La Direttiva Europea NIS 2 per la sicurezza informatica

La Direttiva (UE) 2022/2025 (NIS 2), recepita in Italia dal D.Lgs. 138/2024, abroga la precedente Direttiva (UE) 2016/1148 (NIS) e stabilisce un livello comune di cybersecurity nell’Unione Europea, con l’obiettivo di rafforzare la sicurezza cibernetica delle infrastrutture tecnologiche.

Rispetto alla direttiva precedente, la NIS 2 introduce alcune novità sostanziali, tra cui:

• Un perimetro applicativo più ampio, con l’inclusione di nuovi settori critici.
• Obblighi più severi, con conseguenti controlli e sanzioni più rigorosi.
• Requisiti di sicurezza estesi alla catena di approvvigionamento, per ridurre i rischi derivanti da fattori esterni.

Soggetti coinvolti

La nuova direttiva amplia, rispetto alla precedente Direttiva NIS, il numero dei settori critici e quindi dei soggetti obbligati a adottare le misure di sicurezza. Questi sono distinti in:

• Soggetti essenziali: soggetti che operano in settori considerati vitali per il paese (es. energia, trasporti, infrastrutture digitali, acqua, sanità, PA centrale)
• Soggetti importanti: imprese/enti degli altri settori critici (es. produzione alimentare, dispositivi medici, gestione rifiuti, servizi postali e di corriere, ricerca, industria chimica, ecc.)

Oltre all’appartenenza ai settori classificati, la Direttiva introduce anche un criterio dimensionale; infatti, le disposizioni normative non si applicano alle piccole e micro imprese.

Gli obblighi introdotti dalla NIS2

Le aziende classificate come essenziali e importanti devono implementare una serie di misure di sicurezza tecniche e organizzative per contrastare le minacce informatiche. Tali misure di sicurezza si articolano in dieci ambiti fondamentali:

1. Gestione del rischio: implementazione di politiche e processi per l’identificazione, l’analisi e la valutazione dei rischi informatici, con la definizione e la prioritizzazione delle risposte al rischio.
2. Ruoli e responsabilità: definizione e comunicazione dell’organizzazione di cybersecurity, inclusi ruoli e responsabilità per tutto il personale e le terze parti rilevanti.
3. Affidabilità delle risorse umane: adozione di misure per garantire l’affidabilità del personale, come verifiche e formazione sulla sicurezza informatica.
4. Conformità e audit di sicurezza: definizione e documentazione di politiche e processi di cybersecurity, inclusi audit periodici per verificarne l’efficacia.
5. Gestione degli asset: inventario e gestione degli asset informatici, con particolare attenzione alla classificazione e protezione dei dati sensibili.
6. Gestione della supply chain: valutazione e monitoraggio dei fornitori critici, assicurando che rispettino standard di sicurezza adeguati.
7. Gestione delle vulnerabilità: implementazione di processi per l’identificazione, valutazione e mitigazione delle vulnerabilità nei sistemi informatici.
8. Continuità operativa e disaster recovery: sviluppo e mantenimento di piani per garantire la continuità dei servizi in caso di incidenti significativi.
9. Gestione degli accessi: controllo degli accessi ai sistemi informatici, inclusa l’implementazione di soluzioni di autenticazione multifattoriale (MFA).
10. Gestione degli incidenti: definizione di procedure per la rilevazione, risposta e recupero da incidenti di sicurezza informatica.

Cosa rischia l’azienda se non si adegua in tempo

Il D.Lgs. 138/2024 prevede un regime sanzionatorio severo per le organizzazioni che non rispettano gli obblighi previsti. In particolare:

• Per i soggetti essenziali: sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato mondiale annuo totale dell’esercizio precedente, se superiore.
• Per i soggetti importanti: sanzioni fino a 7 milioni di euro o all’1,4% del fatturato mondiale.

Oltre alle sanzioni pecuniarie, sono previste misure correttive e coercitive, tra cui:

• ordini vincolanti da parte dell’ACN,
• sospensione o revoca delle autorizzazioni,
• segnalazione pubblica delle violazioni,
• responsabilità diretta degli organi di gestione in caso di omissione grave.

Conclusione

La nuova Direttiva NIS 2 rappresenta una tappa fondamentale nell’evoluzione normativa in materia di cybersicurezza in Europa. L’adeguamento non deve essere visto solo come un obbligo normativo, ma come un’opportunità per rafforzare la sicurezza informatica aziendale e prevenire eventuali attacchi che potrebbero compromettere la continuità operativa e la fiducia dei clienti.

Proteggi il tuo business affidandoti a consulenti esperti in materia, in grado di accompagnarti passo dopo passo nell’adeguamento normativo. Consilia Associati è al tuo fianco per supportarti in questo percorso.