Blog

NIS 2: cosa cambia per la cybersecurity aziendale

lucchetto su bandiera europea
08
Mag

Dal 2024 è entrata in vigore la Direttiva NIS 2, una normativa europea che rappresenta un passo avanti fondamentale per rafforzare la cybersecurity nei settori critici e ad alta dipendenza digitale. Se hai un’azienda che opera nei settori delle infrastrutture digitali, sanità, trasporti, energia o servizi IT, questa direttiva potrebbe riguardarti da vicino.


Cos’è la Direttiva NIS 2?

NIS 2 (Network and Information Security 2) è l’evoluzione della prima Direttiva NIS del 2016. L’obiettivo è aumentare il livello di sicurezza informatica all’interno dell’Unione Europea, estendendo gli obblighi a un numero maggiore di soggetti e introducendo standard minimi di sicurezza più stringenti.


A chi si applica?

Rispetto alla precedente versione, NIS 2 amplia il perimetro dei soggetti obbligati, includendo:

  • Aziende pubbliche e private con più di 50 dipendenti o fatturato superiore ai 10 milioni di euro, attive in settori considerati critici.
  • Fornitori di servizi digitali, come cloud provider, data center, servizi DNS, registrar di domini.
  • Società che gestiscono reti di comunicazione elettronica, energia, acqua, trasporti, finanza, sanità e pubblica amministrazione.


Cosa prevede?

Le aziende soggette alla NIS 2 dovranno:

  • Adottare misure tecniche e organizzative per la gestione del rischio informatico.
  • Notificare gli incidenti significativi entro 24 ore dall’identificazione.
  • Designare un responsabile della sicurezza (CSO) o un referente interno.
  • Effettuare audit periodici e formazione continua del personale.
  • Garantire la continuità operativa anche in caso di attacchi.


Il ruolo dell’ACN in Italia

In Italia la supervisione dell’applicazione della Direttiva NIS 2 è affidata all’Agenzia per la Cybersicurezza Nazionale (ACN). L’ACN ha il compito di:

  • Coordinare l’attuazione della direttiva sul territorio nazionale
  • Stabilire linee guida tecniche e operative
  • Monitorare i settori essenziali e importanti
  • Ricevere le segnalazioni di incidenti da parte degli operatori

Per le aziende italiane è, quindi, fondamentale monitorare le comunicazioni ufficiali dell’ACN e seguire le direttive pubblicate.


Quali sono le sanzioni?

La direttiva prevede sanzioni importanti in caso di mancata conformità, che possono arrivare fino a 10 milioni di euro o il 2% del fatturato globale annuo. Sono, inoltre, previste responsabilità personali per gli amministratori aziendali.

 

Cosa deve fare la tua azienda?

L’adeguamento alla NIS 2 non è solo un obbligo normativo, ma un’opportunità per rafforzare la propria resilienza digitale. Ecco i primi passi consigliati:

  1. Valutazione del rischio e dei processi attuali.
  2. Pianificazione di un piano di adeguamento con supporto tecnico e legale.
  3. Implementazione di soluzioni di sicurezza, backup e monitoraggio continuo.
  4. Formazione del personale su policy e best practice di sicurezza.


Conclusione

In un contesto sempre più esposto alle minacce cyber, la NIS 2 rappresenta un cambio di paradigma: non è più solo un tema IT, ma di governance aziendale.
Siamo pronti ad affiancarti nel percorso di adeguamento, con servizi di consulenza, monitoraggio e soluzioni di cybersecurity su misura, pensati per garantire sicurezza, conformità normativa e continuità operativa.