanza della
formazione del personale e della sensibilizzazione sui rischi informatici. Le aziende devono
promuovere una cultura della sicurezza a tutti i livelli, coinvolgendo il personale e
integrandola nei processi decisionali quotidiani. Gli organi di gestione devono seguire una
formazione specifica in materia di cybersecurity, assumendosi la responsabilità di promuovere
la sicurezza a tutti i livelli dell'organizzazione. Questo assicura che le decisioni strategiche
siano prese tenendo conto degli aspetti legati alla cybersecurity. Le aziende devono investire
in programmi di formazione continua che aiutino il personale a prevenire errori umani, a
riconoscere le minacce e a reagire efficacemente agli incidenti. La formazione dovrebbe
coprire temi come la gestione delle password, il riconoscimento del phishing, la protezione
dei dati e la risposta agli incidenti.
Resilienza operativa: la NIS 2 non si limita alla prevenzione degli attacchi, ma si concentra
Comments