.. .. .. .. ..
.
NEWSLETTER: ALBERO ROSSO, METTERE LE RADICI ALL'ESTERO

CYBERSECURITY, NUOVE REGOLE IN UE

Con l'adozione della direttiva NIS2 (Network and Information Security Directive 2), l'Unione Europea ha rafforzato il quadro normativo per garantire la sicurezza delle reti e dei sistemi informativi negli Stati membri. La direttiva, approvata nel dicembre 2022, rappresenta un aggiornamento significativo rispetto alla precedente direttiva NIS del 2016, ampliando il campo di applicazione e imponendo obblighi più stringenti per gli operatori di servizi essenziali e i fornitori di servizi digitali.
Tra le novità principali, emerge un maggiore focus sulla responsabilità degli imprenditori e dei dirigenti aziendali, che si trovano ora al centro della compliance in materia di cybersecurity.
Gli obblighi principali previsti dalla direttiva NIS2 La direttiva NIS2 introduce una serie di obblighi che mirano a rafforzare la sicurezza informatica delle organizzazioni considerate essenziali o importanti per il funzionamento della società e dell'economia. Tra questi obblighi figurano:

  1. Valutazione e gestione del rischio: Le aziende devono adottare misure tecniche e organizzative adeguate a gestire i rischi connessi alla sicurezza delle reti e dei sistemi informativi.
  2. Notifica degli incidenti: È obbligatorio notificare tempestivamente gli incidenti di sicurezza significativi alle autorità competenti, generalmente entro 24 ore dall'identificazione.
  3. Governance e formazione: Gli imprenditori devono garantire che il personale sia adeguatamente formato in materia di sicurezza informatica e implementare una governance che assegni chiaramente le responsabilità all'interno dell'organizzazione.
  4. Protezione della supply chain: Le imprese devono monitorare e gestire i rischi derivanti dai fornitori e dai partner commerciali, assicurandosi che anch'essi rispettino standard adeguati di sicurezza.

La responsabilità personale degli imprenditori. Una delle innovazioni più rilevanti della direttiva NIS2 è l’introduzione di specifiche responsabilità personali per gli imprenditori e i dirigenti aziendali. Questo significa che:

  • Obblighi di supervisione: I dirigenti devono dimostrare di aver adottato tutte le misure necessarie per prevenire e mitigare i rischi di cybersecurity. Non è più sufficiente delegare completamente tali responsabilità al reparto IT.
  •  Sanzioni amministrative e penali: La direttiva prevede la possibilità di sanzioni personali per gli amministratori che non rispettano gli obblighi previsti, compresi ammende significative e, in alcuni casi, responsabilità penali.
  • Accountability: Gli imprenditori sono tenuti a dimostrare la conformità tramite documentazione adeguata, audit e report periodici alle autorità competenti.

L’importanza della cultura della sicurezza informatica. Per gli imprenditori, conformarsi alla direttiva NIS2 non significa solo rispettare obblighi normativi, ma anche abbracciare una cultura aziendale che dia priorità alla sicurezza informatica. Questo implica:

  • Investimenti strategici: Allocare risorse sufficienti per strumenti di protezione avanzati, formazione del personale e consulenze esterne.
  •  Integrazione della sicurezza nei processi aziendali: Assicurarsi che ogni aspetto dell’attività, dalla progettazione di nuovi prodotti alla gestione dei dati, sia progettato tenendo conto della sicurezza.
  • Collaborazione intersettoriale: Lavorare insieme ad altre imprese, enti governativi e organizzazioni non profit per condividere conoscenze e migliori pratiche.
  • Contrattazione orientata: la collaborazione con terze parti scaturisce dal rapporto contrattuale che definisce diritti e doveri, motivo per cui è necessaria l’apposizione di clausole specifiche che definiscano le responsabilità reciproche.

Conclusione
La direttiva NIS2 segna un passo avanti cruciale nella lotta contro le minacce informatiche, ma richiede un cambiamento di mentalità per molte aziende e imprenditori. La responsabilità non è più solo una questione tecnica affidata al dipartimento IT, ma un impegno strategico che coinvolge tutta l’organizzazione, a partire dal vertice.
Gli imprenditori, come leader delle loro organizzazioni, hanno il compito di guidare questo cambiamento, garantendo che la sicurezza informatica diventi un pilastro fondamentale della strategia aziendale. Inoltre, è fondamentale prevedere nei contratti con i fornitori clausole specifiche che disciplinino le attività da remoto sugli impianti dei clienti, per prevenire eventuali attacchi informatici e garantire la sicurezza dell'intera supply chain. Solo in questo modo sarà possibile mitigare i rischi, proteggere il proprio business e contribuire a un ecosistema digitale più sicuro per tutti.




Richiedi informazioni


Accetta le Condizioni sulla privacy