Consulenza sulla direttiva NSIS2

herkio

🛡️ Cos’è la NIS2?

La NIS2 è una direttiva dell’Unione Europea (UE 2022/2555) entrata in vigore per rafforzare la resilienza informatica degli Stati membri. Poiché viviamo in un mondo interconnesso, un attacco hacker a un’azienda energetica o a un ospedale può paralizzare un intero Paese.

Chi deve rispettarla?

A differenza della prima NIS, la NIS2 amplia enormemente il numero di aziende coinvolte. Si dividono in due categorie principali:

  1. Settori ad alta criticità (Soggetti Essenziali): Energia, Trasporti, Banche, Salute, Acqua potabile, Infrastrutture digitali (Cloud, Data Center), Pubblica Amministrazione.
  2. Altri settori critici (Soggetti Importanti): Servizi postali, Gestione dei rifiuti, Produzione chimica, Alimentare, Manifattura (informatica, elettronica, macchinari).

📋 I Requisiti Principali

Le aziende che rientrano nel perimetro della NIS2 devono implementare misure rigorose:

  • Gestione del rischio: Analisi delle vulnerabilità e piani di continuità operativa (Business Continuity).
  • Sicurezza della catena di approvvigionamento: Non basta che l’azienda sia sicura; deve verificare che anche i suoi fornitori rispettino certi standard (questo tocca moltissime PMI che lavorano con grandi gruppi).
  • Gestione degli incidenti: Obbligo di notificare gli incidenti informatici gravi alle autorità nazionali (in Italia l’ACN – Agenzia per la Cybersicurezza Nazionale) entro 24 ore per l’allerta precoce.
  • Crittografia e autenticazione: Uso di sistemi di cifratura e autenticazione a più fattori (MFA).

⚖️ Responsabilità e Sanzioni

Questa è la parte che “scotta” di più per i dirigenti:

  • Responsabilità degli apicali: I CDA e i manager sono direttamente responsabili della mancata conformità. Possono essere sospesi dalle loro funzioni in caso di gravi negligenze.
  • Multe elevate: Simili al GDPR, le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo mondiale per i soggetti essenziali.

🗓️ Scadenze: Dove siamo?

Gli Stati membri avrebbero dovuto recepire la direttiva nelle leggi nazionali entro il 17 ottobre 2024. In Italia, il decreto legislativo di recepimento è stato approvato, definendo l’ACN come autorità competente.

Il 2025 e il 2026 sono gli anni cruciali per l’adeguamento tecnico di tutte le aziende coinvolte.

Confronto rapido: GDPR vs NIS2

Caratteristica GDPR NIS2
Focus Privacy e Dati Personali Resilienza delle Infrastrutture
Obiettivo Proteggere l’individuo Proteggere l’economia e la società
Sanzione max 4% del fatturato 2% del fatturato (Soggetti Essenziali)