La sicurezza informatica è un pilastro fondamentale per la stabilità e l'affidabilità del mercato digitale nell'Unione Europea. La Direttiva NIS2 rappresenta un aggiornamento significativo della precedente normativa sulla sicurezza delle reti e delle informazioni, mirando a rafforzare il livello di cibersicurezza in tutta l'UE.
La Direttiva NIS2 si applica a una vasta gamma di organizzazioni sia pubbliche che private, estendendosi oltre i settori precedentemente considerati critici. Ciò include fornitori di servizi essenziali (come energia, trasporti, acqua, salute, e finanza) e fornitori di servizi digitali (come cloud computing, motori di ricerca online, e piattaforme social).
Occorre evidenziare che sempre più organizzazioni vengono considerate essenziali o importanti, anche perché, in base alla nuova Direttiva NIS2 deve essere considerata l’intera catena di approvvigionamento.
Solo le organizzazioni di medie e grandi dimensioni rientrano nell’ambito di applicazione della Direttiva NIS2, e precisamente:
Sono escluse le imprese con meno di 50 dipendenti o un fatturato annuo inferiore a 10 milioni di euro, a meno che non siano ritenute di importanza critica per la società e, in tal caso, dovranno soddisfare requisiti più severi, misure di vigilanza più severe, oltre a confrontarsi con le misure sanzionatorie e gli obblighi di comunicazione che saranno armonizzati tra gli Stati membri.
Pensi che la tua azienda non rientri fra i parametri della Direttiva NIS2. Leggi qui
La Direttiva NIS2 è stata approvata dal Parlamento Europeo e dal Consiglio dell'UE e si prevede che le disposizioni diventino vincolanti per gli Stati membri entro 17 Ottobre 2024.
La Direttiva stabilisce requisiti stringenti in termini di misure tecniche e organizzative, valutazione del rischio, gestione degli incidenti, e politiche di sicurezza. Le organizzazioni interessate dovranno anche notificare le autorità competenti in caso di incidenti di sicurezza significativi.
La Direttiva NIS2 segna una svolta decisiva nella cibersicurezza all'interno dell'Unione Europea, estendendo i suoi requisiti a un numero maggiore di settori e imponendo misure più rigorose per la protezione delle infrastrutture critiche digitali. Ecco un approfondimento su come le organizzazioni possono prepararsi per essere pienamente conformi.
La Direttiva NIS2 rappresenta un'opportunità per le organizzazioni di rafforzare le loro difese contro le crescenti minacce informatiche. Adottando un approccio proattivo e integrato, le aziende possono non solo conformarsi alla legislazione, ma anche proteggere meglio i loro asset digitali critici.
Un pilastro chiave della Direttiva è l'obbligo per le organizzazioni di segnalare incidenti di sicurezza gravi alle autorità nazionali competenti in tempi rapidi.
Dopo l’entrata in vigore della Direttiva NIS2 nell’ottobre 2024, le organizzazioni che non si conformano a essa saranno soggette a sanzioni significative, a prescindere dalla loro classificazione come aziende essenziali o importanti. E precisamente:
Organizzazioni essenziali. Società classificate come a rischio essenziale per multe fino a 10 milioni di euro o al 2% del loro fatturato annuo globale.
Organizzazioni importanti. Società classificate come a rischio importante per multe fino a 7 milioni di euro o all’1,4% del loro fatturato annuo globale.
La Direttiva stabilisce un quadro legale chiaro per la sicurezza informatica, con implicazioni per la responsabilità e la conformità normativa delle organizzazioni interessate. In altre parole, la nuova Direttiva può perseguire legalmente il Top Management se non aderisce alle nuove regole e che, inoltre, deve seguire corsi per migliorare la propria capacità di valutare i rischi per la cyber security e, al contempo, incoraggiare la propria organizzazione a offrire regolarmente corsi similari a tutti i dipendenti.
La Direttiva NIS2 è un passo avanti decisivo per rafforzare la cibersicurezza nell'UE. Le organizzazioni devono agire rapidamente per adeguarsi ai nuovi requisiti, garantendo così non solo la conformità legale ma anche la protezione dei loro sistemi e dati da minacce informatiche sempre più sofisticate.