Negli ultimi anni l’Unione Europea ha assistito a un’escalation di attacchi informatici su larga scala che hanno colpito ospedali, reti energetiche, amministrazioni pubbliche e grandi aziende. La digitalizzazione dei servizi ha esposto le infrastrutture critiche a vulnerabilità sempre più gravi. Per rispondere in modo coordinato e ridurre le disparità tra i Paesi, è nata la Direttiva NIS2, una normativa di sicurezza informatica pensata per rendere l’intero ecosistema europeo più resiliente e pronto a fronteggiare le minacce cyber. Questa direttiva obbliga molte organizzazioni ad adottare misure precise per rafforzare la propria sicurezza digitale, per prepararsi ad affrontare gli attacchi informatici in modo efficace. 

Cos’è la NIS2 e come adeguarsi

La Direttiva NIS2 (Direttiva UE 2022/2555) è entrata in vigore il 16 gennaio 2023, ed è un’evoluzione della prima Direttiva NIS (NIS1), che già chiedeva alle aziende critiche di proteggere le loro infrastrutture digitali. L’attuale NIS2 è più completa, rigorosa e coinvolge un numero maggiore di settori con l’obiettivo è garantire che tutte le organizzazioni coinvolte rafforzino i loro sistemi di difesa, migliorino la prevenzione e sappiano come intervenire rapidamente in caso di incidenti.

Gli Stati membri dell’UE hanno aggiornato le proprie leggi nazionali per rispettarla entro il 17 ottobre 2024. In Italia, il recepimento è avvenuto con il Decreto Legislativo 138/2024, e le imprese coinvolte dovranno essere pienamente conformi entro il 31 luglio 2025. Questo primo adempimento riguarda la comunicazione delle informazioni richieste all’ACN (Agenzia per la Cybersicurezza Nazionale) che tutte le entità essenziali e importanti devono effettuare. Queste informazioni consentono all’ACN di costruire un registro nazionale delle entità soggette alla NIS2 e di monitorare lo stato di avanzamento della loro conformità.

In Italia L’ACN è l’autorità nazionale NIS2, che vigila sull’adempimento complessivo della direttiva, esegue ispezioni e pubblica linee guida. Inoltre, ospita e coordina anche il CSIRT Italia (Computer Security Incident Response Team), responsabile della gestione tecnica degli incidenti. L’ ACN è quindi il punto di riferimento per l’attuazione della Direttiva NIS2. In particolare, dopo la comunicazione iniziale, le aziende dovranno:

• Implementare un piano di sicurezza, con politiche e misure tecniche adeguate;
• Notificare eventuali incidenti cyber secondo i tempi previsti al CSIRT Italia;
• Aggiornare periodicamente le informazioni sulla sicurezza IT dell’organizzazione;
• Collaborare in caso di audit o ispezioni;
• Aggiornare periodicamente i propri piani di risposta e prevenzione.

Chi Deve Rispettare la NIS2 

La NIS2 introduce nuovi obblighi di sicurezza informatica per aziende pubbliche e private operanti in settori critici, con scadenze precise da rispettare. Rispetto al passato, la NIS2 amplia notevolmente il numero di organizzazioni coinvolte. Le aziende vengono suddivise in due grandi gruppi: le entità essenziali e quelle importanti.      

La direttiva si applica a medie e grandi imprese. Tuttavia, anche alcune piccole aziende possono essere incluse, se forniscono servizi critici o se fanno parte di filiere strategiche. In concreto, la direttiva spinge anche ad un’analisi accurata del proprio ruolo e delle proprie responsabilità nel contesto digitale in cui si opera. 

Uno degli aspetti più rilevanti della NIS2 è l’attenzione alla supply chain (catena di fornitura). Ogni organizzazione deve garantire che anche i propri fornitori rispettino standard di sicurezza adeguati. Un fornitore poco sicuro può compromettere l’intero sistema, esponendo tutti i partner a potenziali rischi. Le relazioni tra aziende devono fondarsi su fiducia, trasparenza e controlli regolari, inclusi audit e contratti con clausole specifiche. 

Un’attenta analisi dell’applicabilità della NIS2 è fondamentale per evitare sanzioni e dimostrare la propria conformità alle autorità competenti.

