Introduzione alla direttiva Nis2
La direttiva Nis2 rappresenta un passo fondamentale per il rafforzamento della cybersicurezza in Europa. Questa normativa, che aggiorna le regole precedenti stabilite nel 2016, è stata concepita in risposta a eventi significativi come la pandemia da Covid-19 e l’invasione russa dell’Ucraina. L’obiettivo principale è quello di aumentare i livelli di sicurezza cibernetica e migliorare la cooperazione tra gli Stati membri dell’Unione Europea per fronteggiare le crescenti minacce informatiche.
Obblighi per le aziende
La direttiva Nis2 impone obblighi rigorosi a diverse categorie di aziende, in particolare quelle di grandi dimensioni, che superano i 250 dipendenti o hanno un fatturato superiore ai 50 milioni di euro. Anche le medie imprese, con un massimo di 50 dipendenti e un fatturato oltre i dieci milioni, sono incluse nel raggio d’azione della normativa.
Tuttavia, anche le piccole e microimprese possono essere coinvolte, a seconda della loro importanza nei rispettivi settori. In totale, sono 18 i settori considerati critici, tra cui energia, trasporti, sanità e servizi digitali.
Classificazione delle aziende e registrazione
Un aspetto cruciale della direttiva è la classificazione delle aziende in due categorie: essenziali e importanti. Questa distinzione, che si basa sull’importanza del settore in cui operano, influenzerà l’applicazione dei nuovi obblighi e i poteri ispettivi dell’Agenzia per la cybersicurezza nazionale (Acn). Le aziende dovranno registrarsi su una piattaforma dedicata per determinare se rientrano sotto l’ambito di applicazione della Nis2. La registrazione richiede l’inserimento di informazioni specifiche, come il codice fiscale e i codici Ateco delle attività svolte.
Misure di sicurezza e notifiche
Le aziende soggette alla direttiva dovranno adottare misure di sicurezza informatica per prevenire e gestire incidenti. Tra queste misure ci sono politiche di analisi dei rischi, strumenti per garantire la continuità operativa e procedure per l’uso della crittografia. Inoltre, sarà obbligatorio notificare gli incidenti informatici significativi al Computer Security Incident Response Team (Csirt) Italia entro 24 ore dalla scoperta. Le aziende dovranno anche fornire aggiornamenti sull’incidente entro 72 ore e un rapporto completo entro un mese.
Scadenze e responsabilità
Il rispetto degli obblighi di base in materia di sicurezza informatica dovrà essere completato entro ottobre 2026. A partire da gennaio 2026, le aziende dovranno notificare gli incidenti al Csirt, che fungerà da supporto per la gestione delle crisi.
La responsabilità di garantire la conformità ricade sugli organi di amministrazione delle aziende, che dovranno anche promuovere corsi di formazione sulla cybersicurezza tra i dipendenti. La direttiva Nis2 rappresenta quindi un cambiamento significativo nel panorama della cybersicurezza in Europa, richiedendo un impegno serio da parte delle aziende per proteggere i propri sistemi e dati.
