Nelle settimane precedenti alla sua introduzione avevamo diffusamente parlato della nuova Direttiva NIS2, emessa dalla Unione Europea con lo scopo di aggiornare le precedenti direttive in materia di cybersecurity e per la gestione delle minacce. Questo innalzamento richiesto del livello di sicurezza serve a protezione dei settori considerati come centrali e quindi critici, dando comunque uno standard comune a tutti gli stati membri. Ovviamente, per aggiornare la precedente NIS, la nuova Direttiva ha inserito misure maggiormente rigorose riguardo la gestione dei rischi e l’obbligo di notifica dei cosiddetti incidenti informatici, congiuntamente ad un inasprimento delle pene, pecuniarie per le aziende non compliant, e per le figure responsabili.
La NIS2 ha quindi lo scopo di far aumentare la capacità di reazione agli attacchi informatici, allargando queste capacità anche ad aziende che prima non erano considerate come includibili in questo innalzamento del perimetro. Per essere considerate compliant, le aziende devono seguire tutte le indicazioni riguardo alla parte di analisi dei sistemi interni per cercare e sanare eventuali falle di sicurezza, la formazione del personale ed il corretto e costante aggiornamento. Come accennato, il numero di aziende coinvolte si è allargato, perché adesso vengono incluse all’interno degli obblighi legati alla Direttiva anche le aziende che forniscono i servizi, che sono comprese anche tra i soggetti sanzionabili in caso di trasgressioni.
Come specificato nel titolo di questo breve approfondimento, è chiaro che per essere presa completamente in carico la Direttiva NIS2 ha bisogno di un percorso che serve alle aziende per ottemperare a tutte le novità imposte dalla norma. Lo scorso anno dicemmo infatti che nei mesi che andavano da febbraio a luglio del 2025 ci sarebbe stato l’obbligo di registrazione alla piattaforma messa a disposizione da ACN, ovvero l’organismo che in Italia ha preso in carico il controllo sul rispetto della Direttiva. Entro il 31 maggio 2025, poi, i soggetti dovevano inoltrare i nominativi degli amministratori aziendali ed altri dati tecnici (IP, domini utilizzati, eccetera), un’operazione che dovrà però essere ripetuta ogni anno, al fine di comunicare tutti gli eventuali aggiornamenti in merito. La trasgressione di questi primissimi obblighi avrebbe potuto portare a sanzioni che andavano dallo 0,1% del fatturato globale annuo per i soggetti essenziali, ovvero quelli strategici per il paese e quindi critici, allo 0,7% del fatturato per i soggetti importanti, ovvero quelli sempre critici ma meno strategici per il funzionamento dei sistemi dell’intero paese.
Attualmente ci troviamo invece nella fase di intermezzo che porterà fino alla prossima scadenza, quella di gennaio 2026, entro cui i soggetti iscritti al portale ACN devono dare dimostrazione delle misure applicate per la gestione degli incidenti così come di aver implementato politiche efficienti per gestire i rischi e notifica degli eventuali incidenti. La fase successiva, l’ultima tra quelle che vedremo, è quella forse più critica, ovvero quella riferita alla governance della sicurezza. A partire dall’ottobre del 2026, stando alla roadmap attuale, i soggetti coinvolti devono obbligatoriamente inserire organismi di tipo direttivo che si occupino di sicurezza informatica, con pene che si innalzano vertiginosamente per i trasgressori di questi obblighi. Per dare un’idea dell’inasprimento delle sanzioni, basti pensare che i soggetti essenziali possono ricevere una multa di 10 milioni di euro o pari al 2% del fatturato annuo globale, mentre i soggetti importanti sarebbero 7 milioni o l’1,4% del fatturato globale annuo.
Come anticipato, ci sono altre sanzioni che riguardano invece le figure interne alle aziende, per questo in caso di mancata compliance la responsabilità verrà attribuita a tutto il vertice dell’azienda, quindi tutti i membri dei CDA, che possono anch’essi ricevere sanzioni personali. L’inottemperanza alla Direttiva NIS2 poi può avere anche svantaggi tecnici come la mancanza di operatività, uno stop dei fornitori, fuoriuscita di dati e pesanti oneri per il ripristino dei servizi. Ovviamente tutto questo poi si riversa sugli utenti finali, che non vedranno di buon occhio il soggetto colpito, pertanto si prefigura anche un danno nell’immagine e nella reputazione. Prima di arrivare alle sanzioni dirette, tuttavia, l’ACN, ovvero l’organo che controlla la compliance delle aziende, può diffidare le aziende chiedendo correttivi rapidi, sospendere in parte e temporaneamente alcune attività operative ed infine può arrivare ad imporre una inibizione delle figure di vertice delle aziende dallo svolgimento di attività correlate alla cybersicurezza, cosa che imporrebbe una ricerca di altre figure da parte delle imprese e quindi rallentamenti. Tutti questi fattori rendono chiaro come sia fortemente raccomandata una revisione globale di tutto ciò che riguarda o che può riguardare la cybersecurity all’interno delle proprie imprese, se ovviamente rientrano nei soggetti obbligati alla compliance della Direttiva NIS2. Questo si fa tramite una analisi approfondita sulle possibili vulnerabilità, una revisione dei processi interni, l’inserimento di un team amministrativo in tema di cybersecurity ed una formazione attenta di tutto il personale, comprensiva di aggiornamento costante, in materia di sicurezza e sulla risposta agli incidenti informatici.
Fonte: 1
