In GU il decreto NIS 2: ecco chi si deve adeguare e come

Il 16 ottobre 2024 segnerà l’entrata in vigore del Decreto Legislativo n. 138, che recepisce la direttiva (UE) 2022/2555, meglio nota come NIS 2 (Network and Information Security). Questa normativa è stata concepita per migliorare la resilienza delle infrastrutture critiche europee contro le minacce informatiche, introducendo nuovi obblighi stringenti per i soggetti coinvolti. La pubblicazione del decreto sulla Gazzetta Ufficiale il 1° ottobre 2024 rappresenta una svolta per la sicurezza informatica in Italia e nell’Unione Europea.
NIS 2 è un’estensione della precedente direttiva NIS del 2016, che puntava a rafforzare la sicurezza delle reti e dei sistemi informatici all’interno dell’UE. La sua revisione ha ampliato il campo di applicazione, includendo nuove categorie di soggetti e introducendo misure ancora più rigorose. Il contesto attuale, sempre più digitalizzato e vulnerabile agli attacchi, ha reso necessario un approccio più coordinato e integrato a livello europeo. L’obiettivo di questa normativa è di creare un livello comune elevato di sicurezza, con l’introduzione di obblighi specifici per le aziende considerate essenziali per l’economia e la società. Alla spiegazione della Direttiva abbiamo dedicato l’articolo: La Direttiva europea NIS2 per punti essenziali, mentre per le fasi iniziali del procedimento abbiamo dedicato l’articolo: NIS2: approvata in via preliminare la bozza del recepimento

1. Chi deve adeguarsi al Decreto NIS2?

Il Decreto NIS 2 coinvolge una vasta gamma di soggetti, definiti come “operatori di servizi essenziali” (OSE) e “fornitori di servizi digitali” (DSP). La direttiva classifica le entità in due gruppi principali: “soggetti essenziali” e “soggetti importanti”, ognuno dei quali deve rispettare misure di sicurezza e gestire il rischio informatico in maniera proporzionata alla sua dimensione e al settore in cui opera. Questi includono:

• Operatori di Servizi Essenziali (OSE): tra gli operatori di servizi essenziali rientrano soggetti operanti in settori chiave come energia, trasporti, banca, infrastrutture dei mercati finanziari, sanità, acqua potabile e acque reflue. Queste organizzazioni gestiscono servizi la cui interruzione avrebbe gravi conseguenze sulla salute pubblica, sull’economia o sull’ambiente. Di conseguenza, devono adottare misure di sicurezza più stringenti e assicurare continuità operativa.
• Fornitori di Servizi Digitali (DSP): i DSP includono i fornitori di servizi digitali come motori di ricerca, piattaforme cloud e marketplace online. Sebbene le loro attività possano non essere direttamente essenziali per la sicurezza pubblica, la loro funzione come facilitatori di altri servizi chiave le rende critiche nel contesto della sicurezza informatica.
• Entità Importanti: oltre ai soggetti essenziali, la NIS 2 prevede che anche le “entità importanti” – soggetti che non rientrano nella definizione di servizi essenziali ma che sono comunque strategici per l’economia e la società – debbano conformarsi alle nuove norme.
• Amministrazioni Pubbliche: le pubbliche amministrazioni sono anch’esse obbligate a rispettare i nuovi requisiti di sicurezza previsti dalla NIS 2, in particolare per quanto riguarda la protezione dei dati personali e la continuità operativa dei servizi digitali offerti ai cittadini.

2. Le misure di sicurezza obbligatorie

La conformità alla NIS 2 richiede l’adozione di misure tecniche e organizzative appropriate per la gestione del rischio informatico. Queste misure devono essere proporzionate ai rischi che ogni entità affronta, ma la direttiva offre una struttura chiara per ciò che viene richiesto. Tra i principali obblighi vi sono:

