Sicurezza informatica, la nuova Direttiva europea NIS2
La Direttiva UE NIS2, in vigore dal prossimo 18 ottobre, impone stringenti obblighi di cybersicurezza rivolti ad alcune realtà imprenditoriali. Avviare un percorso di consapevolezza sui rischi informativi risulta indispensabile per tutelare la propria attività d’impresa ed evitare ingenti sanzioni.
Il continuo sviluppo della digitalizzazione e dell’interconnessione all’interno della società ha portato ad aumentare il rischio di attacco informatico per imprese, istituzioni e cittadini.
Per cercare di ridurre questo fenomeno, incrementare il livello di sicurezza informatico e creare una strategia univoca, l’Unione Europea ha emanato la Direttiva NIS2 entrata in vigore il 17 gennaio 2023, recante aggiornamento delle norme in materia di cybersicurezza introdotte nel 2016.
Non trattandosi di un regolamento ma di una Direttiva, gli Stati Membri devono eseguirla entro la data prestabilita, ovvero il 18 ottobre 2024.
Tale Direttiva impone stringenti obblighi di cybersicurezza volti ad organizzazioni pubbliche o private che gestiscono servizi essenziali per la collettività, come ad esempio:
- società di produzione e distribuzione energia;
- servizi sanitari;
- trasporti;
- infrastrutture di comunicazione elettronica;
- servizi bancari e finanziari.
Sono coinvolti, inoltre, i fornitori di servizi digitali che includono le piattaforme online:
- e-commerce;
- motori di ricerca;
- cloud computing;
- gestione dei servizi ICT, della pubblica amministrazione e dello spazio.
Ai soggetti sopracitati sono stati aggiunti “altri settori critici” e “settori ad alta criticità”, indicati rispettivamente negli Allegati 1 e 2 della Direttiva e che soddisfano specifici criteri di dimensionamento. La Direttiva, inoltre, indica due nuove categorie di attori definiti “Soggetti essenziali” e “Soggetti importanti”.
Direttiva NIS2: prepara e proteggi la tua impresa
Avviare un percorso di consapevolezza sui rischi informatici è importante per proteggere il futuro della tua attività, anche se la Direttiva NIS2 non prevede obblighi rivolti a tutte le realtà imprenditoriali.
Confapi Treviso, in sinergia con Apindustria Servizi, può accompagnare l’impresa in questo percorso di tutela, disponendo di una rete capillare di imprese e professionisti pronti a rispondere alle reali esigenze aziendali.
Direttiva NIS2: cosa comporta per le aziende
I soggetti che sono chiamati a rispettare la Direttiva NIS2 devono osservare e monitorare i seguenti requisiti:
Governance: gli organi che si occupano della gestione dei soggetti essenziali dovranno creare e approvare un piano di misure per la gestione dei rischi della propria organizzazione; inoltre, dovranno seguire loro, e fornire ai dipendenti, una continua formazione in tema cyber sicurezza.
Risk management: obbligo di valutare i rischi, anche quelli legati all’eventuale supply-chain e attuare le necessarie misure organizzative, garantendo continuità operativa. Inoltre, in caso di attacco cyber, i soggetti coinvolti hanno il dovere di notificarlo entro 24 ore ai rispettivi CSIRT (Computer Security Incident Response Team) o all’autorità nazionale competente, al fine di garantire una risposta rapida e coordinata.
Catena di fornitura: obbligo di considerare le vulnerabilità e le pratiche di sicurezza informatica per ogni proprio fornitore che, non rispettando le giuste procedure, potrebbe portare o a un incidente o a una momentanea interruzione del servizio.
Direttiva NIS2: in che sanzioni si può incorrere se non ci si adegua?
Nata con l’obiettivo di migliorare la sicurezza informatica dell’Unione Europea, le sanzioni della Direttiva NIS2 sono prettamente amministrative e penali.
Sanzioni amministrative
Gli operatori essenziali potranno essere sottoposti a sanzioni pecuniarie amministrative pari a un massimo di 10 mln di euro o il 2% del totale del fatturato mondiale globale.
Gli operatori importanti, invece, potranno essere soggetti a sanzioni pari a un massimo di 7 mln di euro o a fino ad un massimo del 1,4 % del totale del fatturato mondiale globale.
Sanzioni penali
Dal punto di vista sanzionatorio, la UE permette agli Stati Membri di legiferare in materia in base alla propria legislazione.
Sicuramente importante è la novità introdotta di obbligatorietà, da parte dell’organizzazione, di pubblicare sui propri canali la violazione subita.