La cybersicurezza è diventata una priorità per proteggere dati, aziende e infrastrutture critiche dalle crescenti minacce informatiche. L’Unione Europea, con la nuova Direttiva NIS 2, ha introdotto norme più rigorose, tra cui l’obbligo di registrazione sulla piattaforma dell’Autorità nazionale competente.
La cybersicurezza è cruciale per proteggere dati, aziende e infrastrutture critiche da minacce, quali ad esempio malware e furti di identità. Con l’aumento degli attacchi informatici e l’importanza delle normative sulla privacy, è essenziale adottare misure per salvaguardare persone e organizzazioni. In tale ambito, l’Unione Europea ha approvato la Direttiva (UE) 2022/2555, volta a stabilire una strategia comune in materia di cybersicurezza per tutti gli Stati membri (cd. “Direttiva NIS 2”). La Direttiva NIS 2 obbliga le aziende a collaborare con le autorità e con altre aziende a livello europeo per condividere informazioni e buone pratiche in materia di sicurezza informatica, così da garantire una risposta coordinata e più efficace contro le minacce transnazionali.
In Italia tale Direttiva è stata recepita dal Decreto Legislativo n. 138/2024, che è stato pubblicato in Gazzetta Ufficiale il 1° ottobre 2024.
La normativa NIS 2 distingue i soggetti interessati in entità essenziali ed entità importanti sulla base dei servizi che offrono e delle loro dimensioni. Le entità essenziali sono riconducibili, in via generale, alle imprese che operano in uno dei settori ad alta criticità definiti dalla normativa, tra i quali ha senso citare energia, trasporti, settore bancario, infrastrutture (finanziarie e digitali) e settore sanitario. Le entità importanti, invece, sono imprese di medie dimensioni, quindi con almeno 50 dipendenti, con attività in settori strategici o critici.
I soggetti obbligati dovranno implementare misure di sicurezza per gestire i rischi informatici, notificare tempestivamente gli incidenti, effettuare valutazioni regolari e garantire la continuità operativa in caso di incidenti. È obbligatoria la formazione continua dei dipendenti ed è prevista la responsabilità diretta degli amministratori per garantire il rispetto della normativa.
Inoltre, la normativa stabilisce un obbligo di registrazione sulla piattaforma resa disponibile dall’Autorità nazionale competente, che in Italia è l’Agenzia per la Cybersicurezza Nazionale. Diversi soggetti (soprattutto fornitori di servizi online) dovevano registrarsi sulla piattaforma entro il 17 gennaio 2025. Tutti gli altri soggetti rientranti nell’ambito di applicazione del Decreto legislativo dovranno registrarsi entro il 28 febbraio 2025. I dati raccolti saranno impiegati per costituire l’elenco dei soggetti NIS, entro il 31 marzo 2025, anche al fine di fornire le relative statistiche alla Commissione UE ad aprile 2025.
È consigliabile comunque verificare sin da subito se la propria azienda possa rientrare nell’ambito di applicazione della NIS 2 e analizzare i rischi informatici concreti incombenti, così come gli ulteriori obblighi e scadenze previste dalla normativa.