L’adozione della NIS 2 segna un cambiamento fondamentale per la sicurezza informatica in Europa, richiedendo alle aziende di adeguarsi a nuovi standard di protezione. In questo scenario, SMI Technologies & Consulting offre un approccio completo alla compliance, che unisce la gestione degli obblighi legali con una visione strategica focalizzata su resilienza e cultura aziendale, valorizzando le competenze umane e ottimizzando l’utilizzo della tecnologia.
Il 17 ottobre 2024 è la data che segna un passaggio cruciale per la cybersecurity in Europa, con l’adozione del primo regolamento attuativo della Direttiva Network and Information Security 2 (NIS 2). Il regolamento, adottato dalla Commissione Europea, stabilisce requisiti specifici di sicurezza informatica per le organizzazioni che erogano servizi fondamentali per il mantenimento delle attività economiche e sociali. Questa normativa aggiorna e amplia il perimetro della precedente direttiva del 2016, includendo ora un numero maggiore di settori e introducendo obblighi dettagliati in tema di gestione del rischio e notifiche di incidenti significativi.
Ma ora che la data è arrivata, che succede?
Lo raccontano in queste video pillole Valentina Arena, Head of business unit Cybersecurity, e Davide Giribaldi, Chief Information Security Officer, di SMI Technologies & Consulting, offrendo un punto di vista peculiare sul tema, bilanciando, di fatto, la visione pragmatica degli obblighi legali con una prospettiva più ampia sulla gestione della sicurezza informatica e della continuità operativa.
LEGGI ANCHE: Nis 2 cos’è, quando entra in vigore: tutto quello che serve sapere
Valentina Arena: tolleranza sì, ma con giudizio
Valentina Arena spiega chiaramente che, pur con l’entrata in vigore del decreto di recepimento in ottobre, non vi sono effetti immediati per le aziende dal punto di vista strettamente giuridico. Tuttavia, è necessario prepararsi per non ritrovarsi nella medesima situazione di ritardi e corse ai ripari dell’ultimo minuto già visti con l’introduzione del GDPR.
Arrivare preparati significa, in primis, completare il percorso di auto-valutazione interna per stabilire se la propria organizzazione rientra tra i soggetti coinvolti negli adempimenti della NIS 2 e nel caso procedere con l’iscrizione nel registro previsto dalla normativa.
Su un punto Valenta Arena pone forte l’accento: per le imprese, la compliance non è solo un adeguamento procedurale, ma implica anche la realizzazione di un assesment che permetta di comprendere la propria posizione rispetto agli standard di sicurezza richiesti dalla normativa. Per le organizzazioni che si riconoscono nel perimetro d’azione della NIS 2, l’obbligo di iniziare a notificare gli incidenti di sicurezza partirà dal 2026.
Tuttavia, questo periodo di transizione offre una “tolleranza”, che, secondo Arena, non deve diventare un alibi per posticipare la preparazione: l’adozione della direttiva richiede un’attenzione immediata e organizzata per ridurre rischi futuri e rispettare i tempi stabiliti.
Per quanto riguarda gli aspetti sanzionatori, Valentina Arena sottolinea che la NIS 2 prevede sanzioni sia amministrative che accessorie per chi non si adegua, con penalità rilevanti soprattutto per la mancata gestione del rischio. Le sanzioni, che possono arrivare a 10 milioni di euro o al 2% del fatturato globale per violazioni gravi, puntano a incentivare le imprese a seguire le linee guida non solo per evitare multe, ma anche per rafforzare le proprie misure di sicurezza.
Davide Giribaldi: una visione centrata su cultura aziendale e resilienza operativa
Davide Giribaldi, information security officer, pine l’accento su un ulteriore aspetto legato alla NIS 2: proprio perché la compliance NIS 2 va oltre la semplice aderenza normativa, ciò che serve è un approccio maggiormente orientato alla cultura aziendale e alla resilienza operativa.
Secondo Davide Giribaldi, la cybersecurity può trasformarsi in un’opportunità per le imprese, aiutando a mantenere la fiducia con collaboratori, clienti e partner. In questo senso, per SMI, l’approccio alla compliance implica prima di tutto sviluppare una consapevolezza culturale che si estende a tutti i livelli dell’azienda. La cybersecurity, dunque, richiede non solo un investimento in tecnologia ma l’adozione e l’implementazione di una serie di processi che iniziano dall’educazione e dalla preparazione del personale.
Giribaldi identifica una sfida importante nella complessità dell’ambiente aziendale moderno, in cui la tecnologia spesso viene sovrapposta in modo frammentario, creando entropia e inefficienza.
SMI affronta questo problema puntando a una semplificazione dell’approccio tecnologico, assicurandosi che ogni sistema di sicurezza implementato sia effettivamente utile e sfruttato in maniera ottimale. Al centro di questo approccio, c’è l’idea che la tecnologia sia un supporto, non il cuore della resilienza: è la componente umana, con competenze adeguate e una chiara comprensione dei processi di sicurezza, a rappresentare il vero “abilitatore” della cybersecurity nelle aziende.
È pur vero che le aziende spesso non sono in grado di trarre il massimo dalla tecnologia che possiedono a causa di una gestione frammentata o poco chiara dei layer tecnologici di cui si sono dotate nel tempo.
Ed è qui che entra in gioco un partner come SMI, che si propone di aiutare i propri clienti proprio a ridurre l’incertezza e rendere la tecnologia un elemento efficace di protezione.
SMI affianca i propri clienti nella costruzione di una resilienza effettiva basata su processi solidi, con la tecnologia come strumento di supporto, e di promuovere un approccio in cui l’adozione della NIS2 rappresenta una componente fondamentale per la continuità operativa.
Un approccio integrato alla compliance NIS 2
L’approccio di SMI alla NIS 2 è quindi duplice: da un lato, si concentra sull’adempimento normativo, aiutando le imprese a interpretare i requisiti e a sviluppare strategie di adeguamento; dall’altro, promuove una visione della cybersecurity come elemento strategico che valorizza la componente umana e organizza in modo efficiente la tecnologia.
