La nuova normativa europea sulla sicurezza informatica, rappresentata dalla direttiva NIS 2, è stata recepita in Italia dal Decreto Legislativo 138/2024, e impone una serie di obblighi stringenti per le organizzazioni, sia pubbliche che private, operanti in settori cruciali per l’economia e la sicurezza, come energia, trasporti, sanità, finanza, infrastrutture digitali, e molti altri.
Cosa richiede la legge? Le aziende e le istituzioni coinvolte dovranno adottare misure rigorose per tutelare la sicurezza dei loro sistemi informatici e dei dati sensibili. Tra gli obblighi principali ci sono:
- Documentazione e registrazioni: Ogni ente deve creare una vasta serie di documenti, tra cui elenchi di personale e sistemi informatici, inventari di dispositivi, applicazioni e fornitori, nonché piani di gestione dei rischi, continuità operativa e recupero in caso di emergenza
- Formazione obbligatoria: Tutti i dipendenti, compresi i dirigenti, devono partecipare a corsi sulla cybersicurezza, e le aziende devono tenere traccia di queste attività in appositi registri
Scadenze e tempistiche
Entro metà maggio 2025, tutte le organizzazioni coinvolte devono completare la registrazione sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (Acn). Dopodiché, ci sono due scadenze principali:
- Diciotto mesi per attuare le misure di sicurezza informatica di base
- Nove mesi per avviare l’obbligo di notifica degli incidenti informatici
Le scadenze non sono fisse per tutti: dipendono dalla data in cui un ente viene incluso nell’elenco dei soggetti “NIS” (Network and Information Systems).
La legge, inoltre, prevede due principali aree d’intervento:
- Misure amministrative, che riguardano l’organizzazione interna, come la creazione di politiche aziendali sulla sicurezza, la definizione di piani di emergenza e la gestione dei rischi
- Misure tecniche, relative all’adozione di soluzioni tecnologiche, come la cifratura dei dati, la protezione contro gli attacchi informatici e l’uso di metodi di autenticazione più sicuri
Ma quali sono le conseguenze in caso di inadempimento? Le sanzioni per il mancato rispetto della normativa sono severe. Per le aziende più grandi o quelle che operano in settori essenziali, le multe possono arrivare fino a dieci milioni di euro o il 2% del fatturato globale annuo. Per quelle considerate importanti, la multa massima è di sette milioni di euro o l’1,4% del fatturato. Le amministrazioni pubbliche rischiano multe fino a centoventicinque mila euro.
La direttiva NIS 2, dunque, impone un notevole impegno alle organizzazioni, che dovranno non solo garantire la sicurezza dei propri sistemi informatici, ma anche essere pronte a rispondere a incidenti informatici tempestivamente. La documentazione e la formazione sono aspetti cruciali per conformarsi alla normativa, e ogni ente dovrà fare uno sforzo significativo per rispettare tutte le disposizioni entro le scadenze stabilite, al fine di evitare sanzioni e, soprattutto, proteggere adeguatamente i propri sistemi e dati.