Approfondimento

NIS2: priorità strategica per le aziende

18 giu 20254 min read
tophic image
Contents

La Direttiva NIS2 rappresenta una delle novità più rilevanti e discusse, non solo per l’ampiezza del suo impatto ma anche per il ruolo strategico che attribuisce alla governance della cybersecurity. Dopo aver tracciato una prima panoramica nel paragrafo precedente, è utile entrare nel merito dei principali contenuti della Direttiva, delle categorie di soggetti interessati, degli obblighi previsti e delle scadenze operative già definite a livello nazionale.

La Direttiva (UE) 2022/2555, meglio nota come NIS2, è entrata in vigore il 16 gennaio 2023 e si pone come evoluzione della precedente Direttiva NIS (2016/1148), con l’obiettivo di rafforzare e armonizzare la resilienza digitale in tutta l’Unione Europea. Rispetto alla versione precedente, la NIS2 amplia sensibilmente l’ambito di applicazione, includendo un maggior numero di settori e imponendo obblighi più stringenti in materia di gestione del rischio, notifica degli incidenti e responsabilità della governance aziendale.

Per quanto riguarda l’ambito di applicazione, l’obbligo di conformità riguarda principalmente le organizzazioni che rientrano nella categoria delle medie e grandi imprese, che superano talune soglie dimensionali previste per tale classificazione, in conformità alla Raccomandazione 2003/361/CE della Commissione Europea. In base a tale definizione, una media impresa è caratterizzata da meno di 250 addetti e da un fatturato annuo che non supera i 50 milioni di euro, oppure da un totale di bilancio annuo inferiore a 43 milioni di euro. Le imprese di dimensioni minori, ovvero piccole e microimprese, generalmente con meno di 50 dipendenti e un fatturato o bilancio annuo non superiore a 10 milioni di euro, sono in linea di massima escluse, salvo nel caso in cui operino in settori considerati strategici o svolgano funzioni particolarmente rilevanti per la sicurezza nazionale o la continuità di servizi essenziali. Inoltre, la nuova Direttiva NIS2 include 18 settori complessivi, di cui 11 considerati altamente critici (rispetto agli 8 previsti dalla precedente normativa) e 7 settori aggiuntivi classificati come critici. All’interno di questo perimetro rientrano oltre 80 categorie di soggetti, suddivisi in due macro-gruppi: entità essenziali ed entità importanti, a seconda della natura e del peso strategico delle attività svolte.

 

Figura 1 – Suddivisione dei settori altamente critici in entità essenziali e importanti.[1]

 

Figura 2 – Elenco dei settori critici.[2]

 

Figura 3 – Suddivisione di ulteriori tipologie di soggetti in entità essenziali e importanti.[3]

Per quanto riguarda gli obblighi operativi, la Direttiva prevede l’adozione di misure di gestione del rischio adeguate e documentate, l’implementazione di procedure per la notifica tempestiva degli incidenti, da trasmettere all’autorità nazionale entro 24 ore dalla scoperta (rispetto alle 72 ore previste dalla precedente normativa), l’introduzione di meccanismi di controllo sulla sicurezza della supply chain, che impongono alle organizzazioni di valutare e monitorare i rischi legati ai propri fornitori e partner esterni, in particolare quelli che gestiscono servizi IT, infrastrutture o dati sensibili, la definizione di piani di continuità operativa e gestione delle crisi, la responsabilizzazione del top management, che potrà essere direttamente sanzionato in caso di gravi inadempienze.

Un altro elemento distintivo della Direttiva NIS2 è l’introduzione di un regime sanzionatorio rafforzato. Nel dettaglio, le entità essenziali possono essere sanzionate fino a 10 milioni di euro o al 2% del fatturato mondiale annuo totale (qualunque sia il maggiore tra i due importi), mentre per le entità importanti il limite massimo è fissato a 7 milioni di euro o all’1,4% del fatturato. Accanto alle sanzioni economiche, la direttiva introduce anche forme di responsabilità diretta per i vertici aziendali. In caso di inadempienza significativa, i dirigenti possono essere soggetti a misure specifiche da parte dell’autorità competente, comprese la revoca temporanea delle funzioni decisionali in materia di sicurezza e obblighi di formazione. Questo implica che la governance della cybersecurity non può più essere delegata interamente a strutture operative o tecniche: è il Consiglio di Amministrazione, insieme al top management, a dover garantire il presidio strategico e il rispetto delle regole. L'approccio sanzionatorio previsto dalla NIS2, dunque, non si limita a colpire l’organizzazione nel suo complesso, ma coinvolge direttamente i decisori, nella logica di una maggiore accountability e trasparenza nella gestione del rischio informatico.

Per quanto riguarda l’Italia, la NIS2 è stata recepita con il Decreto Legislativo 138/2024. Il decreto attribuisce all’Agenzia per la Cybersicurezza Nazionale (ACN) un ruolo centrale nella supervisione e nel coordinamento, definisce le modalità di identificazione dei soggetti obbligati e stabilisce la piattaforma digitale di riferimento per la gestione delle comunicazioni e delle notifiche. Le principali scadenze operative per i soggetti italiani sono:

Con la NIS2, l’Unione Europea compie un salto di qualità nella costruzione di un sistema di cybersicurezza solido, integrato e orientato alla prevenzione. Per le aziende coinvolte, si tratta di una sfida complessa ma necessaria, che richiede investimenti, competenze e un approccio strutturato. Ma soprattutto, si tratta di un’opportunità concreta per rafforzare la propria resilienza, la fiducia degli stakeholder e la competitività sul mercato.


 
[1] Fonte: Agenzia per la Cybersicurezza Nazionale (ACN), Ambito di applicazione NIS2, n.d.
[2] Ibid.
[3] Ibid.

TAGS  
Promo image

Cyber Insights: sicurezza, compliance, terze parti

Scopri di più [4687 kb]