Negli ultimi anni gli attacchi informatici stanno aumentando, colpendo non solo i grandi colossi digitali, ma anche aziende medie e piccole. Per questo l’Unione Europea ha introdotto la Direttiva NIS II, una nuova normativa che richiede alle imprese di proteggersi meglio contro i rischi informatici. In Italia
la Direttiva è stata recepita con il D.Lgs. 138/2024 e, pertanto, sono molte le società che ad oggi devono adeguarsi. Ma cosa significa, in concreto? E soprattutto: cosa deve fare davvero un’azienda per essere in regola?
A CHI SI APPLICA LA NIS II?
La normativa riguarda molte più imprese rispetto al passato. Non solo aziende che gestiscono energia, trasporti o ospedali ma anche società digitali, servizi IT, produttori industriali e aziende che forniscono servizi essenziali ad altre imprese. In pratica: se l’azienda dovesse assumere un ruolo importante per il funzionamento della società o dell’economia, potrebbe rientrare nella NIS II. Per questo è importante partire da una disamina dell’oggetto sociale dell’azienda, comprendendone il perimetro operativo al fine di verificare l’applicazione o meno della NIS II.
IL PRIMO PASSO: REGISTRARSI PRESSO L’ACN
Il primo adempimento formale per le aziende che “potenzialmente” rientrano nella NIS II è la registrazione sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN). Successivamente l’ACN comunica via PEC se l’azienda è effettivamente un “soggetto NIS II”. Da quel momento iniziano gli obblighi formali dal momento che l’azienda dovrà rispettare tutte le nuove regole di sicurezza.
COSA DEVE FARE L’AZIENDA DOPO LA REGISTRAZIONE?
Una volta ricevuta la conferma dell’avvenuta iscrizione presso i registri della ACN, l’azienda deve fornire alcune informazioni aggiuntive all’Autorità, a titolo esemplificativo e non esaustivo: chi è il referente interno per la sicurezza informatica; quali sistemi vengono utilizzati; eventuali attività svolte in altri Paesi UE; alcuni dati tecnici (es. indirizzi IP). Giova precisare che ogni eventuale modifica dovrà essere comunicata immediatamente all’Autorità, pena la commissione di una sanzione.
LA VERA NOVITÀ: RAFFORZARE LA SICUREZZA INFORMATICA
La NIS II non è solo burocrazia: chiede alle aziende di aumentare seriamente la propria sicurezza informatica. Il reale significato di tali nuovi adempimenti è di dotare le aziende di regole interne in materia di cybersicurezza ovvero regole per gestirei rischi digitali, favorire la protezione dei sistemi da attacchi informatici, monitorare la sicurezza informatica e favorire un piano di azione in situazioni di normalità e di eventuale crisi/incidente informatico. In altre parole, si richiede all’azienda di essere preparata nel caso di attacco informatico. Tali attività prodromiche richieste all’azienda, servono affinché, nell’ipotesi di attacco informatico significativo (come un ransomware, un blocco dei sistemi o una fuga di dati), sia immediatamente data notizia all’ACN. Per riuscire a “mitigare il rischio informatico è quindi necessario attivare procedure chiare e precise in azienda, in modo da favorire la creazione di un “piano d’emergenza”. La NIS II punta molto sulla cultura aziendale. Non basta installare un antivirus ma serve che tutte le persone in azienda sappiano riconoscere minacce, e-mail sospette ed errori da evitare.
Al fine di ingenerare una vera e propria “cultura” in materia di cybersicurezza, è altresì prevista una attività di audit periodico ovvero test di sicurezza, valutazione dei fornitori, aggiornamenti dei sistemi IT.
COSA SUCCEDE SE NON SI RISPETTANO LE REGOLE?
Le sanzioni possono essere elevate, fino a diversi milioni di euro nei casi più gravi.
Oltre alla sanzione, il rischio più importante per l’azienda è di tipo organizzativo e reputazionale poiché un incidente informatico non gestito bene può fermare le attività aziendali, danneggiare i clienti e compromettere la reputazione. La NIS II, si configura quindi come un’opportunità per aumentare la resilienza digitale dell’impresa.
COME PUÒ MUOVERSI L’IMPRESA IN MODO PRATICO?
In generale, si può affermare che il percorso da seguire per l’adeguamento alla NIS II è il seguente:
- capire se la norma si applica all’azienda;
- registrarsi sulla piattaforma ACN;
- valutare lo stato di sicurezza attuale (gap analysis);
- rafforzare la sicurezza con misure tecniche e organizzative;
- formare il personale;
- stabilire procedure chiare per gestire eventuali incidenti;
- monitorare e aggiornare regolarmente le pratiche di sicurezza
CONCLUSIONI
La NIS II rappresenta una delle più importanti normative europee sulla sicurezza informatica degli ultimi anni ed è una grande sfida per le imprese e per i professionisti.
Per le aziende italiane non è solo un obbligo legale, ma un investimento: proteggersi oggi per evitare blocchi, danni economici e problemi reputazionali nel futuro.