La Direttiva NIS 2 è la normativa adottata dall'Unione Europea per migliorare la sicurezza informatica e la resilienza delle infrastrutture critiche.
La NIS2, anche se non è obbligatoria per tutte le organizzazioni, è un'opportunità in quanto introduce la gestione dei rischi di sicurezza informatica, promuove la cooperazione e lo scambio di informazioni tra gli stati membri e stabilisce sanzioni severe per le inadempienze.
Ottenere la conformità alla NIS2 è un percorso che tocca ogni ambito aziendale: tecnico, organizzativo, operativo, gestionale, legale e amministrativo. Non adempiere o implementare procedure sbagliate comporta sanzioni più o meno importanti in relazione al soggetto interessato. É opportuno quindi considerare vari aspetti prima di procedere quali:
Sono necessarie competenze legali esterne all'azienda in grado di occuparsi di tutte le attività procedurali, come audit, verbali e documentazioni.
Sono indispensabili competenze tecniche interne ed esterne all'organizzazione per implementare tutti i sistemi utili a mettere in sicurezza l'infrastruttura e la rete aziendale.
Diventa fondamentale infine coordinare le competenze precedenti per colmare tutte le lacune, sia tecniche che legali per adeguarsi correttamente e non incorrere in sanzioni.
Le aziende devono registrarsi sulla piattaforma ACN indicando il proprio settore di attività e un punto di contatto.
É il termine ultimo in cui l’ACN redige l’elenco dei soggetti essenziali e importanti e lo comunica agli stessi tramite la piattaforma.
I soggetti devono comunicare e/o aggiornare l’ACN le informazioni aggiuntive per permettere i controlli.
I soggetti devono adempiere agli obblighi in materia di notifica degli incidenti.
I soggetti devono adempiere a tutti gli altri obblighi definiti in normativa.
La vastità del perimetro che definisce i soggetti interessati alla normativa rende difficile identificare se una realtà è obbligata o meno ad aderire.
L'obiettivo della normativa NIS2 di migliorare la sicurezza informatica e la resilienza delle infrastrutture critiche non è percepito come prioritario per la maggior parte delle aziende italiane.
La normativa italiana comporta diverse scadenze e termini da rispettare, tra cui la registrazione al portale ACN, l'implementazione dei sistemi pianificati e audit di controllo cadenzati.
Intraprendere la conformità NIS2 in modo non corretto o parziale può comportare sanzioni pesanti come sanzioni pecuniarie, di responsabilità legale, ordini di conformità o revoca di licenze.
