Direttiva NIS2: cosa prevede la nuova normativa sulla cybersecurity e quali aziende sono soggette

La Direttiva NIS2 è la nuova normativa sulla cybersecurity che rappresenta un passo significativo verso il rafforzamento della sicurezza informatica in Europa. Introdotta per rispondere alle crescenti minacce cibernetiche, questa normativa impone requisiti rigorosi a un ampio spettro di aziende.

Ma cosa prevede esattamente e chi è obbligato a rispettarla?

La Direttiva NIS2 è un aggiornamento della precedente Direttiva NIS1, adottata nel 2016. Questo nuovo framework normativo, entrato in vigore nel 2022 e recepito, da ultimo, in Italia il 4 settembre 2024, ha come obiettivo quello di prevenire e mitigare i rischi legati a possibili attacchi informatici, garantendo la continuità operativa delle organizzazioni.

Le principali novità rispetto alla direttiva del 2016 includono:

• Un’estensione dell’ambito di applicazione a un numero maggiore di settori e organizzazioni: da circa 400 enti sottoposti alla NIS1, si è passati ad un totale di 50.000 soggetti sottoposti alla NIS2.
• Standard più elevati per la gestione del rischio e la segnalazione degli incidenti.
• L’introduzione di misure armonizzate per tutta l’Unione Europea che dovranno essere rispettate da tutti gli Stati Membri

La Direttiva NIS2 si applica a due categorie principali di soggetti: soggetti essenziali e importanti. Questa distinzione è rilevante per poter determinare le sanzioni pecuniarie applicabili in caso di violazione della normativa in oggetto.

Per capire se un’organizzazione è coinvolta, è fondamentale verificare se rientra in uno dei settori indicati, in aggiunta al rispetto del carattere dimensione e territoriale, individuato dalla normativa.

Relativamente al carattere dimensionale, l’impresa potrebbe essere inclusa nell’ipotesi in cui abbia più di 50 dipendenti o un fatturato annuo oltre i 10 milioni di euro; anche se questo requisito non deve essere sempre soddisfatto perché alcune categorie, come i fornitori di servizi digitali qualificati o i gestori di sistemi DNS, rientrano tra i soggetti interessati a prescindere dalla loro dimensione.

Le organizzazioni che devono adeguarsi alla Direttiva NIS2 devono rispettare una serie di requisiti chiave:

• Gestione proattiva dei rischi: identificare e mitigare vulnerabilità potenziali nei sistemi IT, utilizzando un approccio multi-rischio.
• Misure di sicurezza minime: implementare policy e strumenti per prevenire attacchi informatici.
• Notifica degli incidenti: segnalare qualsiasi evento significativo alle autorità competenti entro 24 ore.
• Valutazione e monitoraggio continui: adottare standard internazionali come ISO/IEC 27001 per la gestione della sicurezza informatica.

Le aziende che non si conformano alla Direttiva NIS2 rischiano diverse conseguenze. Tra queste:

• Sanzioni finanziarie significative, le sanzioni, per i soggetti essenziali, possono raggiungere i 10 milioni di euro o il 2% del fatturato annuo mondiale, scegliendo l’importo maggiore, mentre per i soggetti importanti, le sanzioni arrivano fino a 7 milioni di euro o all’1,4% del fatturato globale.
• Danni reputazionali, con ripercussioni negative sulla fiducia di clienti e partner.
• Possibili restrizioni operative, imposte dalle autorità regolatorie.
• Sanzioni accessorie nei confronti degli organi dirigenziali, che sarà interdetto dallo svolgere funzioni dirigenziali nell’ente, finché questo non avrà adottato le misure necessarie per porre rimedio alle carenze riscontrante dall’Agenzia per la Cybersicurezza Nazionale.

Le aziende che adottano un approccio proattivo e si conformano alla normativa non solo riducono il rischio di sanzioni e danni reputazionali, ma rafforzano la loro posizione competitiva sul mercato. Investire nella sicurezza informatica non significa soltanto rispettare le regole: è un’opportunità per costruire fiducia, proteggere i propri asset e creare valore duraturo.

Prepararsi al cambiamento richiede impegno, competenze e il supporto di partner qualificati. Con l’aiuto di esperti nel settore, come Orbyta Tax&Legal, le organizzazioni possono affrontare la transizione in modo efficace e trasformare un obbligo normativo in un vantaggio competitivo.