Immagina di erigere una cittadella inespugnabile con mura imponenti, guardiani sempre all’erta e difese indistruttibili: questo è lo spirito della Direttiva UE 2022/2555, meglio nota come NIS2, che aggiorna e rafforza la Direttiva NIS (Network and Information Systems Directive) e che dal 16 ottobre 2024 ridisegna le regole della sicurezza informatica con una stretta senza precedenti.
Con la nuova Direttiva, adottata con l’intento di migliorare la resilienza e la sicurezza delle infrastrutture digitali in tutta l’Unione Europea, chi rientra nel suo perimetro non potrà più sottrarsi ai nuovi obblighi.
Oggi, infatti, le minacce digitali non sono più semplici imprevisti, ma vere e proprie battaglie invisibili che colpiscono governi, aziende e cittadini e la nuova direttiva si cala proprio in questo contesto.
La NIS2 è quindi la risposta dell’Europa: più rigore, più consapevolezza, più protezione!
Sei pronto a conoscere meglio la nuova normativa NIS2, obblighi e scadenze, e scoprire se anche tu rientri nei soggetti coinvolti?
Chi è coinvolto?
Non solo le grandi aziende o le infrastrutture critiche: anche le PMI e altri enti devono alzare il livello di sicurezza.
Infatti, i soggetti a rischio di cyberattacco non sono più soltanto i giganti della tecnologia, per cui la NIS2 va ad abbracciare un ampio ventaglio di settori considerati critici per la sicurezza e il benessere della società.
- Settori essenziali: la NIS2 amplia la protezione a settori cruciali per la società e l’economia, vulnerabili agli attacchi cibernetici. Questi includono il settore energetico, gli ospedali e i sistemi sanitari, il settore dei trasporti e la gestione dell’acqua.
- Servizi digitali: la NIS2 riguarda anche i servizi digitali, fondamentali per la vita moderna e la transizione digitale, come le piattaforme cloud, i motori di ricerca, le piattaforme di e-commerce e i social media.
- Organizzazioni pubbliche e private che gestiscono settori critici o dati sensibili: gli enti pubblici e le imprese private si trovano a gestire dati vitali per la propria sicurezza e quella degli utenti, per cui la loro protezione diventa essenziale.
Scadenze in calendario
Il processo di adeguamento alle nuove normative di cybersicurezza prevede una serie di scadenze cruciali per tutti i soggetti coinvolti.
- Dal 1° dicembre 2024: è stata aperta la piattaforma di registrazione, disponibile sul sito ufficiale dell’Agenzia per la Cybersicurezza Nazionale (ACN), che funge da strumento di comunicazione e interazione diretta tra l’ACN e i soggetti obbligati. Essa non solo facilita la registrazione, ma fornisce anche orientamento, supporto tecnico e informazioni aggiornate per aiutare i partecipanti a rispettare le normative.
- Entro il 28 febbraio 2025: tutti i soggetti obbligati, che includono enti pubblici, aziende private e altri attori strategici nel settore della cybersicurezza, dovranno completare la registrazione.
- Da aprile 2025 ad aprile 2026: si prevede l’attuazione graduale degli obblighi previsti dalla normativa, con un focus particolare sul monitoraggio delle infrastrutture critiche e sull’implementazione delle misure di sicurezza.
- Post aprile 2026: entreranno in vigore obblighi a lungo termine, con l’introduzione di ulteriori requisiti specifici, che garantiranno ai soggetti NIS di rimanere costantemente allineati agli standard di sicurezza più elevati.
I nuovi obblighi della NIS2
Le aziende e organizzazioni che vi si adegueranno, dovranno:
- Rafforzare la propria sicurezza: ogni azienda deve mettere in atto misure di protezione avanzate per prevenire e gestire le minacce.
- Segnalare gli incidenti: se subisci un attacco, devi comunicarlo rapidamente alle autorità per limitare i danni.
- Responsabilità: dovrai nominare un responsabile per la sicurezza informatica e monitorare costantemente le tue difese.
- Controlli e sanzioni: aspettati controlli regolari per verificare la conformità.
Una sfida impegnativa ma soddisfacente!
Certamente, impegnarsi nell’attuare gli obiettivi pensati dalla NIS2 non è un percorso facile perché richiede riorganizzazione all’interno delle aziende, nonché investimenti. Inoltre, non tutte le imprese e organizzazioni possono permettersi team di cybersecurity interni, per cui molti potrebbero percepire la NIS2 come un onere, ma non adeguarvisi significa rischiare sanzioni e attacchi devastanti.
La soluzione?
Per esempio, potenziare la formazione, affidarsi a esperti esterni e partecipare ai tavoli di lavoro sulla sicurezza. Ricorda che la cybersicurezza non è un lusso per la tua azienda, ma una necessità di base.
Il ruolo delle associazioni professionali
Le associazioni di professionisti e aziende esprimono a riguardo pareri contrastanti: dalla preoccupazione alla disponibilità di collaborazione, implementare la NIS2 è difficile, specialmente per le PMI, che spesso non hanno risorse interne adeguate.
Per questo, si richiede un Testo Unico sulla Sicurezza Digitale, come avviene per la sicurezza sul lavoro. Troppe regole frammentate rendono difficile la compliance: serve un quadro chiaro e unificato. Inoltre, il ricorso a figure di intermediari della sicurezza potrebbe facilitare la gestione operativa delle misure richieste.
Nonostante tutto però, questo cambio di rotta ha il sapore di una svolta culturale necessaria: investire in formazione e consapevolezza infatti è cruciale, soprattutto nei settori più vulnerabili, perché la scarsità di competenze è tra le prime cause di danni da cyberattacchi. Inoltre, la sicurezza informatica ad oggi è uno sforzo collettivo, non soltanto individuale, per una nuova democrazia digitale, dove ognuno ha una precisa responsabilità.
Se vuoi saperne di più contattaci a info@nicolettieassociati.it.
Saremo al tuo fianco per rispondere in tempi brevi nel migliore dei modi possibili.
