Vai al contenuto

NIS2: dove siamo in Italia con la nuova normativa sulla cybersicurezza

Sta per cambiare molto nel modo in cui le aziende italiane dovranno affrontare la sicurezza informatica. Con l’arrivo della direttiva europea NIS2, il tema della cybersicurezza esce definitivamente dal solo perimetro tecnico e diventa una questione di strategia aziendale, compliance normativa e responsabilità diretta del management.

Un salto di qualità nella sicurezza informatica

La NIS2 – acronimo di Network and Information Security Directive 2 – è entrata ufficialmente in vigore a livello europeo il 16 gennaio 2023. Gli Stati membri hanno tempo fino al 17 ottobre 2024 per recepirla nei rispettivi ordinamenti nazionali. In Italia, il processo è in corso, ma molte imprese ancora non sono consapevoli delle implicazioni concrete che la nuova direttiva porterà con sé.

A differenza della prima NIS del 2016, questa nuova versione allarga considerevolmente il numero di soggetti coinvolti. Non si parla più solo di infrastrutture critiche, ma anche di aziende attive in settori come la manifattura, la logistica, il settore chimico, le telecomunicazioni, i trasporti e persino i servizi alimentari.

Quali aziende saranno coinvolte

Il criterio principale individuato dalla NIS2 per stabilire chi è soggetto agli obblighi è quello dimensionale. Le imprese con più di 50 dipendenti o con un fatturato annuo superiore ai 10 milioni di euro rientreranno nei requisiti. Ma non è solo una questione di grandezza: anche aziende più piccole possono essere coinvolte, se forniscono servizi considerati critici per la collettività.

In generale, la direttiva distingue tra due categorie di soggetti: “entità essenziali” e “entità importanti”. Le prime operano in settori strategici come l’energia, la finanza, i trasporti, la sanità, l’acqua potabile, i servizi digitali. Le seconde operano in ambiti meno critici, ma comunque rilevanti per l’economia e la società.

Il recepimento in Italia: cosa è stato fatto

Nel nostro Paese, l’autorità incaricata di gestire l’attuazione della NIS2 è l’ACN – Agenzia per la Cybersicurezza Nazionale. Dopo mesi di consultazioni e analisi settoriali, è stato pubblicato il decreto legislativo di recepimento il 20 giugno 2024. Il testo stabilisce i criteri per individuare le entità obbligate, i meccanismi di notifica degli incidenti, e le sanzioni in caso di inadempienza.

Entro il 30 settembre 2025, tutte le aziende che rientrano nei parametri dovranno registrarsi su una piattaforma online messa a disposizione dall’ACN. Questa fase di autoregistrazione servirà a costituire un’anagrafe nazionale aggiornata degli attori da monitorare e supportare.

Nel frattempo, sono attese linee guida tecniche più dettagliate e strumenti di supporto per le imprese, comprese quelle che si trovano in settori più tradizionali e meno digitalizzati.

Gli obblighi concreti per le imprese

La NIS2 non si limita a raccomandazioni: impone obblighi stringenti. Le imprese coinvolte dovranno adottare misure tecniche e organizzative per proteggersi da attacchi informatici, predisporre sistemi di rilevamento e risposta agli incidenti, e notificare ogni evento rilevante entro 24 ore dall’accaduto.

In pratica, ciò significa avere un piano strutturato di sicurezza informatica, aggiornare le politiche interne, formare i dipendenti e – soprattutto – prevedere figure aziendali responsabili, come il CISO (Chief Information Security Officer) o ruoli equivalenti.

Anche la gestione della continuità operativa, i backup e la protezione dei dati aziendali e dei clienti dovranno essere rivisti secondo i nuovi standard.

Sanzioni e responsabilità

La NIS2 introduce anche un nuovo livello di responsabilità. Non solo si prevede la possibilità di multe pesanti – fino a 10 milioni di euro o il 2% del fatturato per le entità essenziali – ma si apre la strada alla responsabilità diretta degli amministratori.

In caso di violazioni gravi, è previsto l’obbligo di rimozione dei vertici aziendali coinvolti, e la possibilità di interdirli da incarichi analoghi. È un segnale chiaro: la sicurezza informatica non è più una voce tecnica affidata solo ai sistemisti, ma diventa una priorità della governance aziendale.

Cosa possono fare le aziende fin da ora

Anche se il termine ufficiale è fissato per ottobre 2024, le imprese farebbero bene a muoversi subito. Alcune azioni chiave che possono essere intraprese immediatamente includono:

  • Verificare se si rientra nei criteri previsti dalla direttiva
  • Avviare una valutazione della propria postura di sicurezza attuale
  • Identificare le vulnerabilità interne e definire un piano di intervento
  • Formare il personale e sensibilizzare sull’importanza della cyber hygiene
  • Nominare un referente interno con competenze specifiche in materia di sicurezza

Verso una cultura della sicurezza digitale

In definitiva, la NIS2 rappresenta molto più di un obbligo normativo: è un’occasione per promuovere una vera cultura della sicurezza digitale. In un contesto in cui gli attacchi informatici crescono in frequenza e complessità, ogni azienda – anche la più piccola – è potenzialmente vulnerabile. La direttiva spinge verso una maggiore consapevolezza e responsabilità, trasformando la sicurezza in un investimento strategico, e non più in un semplice costo.

Il tempo per adeguarsi non è infinito. È il momento di cominciare a costruire una sicurezza informatica solida, coerente e sostenibile. Non solo per rispettare una legge, ma per proteggere davvero il cuore digitale delle nostre imprese.

Tag:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *