Dal 16 ottobre 2024 le aziende identificate come essenziali o importanti per l’economia e per la società dovranno conformarsi a nuovi obblighi di sicurezza volti al rafforzamento della cyber security all’interno dell’UE con l’obiettivo di far fronte alle crescenti minacce informatiche e garantire la protezione delle infrastrutture critiche.

A prevederlo è il Decreto Legislativo n. 138, che recepisce la direttiva UE 2022/2555, meglio nota come NIS 2.

NIS 2: a chi si applica?

Rispetto alla precedente Direttiva, la NIS 2 si estende ad una più vasta gamma di settori trovando applicazione sia nelle organizzazioni pubbliche che in quelle private.

Introduce nuovi criteri di dimensionamento, rivolgendosi principalmente alle grandi e medie imprese e in determinate circostanze anche alle piccole.

Per quanto concerne i Settori interessati si distinguono:

• Settori ad Alta Criticità: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, approvvigionamento idrico, infrastrutture digitali, gestori di servizi TIC B2B, pubblica amministrazione e settore spazio.
• Altri Settori Critici: servizi postali e di corriere, gestione rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche e alimenti, mezzi di trasporto e fornitura di servizi digitali e di ricerca.

Ai soggetti in perimetro NIS 2 è richiesto, inoltre, di integrare requisiti di gestione dei rischi di cyber security all’interno degli accordi contrattuali con i fornitori, al fine di garantire l’adeguatezza delle misure da essi adottate.

Requisiti principali

La Direttiva NIS2 introduce nuovi obblighi per le organizzazioni in quattro aree principali:

• Gestione del rischio: Le organizzazioni devono adottare misure volte alla riduzione dei rischi informatici. Tali misure comprendono la gestione degli incidenti, il potenziamento della sicurezza della supply chain, una migliore sicurezza della rete, un efficace controllo degli accessi e la crittografia.

• Responsabilità aziendale: NIS 2 stabilisce che il management aziendale riceva un’adeguata formazione riguardo le procedure di sicurezza informatica dell’azienda al fine di poter essere responsabile delle relative misure e poter affrontare efficacemente i rischi.

• Obblighi di segnalazione: Gli enti devono disporre di tempestivi sistemi di segnalazione di incidenti di sicurezza con impatto rilevante sull’erogazione dei loro servizi o su chi li riceve.

• Continuità del business: Gli enti devono garantire la business continuity pianificando preventivamente le procedure da attuare in caso di gravi incidenti informatici. La Direttiva stabilisce che si debba pianificare in particolare il recupero dei sistemi, le procedure di emergenza e la creazione tempestiva di un team di risposta al problema.

In vista dell’imminente entrata in vigore, lo Studio è a disposizione per assicurare la conformità delle strutture aziendali e per non incorrere in pesanti sanzioni.