Home 5 Legale 5 Direttiva NIS2 sulla Cybersecurity: cosa cambia per la tua azienda

Direttiva NIS 2 sulla Cybersecurity:

cosa cambia per la tua azienda

Scopri come adeguarti alla nuova normativa sulla sicurezza informatica

Il 17 ottobre segna la data entro cui gli Stati membri dell’UE dovranno recepire la direttiva NIS 2 sulla Cybersecurity. Questa direttiva va richiede un importante impegno su più fronti da parte di molte aziende, a partire da quelle direttamente coinvolte perché ricomprese nell’ambito di applicazione della norma, ma anche ai fornitori di queste (a fronte della disciplina sulla supply chain introdotta dalla NIS 2).

Andiamo a capire un po’ meglio come funziona.

NIS 2: di cosa si tratta?

La direttiva NIS 2 ha come obiettivo quello di sviluppare una risposta congiunta in tutta l’UE contro il rischio sempre più presente di attacchi informatici. L’idea è quella di elevare e uniformare gli standard di sicurezza in questo ambito in tutti gli Stati membri.

I pilastri alla base della direttiva sono tre:

  • Misure di sicurezza da adottare obbligatoriamente
  • Coinvolgimento della governance aziendale
  • Gestione dei breach – notifiche

NIS 2: chi è coinvolto negli adempimenti?

L’obbligo di adempiere alla normativa coinvolgerà i soggetti pubblici e privati che operano in Unione Europea, secondo precisi criteri di dimensionamento e settore merceologico.

Nello specifico, le aziende coinvolte sono quelle qualificate come Medie e Grandi imprese, cioè quelle con più di 50 dipendenti e più di 10 milioni di euro di fatturato. Esistono però soggetti obbligati all’adempimento a prescindere dalla loro dimensione, sia in ambito pubblico che privato, e cioè quelli che offrono servizi fondamentali o che sono definiti “critici” per la loro appartenenza ad una serie di categorie, definite singolarmente da ogni Stato.

Dal punto di vista invece del settore merceologico, sono state definite due liste:

  • Settori ad alta criticità
  • Settori critici

Al primo gruppo appartengono, per esempio, soggetti che operano nel settore energia, acqua, sanità, infrastrutture digitali, mentre al secondo appartengono, tra gli altri, i soggetti che operano nel settore gestione rifiuti, sostanze chimiche, alimenti.

Ci sono delle eccezioni a queste regole, ma riguardano principalmente aziende che lavorano nei settori della difesa e della pubblica sicurezza.

La direttiva parla poi di due categorie di soggetti:

  • I soggetti essenziali sono le grandi aziende (quelle con più di 250 dipendenti) appartenenti ai settori ad alta criticità
  • I soggetti importanti sono le medie aziende appartenenti ai settori ad alta criticità e quelle grandi e medie appartenenti ai settori critici

Inoltre, anche un’azienda con meno di 50 dipendenti potrebbe essere soggetta alla NIS 2, in caso sia l’unico fornitore di un servizio essenziale, o se l’interruzione del suo servizio potrebbe causare un impatto significativo sulla salute o sulla sicurezza pubbliche.

La prima cosa di cui accertarsi è quindi se l’azienda rientra tra i soggetti indicati negli allegati della NIS 2 (verificando anche eventuali codici NACE) o, nel caso in cui non vi rientri, se eventuali fornitori o clienti vi rientrano (e quindi se si verrà coinvolti a fronte dei loro obblighi inerenti la corretta gestione della supply chain).

NIS 2: quali sono gli adempimenti?

Un’azienda soggetta alla direttiva NIS 2 dovrà quindi adempiere a obblighi in diversi ambiti:

  • Analisi dei rischi
  • Gestione di sicurezza IT
  • Responsabilizzazione e formazione del personale
  • Identificazione, valutazione e controllo dei rischi di cybersecurity
  • Garanzia di continuità operativa
  • Gestione degli incidenti (con segnalazione all’Autorità Competente)
  • Gestione dei fornitori

Su quest’ultimo punto, in particolare, si dovrà porre molta attenzione, perché diventa obbligatoria la valutazione delle vulnerabilità e dei rischi relativi ai fornitori e ai loro prodotti. Questo, inoltre, non vale solo per i nuovi contratti, ma anche per quelli già esistenti, che devono essere inclusi nella valutazione dei rischi e devono essere eventualmente adeguati.

L’inadempimento alla norma porta all’applicazione di sanzioni, che sono analoghe a quelle imposte ai sensi del regolamento generale sulla protezione dei dati.

  • Soggetti essenziali: il valore più elevato tra 10 milioni di euro e il 2% del fatturato annuo globale totale dell’impresa nell’esercizio finanziario precedente
  • Entità importanti: il valore più elevato tra 7 milioni di euro e l’1,4% del fatturato annuo globale totale dell’impresa nell’esercizio finanziario precedente

Inoltre, le sanzioni per inadempimento possono colpire non solo l’azienda, ma anche i singoli dirigenti in maniera diretta, ad esempio con la sospensione temporanea: sarà poi cura di ogni Stato decidere in maniera indipendente le eventuali specifiche.

Dal nostro punto di vista, molti degli adempimenti richiesti dalla NIS 2 si ritrovano nella norma ISO 27001 e 27002, e quindi molti spunti ci vengono offerti da uno standard già esistente e riconosciuto.

Nel corso del webinar sulla NIS 2 tenuto da Scuadra in programma a breve, discuteremo anche di questi aspetti per dare indicazioni pratiche agli interessati.

NIS 2: come muoversi?

L’impatto sulle aziende della direttiva NIS2 non è da sottovalutare: proprio per approfondirlo e fornirti tutte le informazioni di cui hai bisogno, abbiamo perciò programmato un Webinar dedicato a questa normativa lunedì 30 settembre, dalle ore 17 alle ore 18.30.

Interverranno l’Avvocato Maddalena Trento, specializzata in IT Law, e Marco Rosina, consulente senior specializzato in Compliance e Organizzazione.

Se vuoi saperne di più o se vuoi iscriverti al webinar, contattaci a info@scuadra.it – 0423 496792.

Articoli Correlati

Hai bisogno di assistenza?

Contattaci per parlare con un esperto!