Guida all’adeguamento della NIS2

NIS2: cosa prevede e quali sono gli obblighi per le aziende che offrono servizi digitali?

La direttiva NIS2 (Direttiva (UE) 2022/2555) rappresenta un importante passo in avanti nell’ambito della sicurezza informatica a livello europeo, introducendo requisiti più stringenti per proteggere le infrastrutture digitali, essenziali per l’economia e la società moderna.

Le aziende del settore ICT, tra cui software house come noi di Unitiva, rientrano tra i soggetti chiamati ad adeguarsi, soprattutto se operano in ambiti critici come la gestione di servizi TIC, lo sviluppo di software per infrastrutture sensibili o la fornitura di servizi digitali essenziali. Pur non menzionando esplicitamente il settore ICT, la direttiva si applica a tutti gli attori che gestiscono servizi digitali fondamentali.

In base al livello di criticità dei servizi offerti, le aziende possono essere classificate come "enti essenziali" o "enti importanti", secondo quanto stabilito dalla direttiva. Entrambe le categorie devono implementare misure rigorose per prevenire e mitigare i rischi informatici, garantendo al contempo la continuità operativa.

Tra gli obblighi previsti dalla direttiva, l’Articolo 21 del documento ufficiale specifica una serie di misure per la gestione dei rischi di cybersicurezza che le aziende interessate alla direttiva devono adottare.

Questi includono:

• adozione di misure tecniche e organizzative, come ad esempio l’implementazione di firewall avanzati, sistemi di autenticazione a più fattori e gestione centralizzata degli accessi;
• segnalazione tempestiva degli incidenti entro 24 ore dall’identificazione, per limitare i danni e riuscire ad attivare contromisure adeguate;
• audit periodici per valutare l’efficacia e la conformità delle misure adottate;
• continuità operativa con piani di disaster recovery per mantenere i servizi attivi anche in caso di attacco.

Oltre agli obblighi tecnici, la NIS2 pone l’accento su un cambiamento culturale: promuovere una cultura aziendale della sicurezza informatica attraverso la formazione continua e la sensibilizzazione di dipendenti e collaboratori.

Per imprese che forniscono servizi e soluzioni digitali, spesso impegnate nella gestione di sistemi complessi e dati sensibili, questa nuova linea d’azione rappresenta una componente strategica e differenziante.

Quali sanzioni stabilisce la direttiva NIS2 per le aziende ICT?

La NIS2 introduce specifiche sanzioni volte a garantire l’adeguamento delle aziende ad elevati standard di sicurezza, così come possiamo leggere consultando l’articolo 34 del testo ufficiale della direttiva.

Si tratta di un aspetto particolarmente rilevante per le imprese che offrono servizi digitali essenziali come cloud computing, piattaforme online, gestione di reti o sviluppo di software per infrastrutture critiche.

Le sanzioni variano in base alla gravità della violazione e alla classificazione dell'azienda come "ente essenziale" o "ente importante". Possiamo, tuttavia, fare un esempio pratico:

• per le aziende ICT classificate come enti essenziali, le multe possono raggiungere fino a 10 milioni di euro o il 2% del fatturato annuo globale totale, scegliendo l'importo maggiore;
• per le aziende classificate come enti importanti, le multe possono arrivare fino a 7 milioni di euro o l’1,4% del fatturato annuo globale totale.

A questo punto, è lecito chiedersi: quali sono le violazioni che possono condurre a sanzioni?

Sicuramente, il mancato adempimento di quanto riportato nell’articolo 21, quindi l’assenza di implementazione di misure tecniche e organizzative previste per la mitigazione dei rischi informatici.

Anche eventuali ritardi nella segnalazione di incidenti possono condurre a delle sanzioni, così come l’assenza di un piano di continuità in caso di crisi dovute ad attacchi informatici.

Crediamo sia evidente come aziende che forniscono servizi digitali, tra cui cloud provider, piattaforme di gestione dati o soluzioni di sicurezza gestita, saranno soggette a controlli ancor più stringenti.

Questo perché si tratta di realtà che devono attuare misure di sicurezza non solo per proteggere i propri sistemi interni, ma anche per assicurare alti standard di sicurezza ai propri clienti.

NIS2: opportunità e sfide per le aziende italiane

La direttiva NIS2 non deve essere interpretata solo come onere, ma come un’opportunità per migliorare i livelli di sicurezza, sia interni che nel rispetto dei propri clienti, conquistando così il posizionamento di partner affidabili, operanti nel pieno rispetto delle normative vigenti.

In effetti, dalle osservazioni di Confindustria emergono le principali aree di intervento per le aziende italiane intente ad adeguarsi alla NIS2, quali:

• mappatura dei rischi per identificare vulnerabilità e sistemi critici per comprendere l’impatto potenziale di attacchi informatici;

• adeguamento organizzativo, definendo ruoli e responsabilità chiari in materia di cybersicurezza, creando team dedicati o ricorrendo a partner qualificati;

• innovazione tecnologica così da sfruttare tecnologie per il monitoraggio in tempo reale, sistemi di risposta automatizzata agli incidenti e soluzioni backup in grado di incrementare i livelli di sicurezza di un’azienda.

Queste considerazioni sembrano confermare che la NIS2 è una direttiva in grado di aumentare la resilienza di aziende che si occupano di servizi digitali, oltre che a rafforzare la sinergia e la collaborazione tra settore pubblico e privato.

Come Unitiva può supportarti nell’adeguamento alla NIS2?

Il tempo scorre e per adeguarsi alla NIS2 c’è bisogno di un partner in grado di comprendere, individuare e risolvere le sfide richieste da questa nuova direttiva europea.

Unitiva, in qualità di software house con un’esperienza pluriennale nel campo della consulenza IT può offrire alla tua impresa diverse soluzioni per garantirti piena conformità alla NIS2:

• consulenza strategica: valutiamo la situazione attuale per identificare i potenziali rischi e creare una roadmap apposita per l’adeguamento alla direttiva;

• soluzioni tecnologiche personalizzate: possiamo aiutarti ad implementare strumenti ad hoc per migliorare la sicurezza informativa della tua realtà aziendale;

• supporto continuo: ti sosteniamo durante l’intero processo di allineamento alla direttiva NIS2, ragione per cui assicuriamo percorsi formativi per il tuo team ed eventuali audit periodici se necessari.

Il nostro consiglio è quello di non attendere oltre ma di iniziare a costruire una strategia di conformità alla NIS2. Contattaci subito per una consulenza su misura!