Direttiva NIS2: come adeguare la tua azienda alla nuova direttiva europea in materia di sicurezza digitale
La sicurezza digitale è diventata una priorità sempre più rilevante per le aziende in tutto il mondo, soprattutto considerando l'evoluzione rapida e costante del panorama tecnologico. In questo contesto, la nuova Direttiva NIS2 dell'Unione Europea si pone come un importante punto di riferimento per garantire la protezione dei dati e delle infrastrutture digitali.
Ma cosa comporta esattamente questa Direttiva e come possono adeguarsi le aziende? Vediamolo in questo articolo.
Quali sono le novità normative della Direttiva NIS2
La Direttiva NIS, introdotta nel 2016, mirava a stabilire un'omogeneità nel livello di sicurezza informatica tra gli Stati membri dell'Unione Europea. Tuttavia, una revisione condotta nel 2020 ha evidenziato delle carenze nel suo funzionamento, soprattutto riguardo la mancanza di coerenza negli approcci adottati dai vari Paesi membri e le ambiguità nel campo di applicazione della normativa.
Per rispondere a queste lacune è stata introdotta la Direttiva NIS2, la cui pubblicazione sulla Gazzetta Ufficiale dell'Unione Europea risale al 27 dicembre 2022, con entrata in vigore il 16 gennaio 2023. La NIS2 è destinata a sostituire la precedente NIS, che verrà abrogata a partire dal 18 ottobre 2024.
L'obiettivo primario della Direttiva NIS2 è quello di potenziare le misure di sicurezza informatica: tra le principali novità normative vi è l’ ampliamento del campo di applicazione, che ora include non solo i fornitori di servizi essenziali come energia, trasporti, servizi bancari e sanitari, ma anche altri settori quali i fornitori di servizi digitali.
Quali aziende devono sottostare alla nuova Direttiva NIS2
Una delle principali innovazioni apportate dalla Direttiva NIS2 è l'ampio spettro di settori inclusi nel suo campo di applicazione. Si abbandona la distinzione tra Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD), sostituendola con la categorizzazione tra Soggetti Essenziali e Soggetti Importanti. Queste categorie coinvolgono tutte le entità attive nei Settori ad Alta Criticità e negli Altri Settori Critici, definiti rispettivamente negli Allegati 1 e 2 della Direttiva, che soddisfano specifici criteri di dimensionamento.
Come fare per adeguarsi alla Direttiva
Per adeguarsi alla Direttiva NIS2, le aziende devono intraprendere una serie di azioni concrete. Innanzitutto, è fondamentale condurre una valutazione approfondita dei rischi e delle vulnerabilità del proprio sistema informatico, identificando eventuali punti deboli e definendo misure preventive e correttive adeguate. Tra i rischi da considerare, vi è anche la gestione della supply chain: le organizzazioni soggette alla direttiva devono assicurare la sicurezza della loro catena di approvvigionamento, monitorando attentamente gli aspetti legati alla sicurezza nei rapporti con i fornitori. Inoltre, è necessario implementare misure di sicurezza informatica efficaci, quali il controllo degli accessi, la crittografia dei dati sensibili e la protezione delle reti e dei dispositivi.
È altresì importante istituire procedure di monitoraggio continuo per rilevare tempestivamente eventuali minacce e reagire prontamente in caso di incidenti. La capacità di mantenere la continuità operativa, ad esempio, è un elemento chiave nella gestione del rischio. Questo include pratiche come il backup dei dati, il ripristino in caso di incidenti e la gestione delle crisi, tutte finalizzate a ridurre al minimo l'impatto di eventuali interruzioni dei servizi erogati.
Per adeguarsi alla normativa, è consigliabile coinvolgere professionisti esperti del settore, in grado di guidare l'azienda attraverso ogni fase del processo.
Le sanzioni in caso di inadempienza
Benché a livello di direttiva, non siano previste differenze tra Soggetti Essenziali e Importanti per quanto riguarda i requisiti di sicurezza informatica da rispettare, le differenze significative si riscontrano nella severità delle misure di vigilanza e delle sanzioni, con le entità Essenziali soggette a controlli più rigorosi e multe più ingenti rispetto a quelle Importanti. La logica per l'applicazione delle sanzioni è simile a quella di altre normative, come il GDPR: l'entità della sanzione dipende da un importo minimo predefinito o da una percentuale del fatturato annuo, utilizzando il valore più alto tra i due.
In caso di mancata conformità, le entità Essenziali sono soggette a sanzioni fino a un massimo di almeno 10.000.000 EUR o al 2% del totale del fatturato mondiale annuo. Per i Soggetti Importanti, le sanzioni sono meno severe, con un massimo di almeno 7.000.000 EUR o all'1,4% del totale del fatturato mondiale annuo.
Inoltre, nei casi più gravi di non conformità da parte di un'entità Essenziale, è possibile che si verifichi la sospensione o il divieto temporaneo per le persone che ricoprono ruoli direttivi (come amministratori delegati o rappresentanti legali) di svolgere tali funzioni in quell'azienda
Per rimanere aggiornato sulla Direttiva NIS2 e sulle ultime novità normative, ti invitiamo a seguire il nostro blog. Inoltre, non esitare a contattare Netify, il nostro team di esperti è pronto ad assisterti e fornirti tutte le informazioni di cui hai bisogno.