La Direttiva NIS2 rappresenta un importante aggiornamento legislativo nel campo della cybersecurity, imponendo nuovi obblighi a un’ampia gamma di organizzazioni per rafforzare la protezione contro gli attacchi informatici. Entrata in vigore il 16 gennaio 2023, la direttiva mira a unificare e intensificare la sicurezza informatica tra gli Stati Membri dell’UE, estendendosi a settori cruciali per la società e l’economia europea.
Direttiva NIS2: a chi si rivolge
La direttiva abbandona la precedente distinzione tra Operatori di servizi essenziali e fornitori di servizi digitali, introducendo le categorie di soggetti essenziali e soggetti importanti. Ricadono in queste categorie tutti i soggetti che operano nei Settori ad alta criticità e negli altri settori critici che soddisfano specifici criteri di dimensionamento (ti rimandiamo a questa tabella esaustiva stilata da Agenda Digitale). Seguendo i nuovi criteri, la normativa si rivolge a:
- Grandi imprese: con oltre 250 dipendenti o un fatturato annuo maggiore di 50 milioni di euro
- Medie imprese: tra 50 e 250 dipendenti, con un fatturato o un totale di bilancio annuo tra 10 e 50 milioni di euro
- Pubbliche amministrazioni e altre categorie specifiche, come le piccole imprese, individuate con maggiore chiarezza nella direttiva
Obblighi per le aziende coinvolte dalla Direttiva NIS2
Le organizzazioni interessate devono adottare misure in vari ambiti:
- Governance della cybersicurezza: ad esempio, formazione periodica obbligatoria per i consigli di amministrazione e i dipendenti.
- Misure per la gestione dei rischi (inclusa la sicurezza della supply chain)
- Continuità operativa e segnalazione degli incidenti: implementazione di strategie per la gestione degli incidenti e la continuità delle operazioni.
Vigilanza e sanzioni in caso di inadempienza
All’interno della normativa vi sono differenze importanti nella severità delle misure di vigilanza e delle sanzioni, con le entità essenziali soggette a controlli e multe più severe rispetto a quelle importanti. La logica per l’applicazione delle sanzioni è simile a quella di altre normative: l’entità della sanzione viene stabilita sulla base di un importo minimo predefinito o di una percentuale di fatturato a seconda di quale dei due valori sia superiore.
Le sanzioni previste variano in questo modo:
- Per le entità essenziali: multe fino a 10 milioni di euro o il 2% del fatturato mondiale annuo
- Per i soggetti importanti: multe fino a 7 milioni di euro o l’1,4% del fatturato mondiale
Cosa possono fare le imprese per adeguarsi alla direttiva
Molti aspetti che richiederanno l’attenzione delle imprese per allinearsi ai nuovi standard posti dalla normativa sono già chiaramente delineati.
Con la scadenza del 2024 che si avvicina, è cruciale che le organizzazioni interessate inizino al più presto il processo di valutazione, in modo da garantire una transizione fluida e pianificare per tempo le azioni di adeguamento per mantenere la conformità con le nuove normative.
Hai bisogno di supporto nella comprensione della Direttiva NIS2 sulla cybersecurity o desideri capire quali azioni intraprendere per essere conforme alla normativa? Contattaci per saperne di più:
- scrivendo ai nostri esperti tech@millergroup.it
- chiamando il 02.367.624.90 (ci trovi anche su Whatsapp Business)