È un tema spesso sottovalutato, eppure importante: la cybersecurity è una priorità e, da diverso tempo, si sentiva il bisogno di regole e norme. Delle linee guida che in qualche modo, facessero sentire l’urgenza di una protezione efficace anche a quelle aziende e a quelle imprese di dimensioni piccole o modeste, per tanto tempo erroneamente convinte di essere al sicuro.
Adesso, le linee guida ci sono eccome: è entrata in vigore in Italia la direttiva Nis 2, che obbliga le aziende ad adeguarsi con misure di sicurezza preventive. Per chi non lo sapesse, la direttiva Nis 2 è un aggiornamento della legislazione dell’Unione Europea per la sicurezza delle reti e delle informazioni, che mira a stabilire una strategia comune di cybersecurity per tutti gli Stati membri.
Prima dell’aggiornamento, la Nis si applicava principalmente alle grandi aziende, con almeno 250 dipendenti e fatturato annuo superiore a 50 milioni di euro o asset a bilancio per più di 43 milioni di euro. Adesso, l’asticella si alza e le sue disposizioni si applicano anche alle imprese più piccole, specie quelle che operano in settori particolarmente critici.
Dunque, le piccole imprese che operano nel campo dell’energia, dei trasporti, nei settori bancario e finanziario, nella sanità, nella gestione dell’acqua potabile e acque reflue, nelle infrastrutture digitali, nella pubblica amministrazione, nella fornitura e distribuzione di alimenti, nei servizi postali e di corriere, nella gestione dei rifiuti e tutti i fornitori di servizi digitali e telecomunicazioni dovranno elevare i livelli di sicurezza dei servizi digitali.
Chiaramente, la direttiva sulla cybersecurity si integra con altre normative e linee guida sulla protezione dei dati e della privacy (GDPR, Regolamento DORA, Cyber Resilience Act). Dal 16 ottobre, chi non si adegua rischia sanzioni fino a 10 milioni o pari al 2% del fatturato.
Perché questo focus sulle piccole imprese? È presto detto: anche la più piccola delle aziende raccoglie dati preziosi (come quelli personali o finanziari) dei cittadini o cela segreti industriali. Tutti elementi che, se trafugati, possono creare problemi non solo all’azienda in sé, ma anche a livello più ampio, creando un danno che si allarga a macchia d’olio.
È anche per questo che la direttiva impone obblighi di responsabilità. Viene chiesto alle aziende di integrare la gestione della sicurezza informatica nella governance aziendale, dando diretta responsabilità per la sicurezza informatica ai dirigenti e sottolineando che tutti i dipendenti devono ricevere un’adeguata formazione sui rischi e sulla sicurezza informatica.
Chi è soggetto alla Nis 2 dovrà fare una valutazione dei rischi associati ai sistemi informativi e, di conseguenza, adottare misure per prevenire e mitigare gli impatti di questi rischi. Non solo: le piccole imprese dovranno anche assicurare la capacità di rilevare e rispondere agli eventi di sicurezza e garantire la continuità operativa dei servizi essenziali in caso di incidenti, attraverso un aggiornamento regolare delle misure di sicurezza adottate.
In caso di incidenti significativi che impattano sulla continuità dei servizi essenziali, le aziende devono segnalare tempestivamente l’incidente agli organi competenti. La notifica iniziale essere inviata entro 24 ore dalla scoperta dell’incidente, con successivi aggiornamenti man mano che emergono nuovi dettagli.
© Riproduzione riservata
