A causa delle crescenti minacce digitali, l’Unione Europea introduce la Direttiva NIS2 (Network and Information System), il cui obiettivo è rafforzare la cibersicurezza nei settori chiave dell’economia. Attualmente è in corso l’elaborazione del progetto della legge polacca per l’implementazione della direttiva NIS2. La legge dovrebbe entrare in vigore già nel 2025.
A chi si applica la NIS2?
L’attuazione della direttiva sarà obbligatoria per il settore energetico, bancario e di trasporti, ma anche per le aziende manifatturiere. A seconda della loro rilevanza economica, questi soggetti sono suddivisi in essenziali e importanti, e in entrambi i casi dovranno rispettare determinati requisiti.
Vorremmo sottolineare che i soggetti obbligati all’introduzione della direttiva NIS2 dovranno effettuare un’autovalutazione, il che significa che ogni azienda sarà tenuta a determinare autonomamente se deve implementare ulteriori sistemi di cibersicurezza.
Principali cambiamenti introdotti dalla NIS2
- Ambito di applicazione ampliato – il campo di applicazione è ampliato ad un numero maggiore di settori.
- Obbligo di gestione del rischio – le aziende dovranno implementare sistemi di cibersicurezza efficaci.
- Nuovi requisiti di segnalazione – gli incidenti gravi dovranno essere segnalati entro 24 ore.
- Maggiore responsabilità del consiglio di amministrazione – lo staff manageriale, inclusi i membri del consiglio di amministrazione, i direttori e i responsabili della cibersicurezza, sarà direttamente responsabile della conformità dell’organizzazione alla direttiva NIS2. In caso di irregolarità, i dirigenti potrebbero essere soggetti a sanzioni amministrative fino al 600% del loro stipendio.
- Sanzioni severe per il mancato rispetto delle normative – per le aziende manifatturiere le sanzioni possono arrivare fino a 7.000.000 EUR o al 1,4% del fatturato annuo globale totale dell’anno d’esercizio precedente, a seconda di quale valore sia maggiore.
Come prepararsi?
Per evitare sanzioni e aumentare la resilienza alle minacce informatiche, si raccomanda di:
✅ Effettuare un audit delle attuali misure di sicurezza e identificare le vulnerabilità.
✅ Elaborare le procedure di gestione del rischio ed i piani di risposta agli incidenti.
✅ Organizzare i corsi di formazione del personale dirigente e dei dipendenti in tema di cibersicurezza.
✅ Implementare sistemi di monitoraggio e segnalazione di incidenti.
✅ Collaborare con esperti per adeguarsi ai nuovi requisiti.
Conclusione
La Direttiva NIS2 impone nuovi obblighi significativi a un ampio bacino di imprese. La mancata conformità alle nuove normative potrebbe comportare non solo sanzioni elevate, ma anche un’aumentata esposizione agli attacchi informatici. È consigliabile avviare fin da ora le attività di preparazione per evitare i rischi e garantire la conformità alle nuove normative.
