È OPERATIVA LA NUOVA DIRETTIVA NIS2, LA TUA AZIENDA DEVE CONFORMARSI?

La NIS2 è una direttiva dell’Unione Europea, entrata in vigore a partire da ottobre 2024, che si sostituisce alla NIS1 ed ha come obiettivo quello di limitare il rischio che un incidente di cybersicurezza possa minare la capacità dell’azienda di erogare i propri servizi o di realizzare i propri prodotti, favorendo un approccio proattivo alla cybersecurity.

Con il subentro di questa direttiva, le organizzazioni devono essere in grado di valutare il rischio di un attacco informatico lungo tutta la loro catena di approvvigionamento, quindi, la gestione del rischio informatico è diventata obbligatoria. Inoltre, le organizzazioni devono fornire formazione ai dipendenti e completare una valutazione sistematica della sicurezza informatica dell'azienda per identificarne vulnerabilità, rischi e conformità alle normative. L’alta dirigenza è personalmente responsabile di qualsiasi danno causato dal mancato rispetto degli obblighi di gestione del rischio informatico e, in caso di violazione, possono essere applicate sanzioni severe.
La NIS2 ha ampliato il campo di applicazione includendo un numero maggiore di settori critici e introducendo due categorie di soggetti: soggetti essenziali (settori ad alta criticità) e soggetti importanti (altri settori critici). 
I soggetti essenziali comprendono tutte le società con 250 o più dipendenti, un fatturato di oltre 50 milioni di euro (o un bilancio di 43 milioni di euro), i quali si occupano di Energia, Trasporti, Settore bancario, Pubblica amministrazione, Infrastrutture finanziarie, Sanità, Acqua potabile, Acque reflue, Infrastrutture digitali, Gestione dei servizi ICT e Spazio.

I soggetti importanti comprendono le società con più di 50 e meno di 250 dipendenti e un fatturato di oltre 10 milioni di euro (o un bilancio di oltre 10 milioni di euro), i quali, oltre ad occuparsi dei servizi sopra citati, si occupano anche di Servizi postali e di corriere, Gestione dei rifiuti, Industria chimica, Industria alimentare, Fabbricazione, Fornitori di servizi digitali e Ricerca.
Se fai parte delle entità essenziali e non ti adegui, rischi una sanzione con un importo massimo di 10.000.000 di euro o il 2% del fatturato globale generato nell'esercizio precedente, mentre se fai parte delle entità importanti, l'importo massimo che può essere applicato è di 7.000.000 EUR o 1,4% del fatturato globale generato sempre nell'esercizio precedente.
L’implementazione della normativa NIS2 presenta sfide e criticità, tra cui la complessità dei requisiti, la formazione del personale e la difficoltà nella gestione degli incidenti. Ecco perché è importante affidarsi a dei professionisti della Cybersecurity!

Condividi sulle tue piattaforme: