COS’È LA DIRETTIVA NIS2?

La direttiva dell’Unione europea sulla sicurezza delle reti e dell’informazione (NIS2)sostituisce la direttiva NIS 2016 e mira a garantire un “livello comune elevato di cyber security in tutti gli Stati membri dell’UE” rafforzando ulteriormente i requisiti in materia di sicurezza cyber nelle infrastrutture critiche e nei settori e organizzazioni indispensabili per il funzionamento dell’economia.

QUALI SONO I PRINCIPALI CAMBIAMENTI?

• Espansione dei settori industriali e delle entità che rientrano nel campo di applicazione della NIS2
• Responsabilità di gestione
• Rafforzamento delle misure di gestione dei rischi di sicurezza cyber
• Sicurezza della catena di approvvigionamento
• Sanzioni più elevate

QUALI SOGGETTI SONO INTERESSATI DALLA DIRETTIVA NIS2?

L’UE suddivide l’elenco dei soggetti che rientrano nel campo di applicazione della direttiva NIS2 in “essenziali” e “importanti” (vedere di seguito). Questo elenco comprende fornitori di energia, mercati online, società, così come numerose medie imprese e agenzie governative. Sebbene i principali destinatari della NIS2 siano le imprese medio-grandi, anche alcune piccole imprese possono rientrare nei requisiti della NIS2 se vengono soddisfatte determinate condizioni o se sono considerate essenziali.

Soggetti essenziali

• Settore bancario
• Infrastrutture digitali (DNS, IXP, TLD, TIC)
• Energia
• Infrastrutture dei mercati finanziari
• Settore sanitario
• Gestione dei servizi TIC
• Pubblica amministrazione
• Spazio
• Trasporti
• Acqua potabile e acque reflue

Soggetti importanti

• Fornitori di servizi digitali
• Fabbricazione
• Fabbricazione, produzione e distribuzione di sostanze chimiche
• Servizi postali e di corriere
• Settore sanitario
• Produzione, trasformazione e distribuzione di alimenti
• Ricerca
• Gestione dei rifiuti

NIS2: QUATTRO DOMANDE CHE OGNI IMPRESA DOVREBBE PORSI

1. La mia impresa è interessata dalla NIS2?
2. La nostra gestione del rischio è al livello giusto per la NIS2?
3. La mia impresa è in grado di segnalare gli incidenti di sicurezza informatica in modo corretto o no?
4. Qual è lo stato della gestione del rischio della catena di approvvigionamento della mia impresa in materia di sicurezza cyber?

NIS2 e GDPR

L’integrazione tra NIS2 e GDPR non può poi prescindere dalla formazione continua del personale aziendale, ma impone anche accertamenti su come partner e fornitori gestiscano la loro filiera della privacy.

La sensibilizzazione su aspetti normativi e operativi, come il riconoscimento dei tentativi di phishing o l’uso sicuro delle credenziali di accesso, è essenziale per ridurre i rischi di violazioni e migliorare la resilienza aziendale.

In estrema sintesi NIS2 e GDPR devono essere considerati due ingranaggi essenziali dello stesso meccanismo, complementari nella costruzione di un ambiente digitale sicuro e conforme ma anche strumenti allineati all’interno di un’organizzazione aziendale che non può permettersi sbavature.

Un approccio multidisciplinare, che deve coinvolgere con i tecnici IT anche i legali, esterni o interni all’impresa, non solo per garantire il rispetto delle normative, ma anche un’efficienza operativa aziendale in un contesto regolamentato in maniera sempre più stringente.

Le imprese che sapranno integrare efficacemente cybersecurity e protezione dei dati potranno pertanto non solo affrontare con maggiore sicurezza le sfide del panorama digitale europeo, ma anche rafforzare la propria competitività, allineandosi ai modelli organizzativi richiesti dal legislatore nel richiamato art. 2086. Le aziende devono infatti strutturarsi con un assetto organizzativo, amministrativo e contabile adeguato alla loro natura e dimensione, garantendo un monitoraggio tempestivo della continuità aziendale e predisponendo misure idonee per prevenire e gestire eventuali crisi, in conformità con gli strumenti normativi previsti.

La cybersecurity e la protezione dei dati non sono solo obblighi di legge, ma il fondamento stesso di un’impresa che vuole restare in piedi.