Cybersicurezza obbligatoria in Italia dal 16 ottobre 2024

Per rispondere al crescente numero di attacchi informatici e armonizzare a livello europeo le modalità di gestione delle attività legate alla Cybersecurity di alcuni settori critici e strategici, il Parlamento Europeo emana la 𝐃𝐢𝐫𝐞𝐭𝐭𝐢𝐯𝐚 𝐍𝐈𝐒2 nell’ottica di modernizzare l’attuale quadro europeo in tema di Cybersecurity.
La direttiva NIS2:

• Impone agli Stati membri di adottare piani nazionali di cybersicurezza.
• Introduce il concetto di catena di approvvigionamento e i relativi requisiti di sicurezza (interessa tutte le aziende che fanno parte della catena, non solo quelle aventi i requisiti che rientrano nella NIS2)
• Ridefinisce e amplia le categorie di soggetti a cui la Direttiva stessa si applica: soggetti essenziali (settori ad
  alta criticità) e soggetti importanti (altri settori critici)

La 𝐍𝐈𝐒2 ha ampliato il campo di applicazione includendo: Energia, elettricità, petrolio, gas naturale, idrogeno, Trasporti, Banche e Infrastrutture del mercato finanziario, Salute e Sanità inclusi ospedali e cliniche private, Approvvigionamento idrico, Amministrazione pubblica, Industria spaziale, ICT Service Management B2B, Infrastrutture digitali, Produzione di prodotti farmaceutici inclusi i vaccini.
Aggiungendo inoltre i settori importanti come: Gestione dei rifiuti, Servizi postali e Corrieri, Produzione, lavorazione, Distribuzione alimenti, Industria chimica, Fabbricazione e Digital Providers.
Inoltre, si è posta una particolare attenzione ai rischi che interessano la catena di fornitura, includendo un vero e proprio focus sulla compliance della supply chain, con un’attenzione specifica ai fornitori più critici.

La 𝐍𝐈𝐒 2 si applica anche alle aziende con meno di 50 dipendenti se forniscono un servizio essenziale in uno Stato membro, se il loro servizio è cruciale per la sicurezza pubblica o per la salute. Inoltre, le pubbliche amministrazioni e alcuni servizi digitali sono soggetti alla 𝐍𝐈𝐒 2 indipendentemente dalle loro dimensioni.

Il Governo italiano ha provveduto al attuazione della Direttiva a livello nazionale e le organizzazioni potranno dimostrare la loro conformità a partire dal 18 ottobre 2024.
Il provvedimento obbliga le organizzazioni aziendali che rientrano nel perimetro a procedere secondo un approccio multi-rischio, notificando gli incidenti significativi alle autorità di cybersicurezza, a osservare le prescrizioni impartite da queste ultime anche a riguardo della dotazione di specifici prodotti, servizi e processi TIC.
Il Decreto rientra nella Strategia nazionale di Cybersicurezza.
È importante anche sottolineare l’importanza della formazione stabilita dalla Direttiva, che riguarda tutto il personale fino ai più alti livelli dirigenziali.
Con l’entrata in vigore della 𝐍𝐈𝐒 2 e la definizione degli operatori interessati, verranno eseguiti controlli casuali per verificarne la conformità. In caso di non conformità, le aziende coinvolte potranno essere sanzionate.