Alla vigilia di NIS 2: cosa c’è da fare e… cosa non fare

La Direttiva NIS 2, che entrerà in vigore il 18 ottobre 2024, introduce nuovi obblighi di cybersicurezza per le aziende considerate “soggetti critici”, con scadenze di adeguamento fino al 2026. Per discutere l’impatto della normativa, il 16 ottobre si terrà a Roma l’evento “NIS2, What’s Next”, con esperti e istituzioni che approfondiranno le implicazioni legali e le strategie di conformità

Mancano davvero pochi giorni all’entrata in vigore delle Direttiva NIS 2, che sostituirà la precedente direttiva NIS 1 (UE 2016/1148) e prevede un nuovo quadro normativo per migliorare la sicurezza informatica all’interno dell’Unione Europea.
La nuova direttiva, come abbiamo avuto più volte occasione di spiegare su queste pagine, introduce una serie di obblighi per le aziende, in particolare quelle considerate “soggetti critici” e prevede l’obbligo di ottemperare a una serie di scadenze e adempimenti.

L’ambito di applicazione della NIS 2

Uno degli aspetti fondamentali della nuova normativa è l’ampliamento del numero di soggetti obbligati a conformarsi alle direttive. Le aziende saranno classificate in due categorie: soggetti essenziali e soggetti importanti, a seconda della loro criticità in termini di sicurezza informatica.
I criteri per l’identificazione dei soggetti critici sono stati definiti nel decreto legislativo, il quale prevede anche che venga redatto con cadenza annuale un elenco delle imprese soggette alla normativa.

In sintesi estrema, possiamo dire che la classificazione si basa su diversi fattori, tra i quali il settore di appartenenza e le dimensioni aziendali e possiamo schematizzarla così:

1. Piccole imprese: con meno di 50 dipendenti e meno di 10 milioni di euro di fatturato non saranno soggette alla normativa, tranne in alcuni settori critici.
2. Medie imprese: con meno di 250 dipendenti e meno di 50 milioni di euro di fatturato saranno classificate come soggetti importanti in alcuni settori.
3. Grandi imprese: quelle che superano i limiti sopraindicati saranno considerate soggetti essenziali, con obblighi più severi.

Per quanto riguarda i settori critici, questi includono: energia, trasporti, banche, infrastrutture digitali, settore sanitario, gestione dei rifiuti, fabbricazione di dispositivi medici e produzione alimentare. Le amministrazioni pubbliche e altre istituzioni statali saranno classificate come soggetti essenziali indipendentemente dalle loro dimensioni.

Nis 2. Quali obblighi e prescrizioni per i soggetti critici

I soggetti critici, a prescindere dalla loro categorizzazione come “essenziali” o “importanti”, dovranno rispettare due categorie principali di obblighi (la notifica degli incidenti e l’implementazione di misure di sicurezza) oltre a quelli di vigilanza.

Notifica degli incidenti informatici
Gli incidenti considerati significativi devono essere notificati entro precise tempistiche. Le imprese dovranno inviare una pre-notifica entro 24 ore dall’incidente, una notifica completa entro 72 ore e una relazione finale sulla gestione dell’incidente entro un mese. Queste scadenze sono pensate per garantire una risposta tempestiva e accurata agli eventi che potrebbero mettere a rischio la sicurezza informatica.

Implementazione di misure di sicurezza
In base alla Direttiva NIS2, le aziende dovranno adottare misure minime di gestione dei rischi legati alla cybersicurezza. Queste misure includono l’adozione di politiche aziendali che riguardano l’analisi dei rischi, la continuità operativa, la gestione degli incidenti, l’uso di tecniche di crittografia, la formazione del personale, l’adozione di sistemi di autenticazione a due fattori e altre misure di protezione delle reti e dei sistemi informatici. Le misure da implementare varieranno a seconda della criticità del soggetto e dovranno essere proporzionali ai rischi specifici cui ogni azienda è esposta.

Responsabilità e vigilanza con la Nis 2

Come accennato, c’è un ulteriore aspetto di cui tener conto. La direttiva attribuisce agli organi direttivi delle aziende soggette alla NIS 2 una particolare responsabilità nella gestione della sicurezza informatica. Questi saranno responsabili in prima persona di eventuali violazioni, e saranno tenuti a formarsi in materia di cybersicurezza per garantire un’adeguata supervisione delle misure adottate. Sarà compito dell’Autorità Nazionale monitorare l’attuazione della normativa, effettuare ispezioni, adottare misure esecutive e, in caso di mancata conformità, imporre sanzioni, che saranno più severe per i soggetti essenziali.

Quali tempistiche per la Nis 2

Con l’entrata in vigore della Direttiva, diventano cogenti anche le successive scadenze previste dalla normativa. In particolare, con l’inizio del prossimo anno e precisamente dal 1° gennaio 2025 inizierà il processo di identificazione dei soggetti critici: alle aziende verrà richiesto di registrarsi su una piattaforma dedicata, indicando il loro settore di attività e un punto di contatto entro il 28 febbraio ed entro il 31 marzo l’Autorità Nazionale completerà l’elenco delle aziende classificate come soggetti essenziali o importanti, comunicando loro la rispettiva qualifica.
Le imprese avranno poi diversi mesi per adeguarsi agli obblighi imposti dalla normativa:

Così, per quanto riguarda la notifica degli incidenti informatici, entro nove mesi dalla comunicazione dell’Autorità Nazionale, le imprese dovranno essere conformi a questa disposizione. Pertanto, il termine massimo per l’adeguamento sarà fissato per la fine del 2025.
Parimenti, per quanto attiene le misure di sicurezza informatica, entro 18 mesi dalla comunicazione dell’Autorità, le imprese dovranno aver implementato le misure di gestione dei rischi. Considerando le tempistiche, le aziende dovranno essere conformi a questi requisiti entro settembre 2026.

Appare chiaro che la NIS2 richieda un importante lavoro preparatorio.
Le imprese dovranno valutare se rientrano nell’ambito di applicazione della direttiva, analizzare i rischi informatici specifici per la loro attività, valutare lo statu quo delle misure di sicurezza in essere, aggiornare le procedure interne, formare tutto il personale.

Appuntamento il 16 ottobre a Roma

E proprio alla vigilia dell’entrata in vigore della direttiva, SMI Technologies and Consulting e l’Università Europea di Roma hanno organizzato un incontro dal titolo “NIS2, What’s Next”, che vedrà coinvolti e ospiti Istituzioni, Amministrazioni Pubbliche e Private, Università, oltre a esponenti mondo della ricerca.
L’incontro si svolgerà il 16 ottobre, dalle 9 alle 13,presso la sede di S.M.I. Technologies and Consulting srl  Via della Sierra Nevada,60 00144 Roma

Di seguito l’agenda della giornata: