La direttiva sulla sicurezza delle reti e dei sistemi informativi, Network and information security directive 2 (Nis2) dell’Ue è stata recepita con il Dlgs 138/2024, entrato in vigore il 18 ottobre scorso, introducendo nuovi obblighi in materia di cybersicurezza per imprese e Pa.
I recenti attacchi informatici dimostrano l’esistenza di gravi conseguenze economiche e reputazionali per le imprese, interruzioni nell’operatività delle infrastrutture energetiche, malfunzionamenti nei sistemi informativi di strutture ospedaliere e sanitarie, oltre alla diffusione non autorizzata di dati personali.
È quindi compito dello Stato definire strategie efficaci di cybersicurezza, finalizzate a pianificare, coordinare e implementare misure per garantire la sicurezza e la resilienza del Paese nel mondo digitale. La cybersicurezza deve essere il pilastro del processo di digitalizzazione, diventando essenziale nella trasformazione e contribuendo all’autonomia strategica nel settore. La cybersicurezza non è un costo, ma invece un investimento per lo sviluppo economico e industriale, con l’obiettivo di potenziarne la competitività globale. La protezione di infrastrutture, sistemi e dati non può limitarsi agli aspetti tecnici, ma deve essere accompagnata da un cambiamento culturale diffuso, per promuovere un approccio orientato alla sicurezza.
Il decreto Nis 2 si applica a una vasta gamma di soggetti, pubblici e privati, distinti in due categorie:
- soggetti «essenziali»: operano in settori altamente critici come energia, trasporti, sanità, settore bancario, risorse idriche e infrastrutture digitali.
- soggetti «importanti»: altre imprese e organizzazioni in settori rilevanti per la sicurezza nazionale ( produzione alimentare, servizi postali e corrieri, piattaforme di social network).
Gli obblighi principali partono dalla registrazione e aggiornamento delle informazioni: entro domani 28 febbraio, i soggetti essenziali e importanti devono completare la registrazione o l’aggiornamento delle informazioni e sulla piattaforma digitale dell’Agenzia per la cybersicurezza nazionale.
Altro obbligo è il “Modello organizzativo di gestione della cybersecurity”: le imprese e le Pa devono adottarlo, incluse procedure per la segnalazione tempestiva di incidenti e l’adozione di misure di sicurezza proporzionate al rischio.
Monitoraggio e vigilanza: l’Acn svolgerà attività di monitoraggio e vigilanza, effettuando verifiche e ispezioni per assicurarsi che i soggetti obbligati rispettino le misure di sicurezza e gli obblighi di notificazione.
È poi prevista la nomina di un responsabile per la sicurezza informatica con competenze specifiche in materia di cybersicurezza. Ancora, scatta l’obbligo di formazione dei dipendenti per individuare e comprendere i rischi, le best practice e l’impatto delle minacce sull’azienda. Le sanzioni per inosservanza degli obblighi sono proporzionate alla gravità della violazione e variano in base a natura e dimensione dell’organizzazione. Le organizzazioni «essenziali» sono soggette a sanzioni massime di almeno 10 milioni di euro o a un massimo di almeno il 2 % del fatturato mondiale annuo. Le organizzazioni «importanti» sono soggette a sanzioni «pari a un massimo di almeno sette milioni di euro o a un massimo di almeno l’1,4% del fatturato mondiale annuo».
Gli organismi di vigilanza 231 devono assicurarsi che le aziende rispettino gli obblighi del Decreto Nis 2. Questo include la supervisione dell’adozione e dell’implementazione del Modello organizzativo e la verifica della conformità alle misure di sicurezza e agli obblighi di notificazione.
Sempre per aumentare la partecipazione dei vertici aziendali alle tematiche della cybersicurezza, è stata prevista anche una responsabilità personale dell’organo di amministrazione per le violazioni degli obblighi di cui al decreto di recepimento.
Al di là delle sanzioni amministrative pecuniarie di cui può essere destinatario l’ente, la NIS2 l’Autorità competente può imporre sanzioni di natura interdittiva come il divieto temporaneo di svolgere funzioni dirigenziali all’interno dell’ente per l’amministratore delegato o per il rappresentante legale.
Riproduzione: Ilsole24ore
