Come abbiamo anticipato a Novembre 2024, la direttiva NIS2 segna un passo avanti significativo rispetto alla precedente normativa, imponendo requisiti di sicurezza informatica più rigorosi e dettagliati per rafforzare la protezione delle infrastrutture critiche e dei servizi essenziali. Le aziende dovranno concentrarsi su diversi aspetti fondamentali imposti dalla nuova direttiva. Innanzitutto, una responsabilità diretta per l’approvazione e la supervisione delle misure di cybersicurezza ricadrà sul management (Board), rendendo obbligatoria una formazione specifica per dirigenti e personale, affiancata da una gestione accurata degli accessi fisici e logici. Sarà inoltre cruciale la sicurezza della supply chain , che richiederà l’individuazione dei fornitori critici, un’attenta analisi della loro esposizione al rischio e la conseguente implementazione di misure atte a mitigarlo. Parallelamente, la gestione del rischio e la continuità operativa impongono alle organizzazioni di condurre analisi approfondite dei rischi sui propri sistemi critici, attuare efficaci strategie per il loro trattamento e perseguire un miglioramento continuo, che includa solidi piani di continuità operativa. Infine, per quanto riguarda la gestione degli incidenti , sarà necessario implementare una procedura dedicata, designare un punto di contatto interno e garantire la notifica degli incidenti rilevanti all’Autorità Competente Nazionale (ACN) entro 24 ore dalla loro scoperta. La direttiva coinvolge medie e grandi aziende di numerosi settori, tra cui: energia, trasporti (aereo, ferroviario, vie d’acqua, strada), bancario, infrastrutture dei mercati finanziari, sanitario, acqua potabile e reflue, infrastrutture digitali, gestione servizi ICT, pubblica amministrazione, spazio, servizi postali, gestione dei rifiuti, produzione chimica, alimentare, e manifatturiero (dispositivi medici, elettronica, macchinari, veicoli). La NIS2 si applica anche a entità che, indipendentemente dalla dimensione , prendono decisioni cruciali sulla sicurezza informatica o gestiscono sistemi per soggetti rientranti nel perimetro NIS. Sanzioni previste La non conformità può portare a sanzioni fino a 10 milioni di euro o il 2% del fatturato annuo mondiale totale , se superiore. Per i soggetti essenziali, nei casi più gravi, è prevista la possibile sospensione temporanea delle funzioni per i dirigenti. Scadenze da non dimenticare 31 Luglio 2025 : aggiornamento informazioni Entro il 2025 : implementazione della gestione degli incidenti Entro il 2026 : richiesta la piena conformità Annualmente : Gennaio/Febbraio (riapertura registrazioni), 15 Aprile (comunicazione ACN sui soggetti inclusi), fine Maggio (aggiornamento dati). Le imprese devono agire tempestivamente per analizzare il proprio allineamento con la NIS2 e pianificare le azioni correttive necessarie.
NIS2: obblighi, scadenze e sanzioni per le aziende UE
