Secondo appuntamento di Agrotoday con Lo Studio Legale di consulenza d’Impresa “Maiorino Sessa” si occupa da oltre un decennio di tutte le problematiche legali, aziendali e manageriali relative alla gestione dell’impresa. Fondato dai senior partner Gaetano Maiorino, Legal specialist nel settore della logistica e diritto dei trasporti nonché in diritto civile e risarcimento del danno tanatologico, e Carmine Paolo Sessa esperto in Consulenza aziendale manageriale e rapporti con le Istituzioni, lo studio fa dell’interdisciplinarità e della multisettorialità il suo punto di forza. Focus, stavolta, sulla Direttiva NIS2: Un Passo Avanti nella Cyber Security dell’UE
La Direttiva NIS2: Un Passo Avanti nella Cyber Security dell’UE
La Direttiva NIS2 (Network & Information Security) rappresenta uno degli strumenti più significativi adottati dall’Unione Europea per rafforzare la cyber security e la resilienza digitale. Entrata in vigore il 17 gennaio 2023, dovrà essere recepita dagli Stati membri entro il 17 ottobre 2024. Il suo obiettivo principale è migliorare la protezione delle reti e dei sistemi informativi nei settori essenziali e importanti, attraverso una serie di nuove disposizioni che ampliano la portata della precedente Direttiva NIS1.
A) Che cos’è la Direttiva NIS2?
La Direttiva NIS2 mira a rafforzare il livello collettivo di sicurezza informatica degli Stati membri dell’UE, richiedendo alle aziende di migliorare le loro difese contro le crescenti minacce cyber. Con un approccio basato sul rischio, introduce nuovi obblighi per il management delle imprese e standardizza i processi di gestione e prevenzione dei rischi. Essa si concentra su quattro aree principali: gestione, segnalazione alle autorità, gestione del rischio e continuità aziendale.
B) Soggetti a cui si applica la Direttiva
La Direttiva NIS2 si applica a un ampio ventaglio di settori essenziali e importanti, che sono cruciali per il funzionamento della società e dell’economia. Ecco la distinzione:
• Settori essenziali:
1. Settore energetico (elettrico, olio e gas, idrogeno).
2. Settore sanitario (produttori di dispositivi medici, laboratori, settore farmaceutico).
3. Trasporti (aereo, ferroviario, stradale, marittimo).
4. Acque e acque di scarico.
5. Infrastrutture digitali.
6. Settore spaziale.
7. Pubblica amministrazione.
• Settori importanti:
1. Settore postale e spedizioni.
2. Gestione e trattamento dei rifiuti.
3. Settore chimico.
4. Settore alimentare (approvvigionamento e distribuzione).
5. Industrie tecnologiche e ingegneristiche.
6. Servizi digitali (social network, data center).
7. Ricerca scientifica.
Solo le medie e grandi aziende (più di 50 dipendenti o con un fatturato annuo superiore a 10 milioni di euro) sono soggette alla direttiva, a meno che una piccola impresa non sia ritenuta essenziale per la società.
C) Quali sono le minacce?
Le principali minacce che la Direttiva NIS2 intende contrastare includono:
• Attacchi informatici mirati (come ransomware, phishing, attacchi DDoS).
• Vulnerabilità delle infrastrutture digitali non adeguatamente protette.
• Attacchi alla catena di approvvigionamento, che sfruttano le debolezze nei partner commerciali.
• Furti di dati sensibili e interruzione delle operazioni aziendali causati da falle di sicurezza.
• Accessi non autorizzati attraverso reti o dispositivi non sicuri.
D) Punti fondamentali di una pianificazione rigorosa
Una pianificazione rigorosa è cruciale per conformarsi alla Direttiva NIS2. Gli elementi fondamentali includono:
1. Identificazione dei processi critici: Ogni azienda deve identificare i servizi e le risorse essenziali dipendenti dalle reti e dai sistemi informativi, valutandone l’impatto aziendale.
2. Sistema di gestione del rischio: Implementare un sistema di gestione della sicurezza delle informazioni che consenta di identificare, trattare e monitorare i rischi, con responsabilità definite e processi chiave operativi.
3. Formazione e sensibilizzazione: Educare regolarmente il personale alla sicurezza informatica e creare una cultura della cyber security.
4. Piano di risposta agli incidenti: Ogni azienda deve essere preparata a rispondere rapidamente a eventuali attacchi, con piani per la continuità aziendale e il ripristino dei sistemi.
5. Valutazioni periodiche dei rischi: Condurre regolarmente audit e valutazioni dei rischi per aggiornare le difese contro nuove minacce.
6. Sicurezza della catena di approvvigionamento: Assicurarsi che i fornitori rispettino i requisiti di sicurezza per ridurre i rischi derivanti da terze parti.
7. Patch regolari e strumenti di identificazione delle minacce: Mantenere aggiornata l’infrastruttura digitale e utilizzare strumenti avanzati per il monitoraggio e la prevenzione delle minacce.
E) Sanzioni in caso di non conformità
Le sanzioni previste dalla Direttiva NIS2 sono severe:
• Settori essenziali: Sanzioni fino a 10 milioni di euro o il 2% del fatturato annuo globale.
• Settori importanti: Sanzioni fino a 7 milioni di euro o l’1,4% del fatturato annuo globale.
Inoltre, i dirigenti possono essere ritenuti personalmente responsabili per la mancata conformità e potrebbero essere perseguiti legalmente.
Conclusioni
La Direttiva NIS2 rappresenta un significativo passo avanti per la sicurezza informatica in Europa. Le aziende devono agire in modo proattivo per conformarsi, adottando misure rigorose di governance, gestione del rischio e continuità aziendale. In questo modo, non solo eviteranno le pesanti sanzioni previste, ma rafforzeranno la loro resilienza di fronte a minacce cyber sempre più sofisticate.
dott. Carmine Paolo Sessa
Autore
