Nota anche come Direttiva NIS2, la Direttiva (UE) 2022/2555 del Parlamento Europeo e del Consiglio aggiorna le norme in materia di sicurezza informatica introdotte dall’Unione Europea nel 2016 e si applica a una vasta gamma di settori.
Entrata in vigore il 16 gennaio 2023, con obbligo di recepimento da parte degli Stati Membri entro il 18 ottobre 2024, in Italia la Direttiva NIS2 è stata recepita con il d.lgs. n. 138 del 4 settembre 2024. Nel nostro Paese, l’Autorità competente è l’Agenzia per la cybersicurezza nazionale (ACN), istituita nel 2021, presso la quale opera il CSIRT Italia, Gruppo nazionale di risposta agli incidenti di sicurezza informatica.
Fra le categorie che hanno l’obbligo di adottare misure adeguate per proteggere le proprie infrastrutture, rientrano i soggetti essenziali e importanti elencati negli allegati I, II, III, e IV al Decreto 138, che operano in ambiti strategici come l’energia, i trasporti, la sanità e la finanza; le amministrazioni pubbliche; i fornitori di servizi digitali e fiduciari (elaborazione dati, cloud computing, servizi di hosting, motori di ricerca, piattaforme di social media, fatturazione elettronica, pec, firma digitale, ecc). Tuttavia, non è facile orientarsi nei meandri della normativa e le misure sanzionatorie sono estremamente onerose. Per questo, a supporto delle aziende pubbliche e private obbligate a conformarsi alla NIS2, iTech Group ha attivato un servizio di consulenza a 360°, gestito da professionisti certificati.
La Strategia Nazionale di Cybersicurezza
Tra i principali compiti dell’ACN vi è l’attuazione della Strategia Nazionale di Cybersicurezza, volta a «pianificare, coordinare e attuare misure tese a rendere il Paese più sicuro e resiliente». Tale strategia prevede il raggiungimento, entro il 2026, di 82 misure, che rispondono e 3 obiettivi principali:
- protezione degli asset strategici nazionali, mediante un approccio orientato alla gestione e mitigazione del rischio, attraverso misure, strumenti e controlli che favoriscano una transizione digitale resiliente per il Paese;
- risposta alle minacce, agli incidenti e alle crisi cyber nazionali, tramite sistemi di monitoraggio, rilevamento, analisi e attivazione di processi che coinvolgano l’intero ecosistema della cybersicurezza nazionale;
- sviluppo sicuro delle tecnologie digitali, per soddisfare le esigenze del mercato, mediante strumenti e iniziative che supportino i centri di eccellenza, le attività di ricerca e le imprese.
Implementazione delle politiche di sicurezza cibernetica
Per conformarsi alla Direttiva NIS2 (Network and Information Systems), le aziende sono tenute a implementate politiche e procedure adeguate in materia di sicurezza cibernetica, con un maggiore coinvolgimento e responsabilizzazione dei vertici aziendali.
Tra le azioni chiave rientrano:
- la necessità di stabilire una Governance che definisca ruoli e responsabilità, politiche, regolamenti, processi e linee guida in materia di sicurezza delle informazioni e cybersecurity;
- un’adeguata valutazione dei rischi, per identificare le vulnerabilità nei sistemi e nelle reti aziendali;
- la definizione di regole per la continuità del business, volte a mantenere l’operatività in caso di incidenti o eventi che implichino l’esposizione a rischi di sicurezza, analizzando i vari scenari, valutando gli impatti e definendo dei team e dei piani di risposta standardizzati e testati regolarmente;
- l’implementazione delle necessarie misure di sicurezza, come la crittografia, il monitoraggio delle reti e la gestione degli accessi;
- la formulazione di piani di risposta agli incidenti, per affrontare eventuali attacchi informatici o violazioni della sicurezza;
- un’adeguata formazione di tutte le persone interne ed esterne sulle pratiche di sicurezza informatica e sulla consapevolezza dei rischi, strutturata secondo ruoli e mansioni, incluse le figure apicali e di responsabilità;
- il coinvolgimento dei fornitori dei soggetti in ambito, che devono fornire le stesse garanzie delle organizzazioni comprese nel perimetro NIS;
- la segnalazione tempestiva di eventuali incidenti di sicurezza alle autorità competenti, come previsto dalla normativa;
- la collaborazione con le autorità nazionali e la partecipazione a iniziative di condivisione delle informazioni sulla sicurezza;
- l’aggiornamento della documentazione relativa alle pratiche di sicurezza, che può essere soggetta ad audit per verificarne la conformità.
Sanzioni e provvedimenti previsti dalla normativa
La Direttiva NIS2 prevede sanzioni rigorose per chi non si conforma, che possono avere un impatto significativo sul fatturato annuale di un’azienda. Tali sanzioni sono proporzionali e tengono conto di vari fattori, come la gravità della violazione, eventuali infrazioni precedenti, mancate segnalazioni. Per i soggetti essenziali, fatta eccezione per le Pubbliche Amministrazioni, le multe possono arrivare fino a 10.000.000 di euro o al 2% del fatturato annuo. Per i soggetti importanti, che non presentano un livello di rischio immediato in caso di interruzione del servizio, possono raggiungere i 7.000.000 di euro o l’1,4% del fatturato annuo.
Inoltre, sono previsti provvedimenti che possono comportare la sospensione delle attività per le persone giuridiche, per i dirigenti o per i rappresentanti legali.
L’impegno di iTech Group per aiutare le aziende a conformarsi alla Direttiva NIS2
Da sempre impegnata nel favorire la transizione digitale e l’ottimizzazione dei processi aziendali, mediante un approccio innovativo e sostenibile, la nostra azienda dispone di un servizio di consulenza sulle tematiche NIS2, in grado di coprire aspetti tecnici, legali e di cybersecurity. «Il nostro intento», sottolinea Andrea Federici, cofondatore e IT Project Manager di iTech Group, «è quello di guidare e supportare le imprese del pubblico e del privato in merito a ogni aspetto della normativa. Dopo aver stipulato il contratto di consulenza, effettuiamo un’accurata valutazione, per verificare se l’azienda sia conforme e per identificare eventuali bug da sanare. Successivamente stabiliamo i piani di intervento necessari che, su richiesta, possono includere anche attività di manutenzione periodica, che deve essere svolta negli anni successivi».
L’attività di assessment di iTech Group si rivolge a diversi tipi di clientela: dai grandi provider di servizi essenziali e importanti, alle piccole e medie imprese che operano in ambiti critici per la sicurezza e la stabilità delle infrastrutture, come da allegati al decreto di attuazione.
iTech Group offre, inoltre, il Supporto rivolto alle aziende fornitrici delle organizzazioni soggette alla Direttiva NIS2, che prescrive il controllo dei loro fornitori e che, pertanto, indipendentemente dalle loro dimensioni, devono osservare le stesse misure organizzative, amministrative e tecnologiche in materia di sicurezza delle informazioni e cybersecurity.