DIR (UE) 2022/2555 un obbligo ma anche un’opportunità per gestire Privacy e sicurezza informatica a cui nessuno si debba sentire escluso.
E’ necessario comprendere che tale normativa mette al centro la sicurezza dell’architettura informatica aziendale al pari della sicurezza alimentare o della sicurezza sui luoghi di lavoro. Questo richiede in tutti noi un profondo riesame delle politiche d’investimento, del valore reale dei dati che gestiamo e non da ultimo dei comportamenti che adottiamo di fronte a questo nuovo soggetto/bene: “il dato”.
La Direttiva NIS 2 – acronimo di “Network and Information Security” – è una normativa europea entrata in vigore il 16 gennaio 2023, con l’obiettivo di rafforzare la sicurezza informatica e la resilienza delle infrastrutture essenziali e critiche necessarie al funzionamento di ogni Stato membro dell’Unione Europea.
Il primo ottobre 2024 è stato pubblicato in Gazzetta Ufficiale il D.lgs.138/2024 in recepimento della NIS2. Le disposizioni contenute nel Decreto si applicano a partire dal 18 ottobre 2024.
Il Decreto vede coinvolti i soggetti indicati negli allegati I (Settori ad altra criticità) – II (Altri settori critici) e III (Amministrazioni centrali, regionali, locali e di altro tipo) – IV (Ulteriori tipologie di soggetti). Per il settore privato gli allegati rilevanti sono l’allegato I e II.
Il decreto si applica ai soggetti delle tipologie di cui all’allegato I e II, che superano i massimali per le piccole imprese ai sensi dell’articolo 2, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE.
Anche qualora l’azienda non rientrasse nei limiti di applicabilità previsti dal Decreto è possibile, nel caso l’azienda fosse fornitrice di un soggetto obbligato, che quest’ultimo proceda alla verifica della sicurezza della propria supply chain.
La verifica potrà verosimilmente avvenire attraverso l’applicazione di check-list di conformità la cui compilazione, positiva o negativa, potrebbe determinare la prosecuzione o meno del rapporto di fornitura.
Cambia il paradigma delle responsabilità: i manager incaricati tramite deleghe specifiche o i CDA dalle aziende saranno direttamente sanzionabili in caso di non applicazione della norma. La responsabilità personale agirà sicuramente da acceleratore dell’applicazione della stessa norma.
Le misure sono basate su un approccio volto a proteggere i sistemi informativi e di rete nonché il loro ambiente fisico da incidenti:
Comprendere lo stato AS-IS utilizzando come parametro di riferimento standard nazionali e internazionali in materia di cybersecurity e quanto previsto dalla NIS2 con questi livelli d’analisi:
Definizione dello scenario TO-BE – gli obiettivi che l’organizzazione vuole raggiungere:
Il compito di supervisionare la corretta applicazione delle disposizioni della Direttiva NIS 2 e di esercitare i poteri sanzionatori è stato attribuito alla nostra Agenzia per la Cybersicurezza Nazionale, il criterio di applicazione delle sanzioni è modulare in base al soggetto tenuto al rispetto della normativa.
Le sanzioni scattano per:
fino a 10 milioni o fino al 2% del totale del fatturato annuo su scala mondiale con un minimo editabile fino al 0,1% o fino allo 0,07% del fatturato mondiale annuo per le violazioni considerate meno gravi.
Le sanzioni accessorie interdittive in caso di diffida da parte dell’ACN che richieda l’implementazione di determinate misure che venga ignorata, è possibile sospendere temporaneamente un certificato o un’autorizzazione relativi ai servizi erogati dal soggetto. Inoltre, nella medesima ipotesi, le conseguenze possono ripercuotersi anche sul management, che non potrà svolgere funzioni dirigenziali nell’ente.
Articolo scritto da
e