• Valutazione del rischio: le organizzazioni devono effettuare valutazioni regolari dei rischi per la sicurezza delle loro reti e dei sistemi informatici. Questo include l’identificazione delle minacce, la valutazione delle vulnerabilità e la determinazione dell’impatto di eventuali incidenti di sicurezza.
• Piano di gestione degli incidenti: le entità essenziali e importanti devono sviluppare e implementare un piano di gestione degli incidenti. Questo include procedure per la risposta agli attacchi, la mitigazione dei danni e il ripristino dei sistemi. Il piano deve anche prevedere la notifica tempestiva degli incidenti alle autorità competenti.
• Notifica degli incidenti: uno dei punti cardine della NIS 2 è l’obbligo di notifica degli incidenti. Le entità devono notificare entro 24 ore ogni incidente significativo, ovvero un evento che compromette la sicurezza dei servizi offerti, seguito da un rapporto dettagliato entro 72 ore. Questo consente alle autorità di intervenire tempestivamente e di coordinare una risposta a livello nazionale ed europeo.
• Misure di sicurezza tecniche: le aziende devono adottare misure tecniche per prevenire accessi non autorizzati ai loro sistemi, inclusi firewall, sistemi di rilevamento delle intrusioni e autenticazione a più fattori. Devono inoltre implementare soluzioni avanzate per la gestione delle vulnerabilità e la protezione dei dati.
• Formazione del personale: la formazione continua del personale in materia di sicurezza informatica è obbligatoria. Gli amministratori e i dirigenti devono garantire che i dipendenti siano preparati a riconoscere le minacce e a seguire procedure sicure nella gestione dei dati e dei sistemi.

3. Ruolo degli organi direttivi

Un aspetto innovativo della NIS 2 è l’enfasi posta sul ruolo degli organi direttivi delle organizzazioni. Non è più sufficiente delegare le questioni di sicurezza informatica al reparto IT. Gli amministratori delegati e i membri del consiglio di amministrazione devono supervisionare personalmente l’attuazione delle misure di gestione del rischio e garantire che l’azienda sia conforme agli standard di sicurezza stabiliti dalla direttiva.
In caso di non conformità, le responsabilità personali per i membri degli organi direttivi possono essere severe, includendo sanzioni amministrative e, in alcuni casi, la sospensione dalla possibilità di ricoprire ruoli dirigenziali. Questo rappresenta un cambiamento culturale importante, che mira a coinvolgere i vertici aziendali nella creazione di un ambiente di sicurezza robusto.

4. Sanzioni per inadempienze

La NIS 2 introduce un regime sanzionatorio rigoroso per le entità che non rispettano le nuove normative. Le sanzioni variano a seconda della gravità dell’infrazione e del tipo di soggetto coinvolto. Le entità essenziali che non rispettano i requisiti di sicurezza possono essere multate fino al 2% del loro fatturato annuo globale o 10 milioni di euro, a seconda di quale sia l’importo più elevato.
Per le entità importanti, le sanzioni sono più lievi, ma possono comunque arrivare al 1,4% del fatturato globale o a 7 milioni di euro. Le sanzioni non si limitano però a quelle pecuniarie. Le autorità competenti possono anche ordinare la sospensione temporanea delle attività o imporre misure correttive obbligatorie per adeguarsi alle norme.

5. Conclusione: un nuovo paradigma di cybersecurity

L’attuazione della NIS 2 rappresenta un passo fondamentale per il rafforzamento della sicurezza informatica nell’Unione Europea. Il contesto di minacce globali sempre più sofisticate, come il ransomware, gli attacchi alle infrastrutture critiche e la guerra cibernetica, ha reso imperativo un approccio coordinato e armonizzato. La NIS 2 impone agli Stati membri dell’UE e alle entità operanti nei settori essenziali di elevare i propri standard di sicurezza per proteggere la stabilità sociale ed economica. 
Le aziende devono vedere questo cambiamento non solo come un obbligo normativo, ma come un’opportunità per rafforzare la propria resilienza e la fiducia dei propri stakeholder. Essere proattivi nell’implementazione di misure di sicurezza può non solo prevenire danni costosi, ma anche migliorare la competitività sul mercato globale, in cui la sicurezza dei dati e delle reti sta diventando un fattore critico di successo.
La sfida più grande sarà quella di integrare queste nuove misure nella gestione quotidiana, trasformando la cybersecurity in una parte integrante della strategia aziendale. Tuttavia, coloro che sapranno affrontare questa sfida avranno un vantaggio significativo in un mondo sempre più interconnesso e vulnerabile agli attacchi informatici.

Ti interessano questi contenuti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!