Nuova normativa NIS 2 per la sicurezza informatica

Dal 16 ottobre 2024 è in vigore la nuova normativa Network and Information Security (direttiva NIS) di derivazione europea, recepita con il dlgs 138/2024.

Dal 16 ottobre 2024 è in vigore in Italia la nuova direttiva europea NIS 2 (Network and Information Security), recepita con il Decreto Legislativo 138/2024. La normativa, entrata in vigore a livello europeo il 17 gennaio 2023, mira a rafforzare la cybersecurity nell’Unione Europea, promuovendo un quadro normativo più uniforme e coordinato tra gli Stati membri. L’obiettivo è elevare il livello di sicurezza informatica, ridurre le vulnerabilità e aumentare la resilienza delle infrastrutture critiche, sia pubbliche che private, di fronte alle crescenti minacce cyber.

Chi è interessato dalla NIS 2?

La direttiva si applica principalmente a organizzazioni di medie e grandi dimensioni, con esclusione delle imprese con meno di 50 dipendenti o un fatturato annuo inferiore a 10 milioni di euro, a meno che non siano considerate di importanza critica. Tuttavia, anche le piccole imprese potrebbero essere coinvolte se operano in settori critici o fanno parte della catena di approvvigionamento di soggetti essenziali.

Oltre ai comparti tradizionali come energia, telecomunicazioni, trasporti, bancario, mercati finanziari e sanità, la NIS2 include anche:

Settori ad alta criticità: acque reflue, gestione dei servizi ICT B2B, pubblica amministrazione, spazio.

Altri settori critici: servizi postali, gestione dei rifiuti, chimica, alimentare, produzione di dispositivi medici, elettronica, apparecchiature elettriche, macchinari, autoveicoli, trasporti specializzati, fornitori di servizi digitali e organizzazioni di ricerca.

I soggetti sono distinti in “essenziali” e “importanti”, con obblighi proporzionali al livello di criticità. I soggetti essenziali, che operano in settori critici per la società e l’economia, sono sottoposti a requisiti più rigorosi.

Obblighi per le aziende

Le organizzazioni interessate dovranno:

  1. Adottare misure di sicurezza tecniche, organizzative e operative per ridurre i rischi informatici.
  2. Notificare gli incidenti significativi alle autorità competenti entro tempi stretti.
  3. Valutare la sicurezza della catena di approvvigionamento, inclusi i rapporti con i fornitori.
  4. Formare il personale e i dirigenti sui temi della cybersecurity, con particolare attenzione a phishing, social engineering e gestione delle password.

Governance e responsabilità

La NIS 2 introduce responsabilità specifiche per gli organi di amministrazione e direttivi, che dovranno:

  • Approvare le misure di sicurezza.
  • Sovrintendere alla loro implementazione.
  • Seguire una formazione specifica in materia di cybersecurity.
  • Essere responsabili delle eventuali violazioni.

Tappe fondamentali per le aziende

  • Registrazione sulla piattaforma ACN entro il 28 febbraio 2025.
  • Notifica degli incidenti: obbligatoria a partire dal 1° gennaio 2026.
  • Implementazione delle misure di sicurezza: da completare entro il 1° ottobre 2026.

Sanzioni

Le violazioni della NIS 2 possono portare a sanzioni significative:

  • Fino a 10 milioni di euro o il 2% del fatturato annuo per i soggetti essenziali.
  • Fino a 7 milioni di euro o l’1,4% del fatturato annuo per i soggetti importanti.
  • Sanzioni accessorie per i dirigenti, inclusa l’incapacità a svolgere funzioni dirigenziali.

Business Continuity e gestione del rischio

La direttiva impone anche l’adozione di piani di Business Continuity per garantire la continuità operativa in caso di incidenti. È necessario mappare i processi critici, testare regolarmente i piani e valutare i rischi lungo la catena di fornitura.

Conclusioni

La NIS 2 rappresenta un passo importante verso una maggiore sicurezza informatica in Europa. Le aziende interessate dovranno adeguarsi tempestivamente, adottando misure di sicurezza, formando il personale e collaborando con le autorità competenti. Prepararsi per tempo è essenziale per evitare sanzioni e garantire la resilienza delle proprie infrastrutture.

Per maggiori informazioni contattare Francesco Angeletti
Tel. 071 29048218 | mobile  3315758931 | f.angeletti@confindustria.an.it

ULTIME NEWS