1. Cos’è la NIS2?

Nel mondo digitale odierno, la sicurezza informatica è più che mai una priorità fondamentale. A fronte dell’aumento degli attacchi cyber e della crescente interconnessione delle infrastrutture critiche, l’Unione Europea ha adottato la nuova Direttiva NIS2, che segna un passo decisivo verso il rafforzamento della sicurezza dei sistemi informativi in tutti gli Stati membri.

La NIS2 (Direttiva UE 2022/2555) è il nuovo quadro normativo europeo che si propone di migliorare la sicurezza delle reti e dei sistemi informativi in settori critici come energia, trasporti, sanità, finanza, e servizi digitali. Si tratta di un aggiornamento della precedente Direttiva NIS (adottata nel 2016), pensato per rispondere alle nuove sfide della cybersicurezza in un contesto in continuo cambiamento. La direttiva NIS1 (Direttiva UE 2016/1148) è stata la prima normativa globale dell’UE volta a rafforzare la cibersicurezza delle reti e dei sistemi informativi per salvaguardare i servizi vitali per l’economia dell’UE.

La crescente digitalizzazione delle infrastrutture e dei servizi critici ha creato nuove vulnerabilità che possono essere sfruttate da attori malintenzionati. La sicurezza informatica diventa sempre più centrale per le aziende e gli enti pubblici, specialmente nei settori strategici. Con l’entrata in vigore della Direttiva NIS2, recepita in Italia con il D. Lgs. 138/2024, vengono introdotti nuovi obblighi per rafforzare la protezione delle reti e dei sistemi informativi.

2. Quali sono gli obiettivi della NIS2?

La direttiva mira a:

• Fortificare la sicurezza informatica delle Società e degli Enti pubblici che offrono servizi all’interno dell’Unione Europea in specifici settori (chiamati “settori critici o strategici” come quelli dei trasporti pubblici, energia, sanità, finanza, ecc.).
• Creare un sistema di gestione dei rischi informatici uniforme a livello europeo.
• Migliorare la risposta agli incidenti di sicurezza attraverso un monitoraggio attivo e una maggiore collaborazione tra enti pubblici e privati. La NIS2 introduce l’obbligo di segnalare tempestivamente incidenti informatici significativi alle autorità competenti.
• Implementare misure di sicurezza più rigorose, per cui le organizzazioni saranno obbligate ad attivare misure di sicurezza adeguate, tra cui la gestione del rischio, la protezione dei dati, la resilienza dei sistemi e la formazione continua del personale.

3. Cosa devono fare le aziende?

L’Agenzia Nazionale per la Cybersicurezza (ACN) individua obblighi specifici e una serie di misure obbligatorie per le aziende per adeguarsi alla normativa. Tra le misure generali si segnalano:

• attuazione di misure per la gestione dei rischi e la protezione dei sistemi da vulnerabilità e minacce cibernetiche emergenti;
• obbligo di notifica degli incidenti con impatti significativi entro 24 ore dalla scoperta, per garantire una risposta rapida e coordinata;
• adozione di misure di sicurezza avanzate, come ad esempio l’autenticazione multi-fattore, la crittografia e la cifratura, per aumentare la protezione dei dati e prevenire accessi non autorizzati;
• formazione continua al personale coinvolto, allo scopo di creare, in ottica preventiva, una cultura aziendale della sicurezza.

Dovranno essere seguiti dei passi per conformarsi alla Direttiva NIS2 (allegato 2). Le misure urgenti di adeguamento da seguire saranno:

• Verificare se l’azienda rientra tra i soggetti ai quali si applica la normativa in questione secondo il D. Lgs. 138/2024 (artt. 3 e 6). In caso di esito positiva, sarebbe opportuno approvare una delibera e andrebbe costituito un Team NIS2, con l’individuazione di un referente interno al Team e del soggetto delegato a punto di contatto, per le comunicazioni con le autorità competenti.
• Iscriversi al portale dell’Agenzia Nazionale per la Cybersicurezza (ACN) e nominare una persona fisica come punto di contatto, che ha il compito di attuare le misure di cybersicurezza e di interloquire con l’ACN.
• Condurre un audit di autovalutazione iniziale per analizzare lo stato attuale della sicurezza informatica, che potrebbe essere svolto, tramite somministrazione di check list di verifica (allegato 1) degli adempimenti e obblighi previsti dagli artt. 23, 24 e 25 del D.Lgs. n. 138/2024.
• Pianificare e implementare le misure di adeguamento e di miglioramento per aumentare la protezione dei dati e prevenire accessi non autorizzati come previsto dalla normativa.
• Formare tutto il personale aziendale coinvolto, soprattutto i soggetti apicali quali organi di amministrazione e organi di direzione, per garantire la corretta applicazione delle nuove procedure.

4. Conclusioni

La NIS2 è una risposta europea alle sfide moderne della cybersicurezza. Per garantire un ambiente digitale più sicuro e resiliente, tutte le organizzazioni, dai grandi operatori alle piccole e medie imprese, devono essere pronte ad affrontare la nuova era della protezione informatica.

È fondamentale che le aziende predispongano tempestivamente le prime azioni per garantire la conformità alla nuova normativa. L’implementazione della NIS2 richiede un approccio strutturato e progressivo. Il coinvolgimento di tutte le parti aziendali sarà cruciale per garantire una transizione efficace verso un modello di sicurezza informatica più robusto.