All’interno del contesto UE, una tra le novità più recenti è costituita dall’introduzione della Direttiva NIS2, che da una parte introduce nuovi obblighi per quanto riguarda la cybersicurezza delle imprese, dall’altra garantisce un livello comune elevato di protezione contro gli attacchi cyber. Tutto ciò è avvenuto in relazione al fatto che l’Unione Europea ha ravvisato la necessità di aumentare la resilienza e le capacità di risposta non solo dell’UE stessa, ma anche dei singoli stati e dei soggetti che li compongono, come aziende e PA, in relazione ai rischi che dominano l’attuale scenario geopolitico. Tale direttiva è rivolta ad un’ampia gamma di soggetti che operano nei Settori ad Alta Criticità e negli Altri Settori Critici (Allegati 1 e 2 direttiva), eliminando così la distinzione istituita dalla precedente NIS1 relativa ad OSE (Operatori Servizi Essenziali) e FSD (Fornitori Servizi Digitali). Come capire quindi se la propria azienda sarà soggetta agli obblighi e alle sanzioni previsti da tale Direttiva? Rientreranno all’interno della NIS2 tutte le aziende che presentano un numero di dipendenti pari o superiore a 250 ovvero un fatturato annuo superiore a € 50.000.000 ovvero un totale di bilancio annuo superiore a € 43.000.000. I soggetti rientranti dovranno ottemperare a diversi obblighi come il rispetto dei requisiti di governance (es. il Consiglio di Amministrazione dovrà approvare misure di gestione dei rischi adottate dall’Organizzazione), cybersecurity, adozione di misure per la gestione dei rischi, gestione delle continuità operativa e meccanismi di segnalazione di incidenti. In particolare, verrà imposto l’obbligo di valutazione dei rischi e l’attuazione di misure tecniche ed organizzative necessarie. È all’articolo 21 che possiamo individuare tutti i requisiti che integrano un alto livello di cybersicurezza in ambito di risk management, come crittografia, autenticazione a più fattori, operazioni di igiene informatica etc.
Per quanto riguarda poi i rischi legati alla supply-chain (sistema di organizzazioni, persone, attività, informazioni, risorse che fanno parte del processo di trasferimento e fornitura di un determinato servizio/prodotto), le organizzazioni dovranno garantire la sicurezza della catena, la continuità operativa (come il backup, che consente il ripristino dei dati nell’eventualità di disastro e gestione delle crisi), notifica a CSIRT ovvero all’autorità nazionale competente ogni attività che impatti significativamente sul processo di fornitura del servizio o del prodotto, secondo tempistiche precise stabilite dalla Direttiva. Sotto il profilo dei controlli e delle sanzioni in caso di inadempimento, l’applicazione è simile a quella descritta dal GDPR, ossia che la sanzione sarà stabilita sulla base di un importo minimo predefinito ovvero di una percentuale di fatturato a seconda di quale dei due valori sia maggiore, che corrispondono ad un massimo di almeno € 10.000.000 ovvero di almeno il 2% del totale del fatturato annuo mondiale annuo, quando si tratta di entità essenziali. Se siamo invece in presenza di entità importanti le sanzioni sono leggermente più morbide, e corrispondono a un massimo di € 7.000.000 o a un massimo di almeno 1,4% del totale del fatturato mondiale annuo. I suddetti obblighi diverranno applicabili a partire dal 18 ottobre 2024 e durante la fase di recepimento gli Stati Membri avranno comunque la possibilità di precisare alcuni degli obblighi. Sarà inoltre necessario valutare il proprio livello di conformità per comprendere sotto quali punti di vista andare ad esercitare le più opportune azioni di adeguamento.
Articolo redatto in collaborazione con la Dott.ssa Luisa Liguori