Obblighi Operativi per le Aziende 

Responsabilità della Governance (Art. 20)

I vertici aziendali sono coinvolti direttamente. I dirigenti devono essere formati, consapevoli dei rischi digitali e attivamente impegnati nell’attuazione delle misure di sicurezza, con ruoli ben definiti.

Gestione del Rischio (Art. 21)

Ogni organizzazione dovrà analizzare i propri rischi e adottare misure adeguate: dalla definizione di una politica di sicurezza all’implementazione di sistemi per gestire gli incidenti, dalla predisposizione di piani di continuità operativa alla formazione continua del personale. È fondamentale verificare l’efficacia delle soluzioni nel tempo e aggiornare le strategie in base all’evoluzione delle minacce. 

Notifica degli Incidenti (Art. 23)

In caso di incidenti significativi, le aziende devono notificare gli incidenti al CSIRT Italia, che opera all’interno dell’Agenzia per la Cybersicurezza Nazionale (ACN) ed è operativamente responsabile della ricezione, gestione e coordinamento delle notifiche di incidenti informatici. Le notifiche devono seguire le modalità indicate dall’ACN stessa. con tre livelli di comunicazione:

• Una notifica preliminare entro 24 ore;
• Un report dettagliato entro 72 ore;
• Un rapporto finale entro un mese.

Questi tempi stringenti favoriscono un coordinamento efficace nella gestione delle emergenze. 

Come Prepararsi alla NIS2 

Un approccio efficace prevede 5 fasi principali:

1. Applicabilità: Identificare se si rientra nel perimetro NIS2;
2. Gap Analysis: valutare il livello di sicurezza attuale e confrontarlo con i requisiti imposti dalla direttiva;
3. Piano di adeguamento: definizione di misure da implementare con priorità, risorse e tempi;
4. Formazione continua: consapevolezza e cultura della sicurezza, definizione di ruoli;
5. Monitoraggio: audit regolari, aggiornamento delle misure di sicurezza, test di risposta agli incidenti.

Ognuno di questi livelli prevede analisi costanti ed una continuità operativa che favorisca un’efficiente gestione del rischio nel lungo termine.

Per maggiori informazioni, infografiche e video sulla direttiva NIS2 è possibile visitare la pagina ufficiale dedicata dell’ENISA (Agenzia dell’Unione Europea per la Cyber Sicurezza): ENISA – NIS2.

Perché Adeguarsi è necessario 

L’adozione della Direttiva NIS2 si rende indispensabile alla luce del costante incremento degli attacchi informatici, che minacciano la sicurezza delle infrastrutture critiche e richiedono un rafforzamento coordinato delle difese cyber a livello europeo.

• Rafforzare la sicurezza       

In un modo digitalizzato come quello attuale, le aziende devono necessariamente implementare una difesa efficace contro le minacce, rafforzando la resilienza dell’intera struttura digitale e favorendo la formazione dei dipendenti, al fine di evitare errori umani.

• Verifiche e Sanzioni

Adeguarsi alla NIS2 è un obbligo legale. Le autorità nazionali potranno effettuare controlli, ispezioni e audit per verificare la conformità. Le sanzioni previste sono rilevanti: fino a 10 milioni di euro o il 2% del fatturato globale per le entità essenziali, e fino a 7 milioni di euro o l’1,4% per le entità importanti. 

• Affidabilità e protezione

La conformità alla normativa europea in materia di sicurezza informatica è ormai un requisito essenziale per chi vuole crescere in un contesto digitale sicuro e affidabile. Essere conformi contribuisce a strutturare una solida immagine aziendale, aumentando la fiducia di clienti e partner ed offrendo ulteriori vantaggi concreti: maggiore competitività, facilità nell’accesso a bandi pubblici, opportunità di partnership con grandi aziende e un’immagine più solida sul mercato.

Serve Aiuto con la NIS2? 

La Direttiva rappresenta un elemento di crescita, oltre che un obbligo normativo. Le aziende che iniziano ad allinearsi oggi non solo eviteranno sanzioni, ma costruiranno una cultura della sicurezza che durerà nel tempo. Come adeguarsi alla NIS2?

Cyber Ack può supportarti in tutte le fasi dell’adeguamento: analisi, strategia, formazione e implementazione. Contattaci per avviare un percorso su misura e costruire la sicurezza digitale della tua azienda.