NIS2 Sicurezza Informatica: la direttiva europea per proteggere i dati aziendali
Ha un nome che evoca lungomari azzurri e soupe de poisson. In realtà ha a che fare con una meno poetica, ma sempre più rilevante sicurezza informatica.
È la NIS2, una recente normativa europea che stabilisce una serie di obblighi stringenti per proteggere i dati aziendali e garantire la continuità operativa.
Andiamo, senza indugio, a rispondere alle domande più salienti:
Cosa la rende rilevante?
La cronaca: l’Italia è il primo paese in Europa e il quarto al mondo per attacchi ransomware. In costante crescita e sferrati non più da ragazzini col cappuccio della felpa sollevato, ma da vere e proprie organizzazioni criminali con centinaia di dipendenti e milioni di fatturato. Gruppi strutturati, spesso finanziati da governi, che prendono di mira aziende pubbliche e private, sottraendo loro dati sensibili e chiedendone riscattimilionari.
Tra le prede preferite le PMI, cuore del tessuto produttivo italiano e particolarmente vulnerabili considerata la loro scarsa capacità di investimento in sicurezza informatica. Veri e propri cyber crime, insomma.
Ma è arrivato il momento di difendersi. L’Italia ha aumentato gli investimenti, che si assestano su uno 0,12% del PIL, a fronte di uno 0,34% degli USA e uno 0,20% di Francia e Germania.
Parallelamente cresce nel mondo del lavoro la consapevolezza di come a fare davvero la differenza sia il comportamento di tuttinoi, che maneggiamo quotidianamente e inevitabilmente dispositivi digitali. Siamo, ad esempio, facili prede di tecniche criminali come il phishing, ovvero l’invio di e-mailfraudolente finalizzate a ottenere credenziali e dati riservati.
Chiunque lavori in azienda dev’essere quindi oggi preparato a riconoscere le minacce ed evitare di cadere in trappola. È un tema di cultura aziendale e di formazione.
In che cosa consiste?
In questo scenario la NIS2 propone la sua strategia, rappresentando un passo avanti nella gestione della sicurezza informatica in Europa, aumentandoil livello di protezione e introducendo regole comuni per prevenire, gestire e mitigare i rischi.
Nello specifico, si articola nei seguenti modi:
- Ampliare il campo di applicazione e la severità delle sanzioni, persegue l’obiettivo di rendere le aziende e le istituzioni europee più sicure e resilienti di fronte alle minacce digitali. Approvata nel 2022, la direttiva aggiorna e sostituisce la NIS1 del 2016, introducendo una serie di novità e rivolgendosi ad aziende con almeno 50 dipendenti o un fatturato di almeno 10 milioni di euro (ma in alcuni casi si applica sempre e comunque, a prescindere dalle dimensioni del soggetto).
- Coinvolgere un numero maggiore di settori inclusi, oltre a quelli già coperti come energia, trasporti e finanza, anche i servizi postali e di spedizione, la produzione di dispositivi medici, l’alimentare, l’amministrazione pubblica e la gestione dei rifiuti. Significa passare da 400 a 50.000 realtà interessate.
- Introdurre due nuove categorie di soggetti obbligati, prevedendo un diverso regime di vigilanza per ciascuna di esse: le Essential Entities (EE) — servizi critici come energia, trasporti, sanità, finanza, acque potabili, acque reflue — e le Important Entities (IE), aziende non essenziali, ma comunque rilevanti per il funzionamento del mercato: provider di cloud computing, hosting, gestione di data center o altri servizi digitali.
- Adottare politiche di gestione del cyber-rischio e di implementare misure di prevenzione e di risposta: dall’analisi del rischio alla gestione degli incidenti, dalla continuità operativa alla sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi, dall’igiene informatica alla formazione in materia.
- Estendere gli obblighi di sicurezza alla supply chain, così che anche le piccole realtà teoricamente non coinvolte dalla norma, dovranno invece farci i conti per non rimanere tagliate fuori dal mercato.
- Prospettare sanzioni più severe: fino a 10 milioni di euro o fino al 2% del fatturato globale dell’azienda; si sceglie l’importo maggiore.
Quando entra in vigore?
La NIS 2 è stata recepita in Italia dal D.lgs 138 di ottobre 2024 che ha chiarito definitivamente gli adempimenti in carico alle organizzazioni coinvolte e ne ha disegnato il timing per adeguarsi, prevedendo scadenze progressive: la prima a gennaio 2025, l’ultima a ottobre 2026. Considerata la complessità della materia, praticamente un battito d’ali.
Adeguarsi tempestivamente alla NIS2 è dunque cruciale, non solo per proteggere la propria azienda, ma per mantenere il proprio vantaggio competitivo.
Vuoi conoscere la Governance e le normative recenti sulla cybersecurity?
