Il D.Lgs. n. 138 del 4 settembre 2024 ha recepito la direttiva (UE) 2022/2555 relativa alle misure per un livello comune elevato di cyber security nell'Unione, meglio nota come Direttiva NIS 2. I soggetti che ricadono nel perimetro della nuova normativa dovranno innalzare i propri livelli di sicurezza informatica secondo tre principali aree di intervento: governance, risk management e verifica della supply chain.

Quali sono le aziende che devono applicare la NIS2?

La Direttiva deve essere applicata dalle aziende italiane che soddisfano, congiuntamente, due requisiti: 

SETTORE.  La normativa di recepimento italiana conferma la Direttiva UE che, negli allegati 1 e 2, individua i soggetti tenuti ai nuovi obblighi in quanto operanti in settori ad alta criticità, distinguendoli tra:> soggetti essenziali (energia, trasporti, sanità, banche, ecc.)> soggetti importanti (servizi digitali, servizi postali, sostanze chimiche, ecc.)

DIMENSIONE.Non tutte le aziende operanti nei settori critici saranno tenute ai nuovi obblighi, ma solo quelle che superano le dimensioni di piccola impresa. Il decreto di recepimento richiede il superamento, congiunto, di due soglie dimensionali: più di 50 dipendenti e totale di bilancio o fatturato annuo superiore a 10 milioni di euro.

Quali sono i nuovi adempimenti?

I soggetti che soddisfano entrambi i requisiti sono tenuti ad innalzare i propri livelli di cyber security secondo tre principali aree di intervento: governance, risk management e verifica della supply chain. In sintesi: 

Coinvolgimento del Management (responsabilizzazione e formazione dei dirigenti; rapporti periodici informativi al management sullo stato della sicurezza informatica e dei rischi); Struttura Organizzativa (nomina di un CISO, definizione dei ruoli di responsabilità, adottare e mantenere policy di sicurezza informatica); Cultura della Sicurezza (sensibilizzazione e formazione dei dipendenti a tutti i livelli).

Valutazione dei Rischi (valutazioni periodiche di identificazione dei rischi informatici e loro classificazione in base a gravità e probabilità); Misure di Sicurezza Tecniche e Organizzative (adottare misure adeguate per garantire sicurezza e business continuity; stabilire sistemi di monitoraggio per rilevare attacchi e anomalie in tempo reale); Piani di Risposta agli Incidenti (sviluppare un piano di risposta agli incidenti, svolgere simulazioni di incidenti per testare la struttura e apportare migliorie).

Valutazione dei Fornitori (valutare e monitorare il livello di sicurezza informatica dei propri fornitori); Clausole Contrattuali (includere nei contratti clausole apposite che vincolino i fornitori al rispetto degli standard richiesti, controllare che tali clausole vengano rispettate); Gestione dei Rischi della Supply Chain (mappatura dei punti critici della supply chain; creazione piani di continuità operativa).

Obblighi di Notifica (in caso di incidente significativo, notificare all’Autorità competente un report preliminare in 24 ore ed uno completo in 72 ore dall’incidente); Comunicazione con le Autorità (collaborare con le autorità nazionali; documentare gli incidenti e le misure di risposta).

Audit e Controlli (prevedere audit interni ed esterni per verificare la conformità alle disposizioni della NIS2; Preparare e mantenere rapporti di conformità che dimostrino l’adesione alle normative).

LE SANZIONI

In caso di omesso adeguamento le sanzioni sono proporzionate alla gravità della violazione e sono simili a quelle previste dal GDPR. Ad esempio:

> Sanzioni Amministrative: per le entità dei settori “essenziali” fino a 10 milioni di euro o al 2% del fatturato globale annuo dell’organizzazione, se superiore; per le entità dei settori “importanti” fino a 7 milioni di euro o al 1,4% del fatturato globale annuo, se superiore.

> Sanzioni Non Pecuniarie: in casi gravi, le autorità possono disporre la sospensione temporanea delle attività dell’organizzazione interessata.

> Responsabilità personale del management: le persone fisiche con posizioni apicali possono essere ritenute direttamente responsabili per la mancata adozione delle misure richieste, con conseguenti sanzioni specifiche.

NIS 2 RISK ASSESMENT

Consulenti Privacy, grazie al suo team multidisciplinare - composto da informatici e legali esperti di compliance - è in grado di supportare le aziende nelle seguenti fasi: 1. Autovalutazione: consulenza diretta all’organizzazione al fine di valutare l’attinenza della stessa ai settori indicati negli allegati della direttiva NIS2 e il superamento dei requisiti dimensionali indicati dalla stessa;2. Gestione degli incidenti: definizione ed attuazione delle procedure volte a mitigare il rischio, valutarne l’entità e gestire gli adempimenti connessi all’evento;3. Impostazione dell’adeguamento dell’assetto organizzativo: predisposizione delle procedure e dei disciplinari per la gestione dell’incidente, organizzazione di corsi di formazione ad hoc e redazione di policy che attestino il livello di sicurezza e compliance dell’organizzazione;4. Audit dei principali fornitori: identificazione dei fornitori strategici e predisposizione degli audit al fine di verificarne lo stato di compliance. In collaborazione con l’azienda di cyber security scelta dalla Vostra azienda (che si occuperà dell’analisi del rischio e delle azioni per il mantenimento della continuità operativa) o mettendovi a disposizione uno dei nostri partner, il team di Consulenti Privacy vi affiancherà per raggiungere, documentare e mantenere la compliance alla Direttiva NIS 2.

E DOPO COSA SUCCEDE? SE LO VORRETE, SAREMO AL VOSTRO FIANCO PER AIUTARVI A MANTENERE LA CONFORMITÀ NEL CORSO DEL TEMPO

La conformità dell’azienda alla Direttiva NIS2 è un processo dinamico: per questo è necessario un aggiornamento periodico e costante nel corso del tempo. Avere una conformità vecchia e non aggiornata equivale quindi a non averla. Per tale motivo offriamo il servizio di “MANTENIMENTO DELLA CONFORMITÀ NEL CORSO DEL TEMPO”, una consulenza continuativa che include un audit annuale di verifica con relativo verbale di conformità, la redazione della documentazione necessaria, l’aggiornamento di quella già in uso e la formazione del nuovo personale. Il nostro modo di fare consulenza si distingue per il costante affiancamento del cliente, che non viene mai lasciato solo nella gestione di tutti gli adempimenti iniziali e nel processo di mantenimento della conformità nel tempo.

GUARDA IL WEBINAR

Loading...