top of page
Cerca

Cos'è la Direttiva NIS 2 e perché è importante per le aziende?

Immagine del redattore: Redazione LexTech HubRedazione LexTech Hub

Aggiornamento: 5 feb


Data Protection Forum 2025
Data Protection Forum 2025
La Direttiva (UE) 2022/2555, comunemente nota come NIS 2, recepita in Italia col D.Lgs.
n.138/2024, rappresenta il nuovo quadro normativo di riferimento per la cibersicurezza all'interno dell'Unione Europea. Con l’abrogazione della precedente Direttiva (UE) 2016/1148, essa amplia il numero di settori coinvolti e stabilisce obblighi di sicurezza più specifici e dettagliati, con l’intento di creare un sistema di sicurezza informatica maggiormente robusto e resiliente.

Nell’intento di elencare gli aspetti più rilevanti e significativi per le aziende, si propone di seguito
un riassunto, generale e non esaustivo, delle principali novità introdotte.

  • Ambito di applicazione: la NIS 2 amplia significativamente i settori e le attività
considerate critiche rispetto alla NIS. Gli allegati della Direttiva elencano nel dettaglio i
settori coinvolti.

  • Classificazione dei soggetti: la Direttiva distingue tra soggetti essenziali e soggetti
importanti, classificazione che si basa non solo sulle dimensioni dell'azienda ma anche sul
potenziale impatto che un incidente informatico avrebbe sui servizi offerti.

  • La NIS 2 enfatizza la responsabilità degli organi di gestione: i dirigenti aziendali sono
chiamati a integrare la cybersecurity nelle strategie aziendali e ad approvare le misure di
sicurezza necessarie, garantendone l'efficace attuazione. La loro responsabilità si estende alla
creazione di una cultura aziendale orientata alla sicurezza.

  • La Direttiva NIS2 obbliga i soggetti essenziali e importanti a notificare gli incidenti
significativi tramite la piattaforma ACN: una pre-notifica entro 24 ore e una notifica
dettagliata entro 72 ore dalla scoperta dell'incidente, con una relazione finale entro un mese.
Le notifiche devono dettagliare natura, sistemi coinvolti, cause, conseguenze, indicatori di
compromissione (IoC), e misure di mitigazione. Il sistema promuove la risposta coordinata a
livello nazionale ed europeo e la condivisione di informazioni per la prevenzione, con obbligo
di informare i clienti. La mancata notifica, l'omissione di informazioni, o il mancato rispetto
delle tempistiche comportano sanzioni. CSIRT e ACN offrono supporto tecnico e assistenza
nella gestione degli incidenti.

  • Vigilanza e sanzioni: l'Agenzia per la Cybersicurezza Nazionale (ACN) è l'autorità
competente per la vigilanza e l'applicazione della NIS 2 in Italia. L'ACN ha poteri di verifica,
ispezione e sanzione. Le sanzioni per la violazione degli obblighi possono essere molto severe,
fino 10 milioni di euro o al 2% del fatturato totale annuo mondiale dell'esercizio precedente e
fino a 7 milioni di euro o all'1,4% del fatturato totale annuo mondiale dell'esercizio
precedente, a seconda della categoria di soggetti coinvolta. Sono previsti anche provvedimenti
di carattere personale per i dirigenti che non adempiono ai loro doveri in materia di
cybersecurity.

Oltre il mero adempimento normativo, la NIS 2 può essere considerata come un’opportunità
strategica per le aziende che operano nel contesto digitale attuale. È bene dunque considerare
molteplici aspetti.

  • Conformità normativa obbligatoria: se l’azienda rientra nei settori e nelle tipologie di
soggetti definiti dalla NIS 2, è obbligatorio conformarsi ai suoi obblighi. La mancata
conformità può comportare non solo, come si è detto, sanzioni finanziarie e amministrative
severe, ma anche danni alla reputazione aziendale.

  • Protezione degli asset aziendali: le minacce informatiche sono in costante crescita. La NIS
2 è uno strumento cruciale per proteggersi da attacchi informatici, furti di dati o interruzioni
dei servizi. Implementare le misure di sicurezza previste dalla Direttiva può evitare perdite
economiche e operative significative.

  • Miglioramento della reputazione: un approccio proattivo alla cybersecurity dimostra al
pubblico l’impegno attivo dell’azienda. Questo può aumentare la fiducia nel marchio e
migliorare l’immagine aziendale.

  • Vantaggio competitivo: la conformità alla NIS 2 può facilitare l'accesso a nuovi mercati e
migliorare le relazioni commerciali. Molte aziende considerano la cybersecurity un requisito
fondamentale, perciò adeguarsi tempestivamente ai nuovi standard può fornire un vantaggio
competitivo significativo.

  • Formazione continua e cultura della sicurezza: la NIS 2 evidenzia l'importanza della
formazione del personale e della sensibilizzazione sui rischi informatici. Le aziende devono
promuovere una cultura della sicurezza a tutti i livelli, coinvolgendo il personale e
integrandola nei processi decisionali quotidiani. Gli organi di gestione devono seguire una
formazione specifica in materia di cybersecurity, assumendosi la responsabilità di promuovere
la sicurezza a tutti i livelli dell'organizzazione. Questo assicura che le decisioni strategiche
siano prese tenendo conto degli aspetti legati alla cybersecurity. Le aziende devono investire
in programmi di formazione continua che aiutino il personale a prevenire errori umani, a
riconoscere le minacce e a reagire efficacemente agli incidenti. La formazione dovrebbe
coprire temi come la gestione delle password, il riconoscimento del phishing, la protezione
dei dati e la risposta agli incidenti.

  • Resilienza operativa: la NIS 2 non si limita alla prevenzione degli attacchi, ma si concentra
anche sulla capacità di resistere e riprendersi da eventuali incidenti. È richiesta la
predisposizione di piani di continuità operativa e di disaster recovery, per garantire che
l'azienda possa riprendere rapidamente le proprie attività in caso di emergenza.

Come emerso nella breve panoramica fin qui delineata, la nuova normativa NIS non si risolve in
una dispendiosa incombenza che grava sull’azienda, ma appare piuttosto come un investimento a favore degli interessi dell’organizzazione stessa. Similmente a quanto si potrebbe affermare in merito ad obblighi di adempimento affini quali, ad esempio, il ben noto GDPR, è auspicabile un approccio a lungo termine, che affianchi al processo di adempimento una precisa strategia aziendale.

Alla presente introduzione seguiranno, nelle successive pubblicazioni, approfondimenti specifici
sulla NIS 2, che tratteranno nel dettaglio le disposizioni in materia.

Se siete interessati ad approfondire le tematiche relative alla NIS2 vi invitiamo a partecipare al Data Protection Forum 2025 del prossimo 06 giugno 2025 presso l'Auditorium Appiani di Treviso. La partecipazione è gratuita. I posti sono limitati.


Iscriviti ora!
29 visualizzazioni0 commenti

Post recenti

Mostra tutti

Comments


bottom of page