Nuova Direttiva Europea NIS2: come proteggere i dati in azienda

Ha un nome che evoca lungomari azzurri e soupe de poisson. In realtà ha a che fare con una meno poetica, ma sempre più rilevante sicurezza informatica.

È la NIS2, una recente normativa europea che stabilisce una serie di obblighi stringenti per proteggere i dati aziendali e garantire la continuità operativa.

Andiamo, senza indugio, a rispondere alle domande più salienti:

Cosa la rende rilevante? 

La cronaca: l’Italia è il primo paese in Europa e il quarto al mondo per attacchi ransomware. In costante crescita e sferrati non più da ragazzini col cappuccio della felpa sollevato, ma da vere e proprie organizzazioni criminali con centinaia di dipendenti e milioni di fatturato. Gruppi strutturati, spesso finanziati da governi, che prendono di mira aziende pubbliche e private, sottraendo loro dati sensibili e chiedendone riscattimilionari.

Tra le prede preferite le PMI, cuore del tessuto produttivo italiano e particolarmente vulnerabili considerata la loro scarsa capacità di investimento in sicurezza informatica. Veri e propri cyber crime, insomma.

Ma è arrivato il momento di difendersi. L’Italia ha aumentato gli investimenti, che si assestano su uno 0,12% del PIL, a fronte di uno 0,34% degli USA e uno 0,20% di Francia e Germania.

Parallelamente cresce nel mondo del lavoro la consapevolezza di come a fare davvero la differenza sia il comportamento di tuttinoi, che maneggiamo quotidianamente e inevitabilmente dispositivi digitali. Siamo, ad esempio, facili prede di tecniche criminali come il phishing, ovvero l’invio di e-mailfraudolente finalizzate a ottenere credenziali e dati riservati.

Chiunque lavori in azienda dev’essere quindi oggi preparato a riconoscere le minacce ed evitare di cadere in trappola. È un tema di cultura aziendale e di formazione.

In che cosa consiste?

In questo scenario la NIS2 propone la sua strategia, rappresentando un passo avanti nella gestione della sicurezza informatica in Europa, aumentandoil livello di protezione e introducendo regole comuni per prevenire, gestire e mitigare i rischi.

Nello specifico, si articola nei seguenti modi:

• Ampliare il campo di applicazione e la severità delle sanzioni, persegue l’obiettivo di rendere le aziende e le istituzioni europee più sicure e resilienti di fronte alle minacce digitali. Approvata nel 2022, la direttiva aggiorna e sostituisce la NIS1 del 2016, introducendo una serie di novità e rivolgendosi ad aziende con almeno 50 dipendenti o un fatturato di almeno 10 milioni di euro (ma in alcuni casi si applica sempre e comunque, a prescindere dalle dimensioni del soggetto).

• Coinvolgere un numero maggiore di settori inclusi, oltre a quelli già coperti come energia, trasporti e finanza, anche i servizi postali e di spedizione, la produzione di dispositivi medici, l’alimentare, l’amministrazione pubblica e la gestione dei rifiuti. Significa passare da 400 a 500.000 realtà interessate.

• Introdurre due nuove categorie di soggetti obbligati, prevedendo un diverso regime di vigilanza per ciascuna di esse: le Essential Entities (EE) — servizi critici come energia, trasporti, sanità, finanza, acque potabili, acque reflue — e le Important Entities (IE), aziende non essenziali, ma comunque rilevanti per il funzionamento del mercato: provider di cloud computing, hosting, gestione di data center o altri servizi digitali.

• Adottare politiche di gestione del cyber-rischio e di implementare misure di prevenzione e di risposta: dall’analisi del rischio alla gestione degli incidenti, dalla continuità operativa alla sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi, dall’igiene informatica alla formazione in materia.

• Estendere gli obblighi di sicurezza alla supply chain, così che anche le piccole realtà teoricamente non coinvolte dalla norma, dovranno invece farci i conti per non rimanere tagliate fuori dal mercato.

• Prospettare sanzioni più severe: fino a 10 milioni di euro o fino al 2% del fatturato globale dell’azienda; si sceglie l’importo maggiore.

Quando entra in vigore?

La NIS 2 è stata recepita in Italia dal D.lgs 138 di ottobre 2024 che ha chiarito definitivamente gli adempimenti in carico alle organizzazioni coinvolte e ne ha disegnato il timing per adeguarsi, prevedendo scadenze progressive: la prima a gennaio 2025, l’ultima a ottobre 2026. Considerata la complessità della materia, praticamente un battito d’ali.

Adeguarsi tempestivamente alla NIS2 è dunque cruciale, non solo per proteggere la propria azienda, ma per mantenere il proprio vantaggio competitivo.

Vuoi conoscere la Governance e le normative recenti sulla cybersecurity?

Scritto da

Emanuela Pignataro

Laureata in giurisprudenza, giornalista pubblicista, lavora per otto anni in Adecco Italia come Responsabile di filiale, Sales Area Manager e Business Development Manager di servizi per le funzioni HR, formazione inclusa. In Edenred amplia il proprio orizzonte ai servizi Incentive per le Direzioni Commerciali e Marketing. In EF Education come Regional Sales Manager sviluppa gli uffici periferici dell’azienda e gestisce progetti di Indirect Sales dedicati ai soggiorni linguistici all’estero. Nel 2014 torna al primo amore -la formazione aziendale- e approda in Cegos Italia come Business Development Manager prima, Head poi, della divisione Open Courses. Nel 2021 è responsabile del nuovo dipartimento Innovation & Solutions dedicato all’ampliamento dell’offering aziendale. Dal 2022 affianca al focus sull’offering aziendale il ruolo di Head of Execution, presidiando la “messa a terra” di tutti i corsi e progetti formativi gestiti dall’azienda. È appassionata di gatti, vela, viaggi.

Scopri di più