Negli ultimi anni, l’Europa ha dovuto affrontare un numero crescente di attacchi informatici, spesso mirati a infrastrutture strategiche, come sanità, trasporti ed energia.
La pandemia ha accelerato la digitalizzazione, esponendo maggiormente aziende e istituzioni a minacce cyber.
Inoltre, le tensioni geopolitiche e gli attacchi di hacker sponsorizzati da stati hanno evidenziato la necessità di un rafforzamento delle difese digitali.
In questo contesto, l’Unione Europea ha introdotto la Direttiva NIS2 (Network and Information Security 2) con l’obiettivo di rafforzare la cybersecurity delle infrastrutture critiche e dei servizi essenziali all’interno degli Stati membri.
In questo articolo analizziamo la nuova direttiva e le sue implicazioni per le aziende.
Che cos’è la Direttiva NIS2?
La Direttiva NIS 2 – ufficialmente nota come Direttiva (UE) 2022/2555 – è un aggiornamento della precedente Direttiva NIS del 2016.
Quest’ultima aveva posto le basi per un coordinamento europeo in materia di sicurezza informatica, ma aveva alcune criticità:
- Ambito di applicazione limitato, poiché coinvolgeva solo alcuni settori e aziende di grandi dimensioni.
- Divergenze tra Stati membri, con applicazioni non uniformi e standard diversi.
- Sanzioni poco incisive, con scarsa deterrenza per chi non rispettava le misure di sicurezza.
Per colmare queste lacune, la NIS 2 introduce regole più severe e un ambito di applicazione molto più ampio.
A chi si applica?
La NIS2 amplia significativamente l’ambito di applicazione rispetto alla legislazione precedente.
Oltre ai settori già coperti, come energia, trasporti e sanità, la direttiva ora include:
- Servizi postali e di corriere
- Gestione dei rifiuti
- Produzione e distribuzione di prodotti chimici
- Fornitori di servizi digitali
Inoltre, la conformità alla NIS2 dipende ora anche da tre fattori principali:
1. Tipo di sito internet:
- Le aziende che gestiscono piattaforme online critiche (es. servizi cloud, hosting, marketplace, servizi di pagamento) rientrano tra i soggetti obbligati.
- Siti web con funzionalità avanzate (es. raccolta dati sensibili, gestione identità, pagamenti elettronici) possono essere soggetti a controlli più stringenti.
2. Fatturato:
- Aziende con fatturato annuo superiore a 10 milioni di euro devono adottare misure di sicurezza più avanzate.
- Chi supera i 50 milioni di euro rientra tra i soggetti con obblighi più stringenti, tra cui la nomina di un responsabile della sicurezza IT.
3. Numero di dipendenti:
- Aziende con più di 50 dipendenti sono automaticamente incluse tra i soggetti regolamentati. Per le imprese con meno di 50 dipendenti, gli obblighi si applicano solo se operano in settori critici o gestiscono dati sensibili.
Quali sono i principali obblighi per le aziende?
Le aziende soggette alla Direttiva NIS2 devono rispettare una serie di obblighi per migliorare la loro sicurezza informatica e garantire la resilienza contro le minacce cyber.
I principali obblighi sono:
1. Adozione di misure di gestione del rischio
Le aziende devono implementare strategie per prevenire e mitigare gli attacchi informatici, tra cui:
- Sistemi di monitoraggio continuo delle minacce.
- Backup periodici per garantire il ripristino rapido dei dati in caso di attacco.
- Protezione della supply chain, assicurandosi che anche i fornitori rispettino elevati standard di sicurezza.
- Adozione di misure contro ransomware e malware.
- Piani di continuità operativa e disaster recovery.
2. Obblighi di segnalazione degli incidenti
In caso di attacco informatico significativo, l’azienda deve rispettare una procedura precisa:
- Entro 24 ore: segnalazione preliminare alle autorità competenti.
- Entro 72 ore: rapporto dettagliato con l’analisi dell’attacco e delle contromisure adottate.
- Entro un mese: relazione finale con approfondimenti e azioni correttive.
3. Responsabilità della leadership aziendale
I dirigenti aziendali devono:
- Garantire che l’azienda adotti misure di sicurezza informatica adeguate.
- Partecipare a formazioni obbligatorie sulla cybersecurity.
- Assumersi la responsabilità diretta in caso di mancata conformità, con possibili sanzioni personali.
4. Supervisione da parte delle autorità nazionali
Le autorità di cybersicurezza degli Stati membri avranno il potere di:
- Effettuare audit e ispezioni per verificare la conformità alla normativa.
- Imporre misure correttive in caso di inadempienze.
- Applicare sanzioni nei confronti delle aziende che non rispettano gli obblighi.
5. Sanzioni in caso di mancato rispetto della normativa
Le aziende che non si adeguano alla NIS2 possono essere soggette a multe fino a 10 milioni di euro o al 2% del fatturato globale annuo.
Per le imprese classificate come enti importanti, le sanzioni possono arrivare fino a 7 milioni di euro o l’1,4% del fatturato.
Conclusione
La Direttiva NIS2 rappresenta un passo significativo verso una maggiore resilienza cibernetica in Europa ed è in vigore dal 17 ottobre 2024.
Le aziende devono essere proattive nell’adeguarsi ai nuovi requisiti, adottando misure efficaci per proteggere le proprie infrastrutture digitali e garantire la continuità operativa in un panorama di minacce in continua evoluzione.
Anche se non rientri tra le aziende obbligate a rispettare la Direttiva NIS2, intraprendere un percorso di consapevolezza sui rischi di sicurezza informatica è importante per proteggere il futuro della tua attività.
