La Direttiva NIS2 (Network and Information Security 2), approvata dall'Unione Europea, amplia notevolmente il perimetro di applicazione delle norme sulla cybersicurezza, coinvolgendo un numero molto più ampio di soggetti rispetto alla precedente NIS1. Se prima la normativa era limitata a settori strategici, con la NIS2 l'obbligo di adeguarsi alle nuove misure di sicurezza informatica si estende a molte più aziende, con l'obiettivo di rafforzare la resilienza digitale dell'intero tessuto economico europeo.

Per saperne di più > NIS2, GDPR, CyberSecurity Act, DORA: orientarsi in un dedalo di normative

Una nuova era tutti

La NIS2 si applica in maniera diretta a tutte le aziende di medie e grandi dimensioni che operano nei settori considerati critici per la sicurezza e la stabilità del mercato europeo. In particolare, rientrano nell'obbligo di conformità. Sono toccati settori essenziali e importanti quali quelli dell’energia, i trasporti, banche ne sanità, ma anche la Grande Distribuzione Organizzata, le telecomunicazioni e, non ultima, la Pubblica Amministrazione.

Le aziende appartenenti a questi settori, con almeno 50 dipendenti o un fatturato superiore a 10 milioni di euro, devono obbligatoriamente implementare misure di cybersecurity, gestire i rischi, segnalare gli incidenti e garantire la protezione della supply chain.
Perché quindi dovrebbero preoccuparsene anche le imprese medio piccole? E, probabilmente, anche ditte piccolissime? Semplice, per la sicurezza della catena delle forniture.

Approfondisci > NIS2 e Gestione di Dipendenti e Collaboratori: la filiera interna come modello applicativo

Anche chi non rientra tra i soggetti obbligati direttamente dalla direttiva, ciò non significa che possa ignorarla. La NIS2 impone infatti a tutte le aziende obbligate di garantire la sicurezza dell'intera catena di fornitura. Questo significa che:

• I fornitori devono rispettare standard di sicurezza: Se un'azienda fornisce beni o servizi a un'impresa obbligata alla NIS2, dovrà dimostrare di adottare misure di sicurezza adeguate. Le grandi aziende inizieranno a richiedere certificazioni, protocolli di protezione dei dati e strategie di cybersecurity ai loro fornitori, incluse le PMI.
• Le partnership commerciali saranno condizionate dalla sicurezza informatica: Molte aziende obbligate alla NIS2 aggiorneranno i loro contratti e tender per includere requisiti stringenti di sicurezza. Chi non si adegua rischia di essere escluso dal mercato.
• Gli attacchi informatici colpiscono tutti: Oggi, anche le piccole imprese sono bersagli di cyberattacchi, che spesso sfruttano le loro vulnerabilità per colpire aziende più grandi. Un'azienda che non protegge adeguatamente i propri sistemi rischia di diventare l'anello debole della catena.
• La protezione dei dati è un obbligo crescente: Le normative sulla protezione dei dati (come il GDPR) impongono alle aziende di garantire la sicurezza delle informazioni sensibili. La NIS2 rafforza ulteriormente questo principio.
• Quindi , adeguarsi oggi significa prevenire costi domani: La conformità alla NIS2 non è solo un obbligo, ma un'opportunità per migliorare la resilienza dell'azienda e prevenire i danni economici e reputazionali di un attacco informatico.

Per non farsi trovare impreparate, anche le PMI dovrebbero iniziare a:

1. Adottare misure minime di sicurezza: Proteggere reti e sistemi informatici con firewall, antivirus e strumenti di monitoraggio.
2. Formare il personale: Sensibilizzare i dipendenti sui rischi informatici, phishing e pratiche di sicurezza.
3. Stabilire protocolli di risposta agli incidenti: Definire un piano di azione in caso di attacco informatico.
4. Adeguare le proprie policy aziendali: Integrare nei contratti e nelle procedure interne gli standard richiesti dalla NIS2.
5. Collaborare con esperti di cybersecurity: Affidarsi a consulenti specializzati per valutare la propria esposizione ai rischi e migliorare la protezione dei dati.
6. Affidarsi a legali specializzati: Consultare avvocati esperti in diritto della cybersecurity e conformità normativa per garantire che l'azienda rispetti tutti i requisiti legali e contrattuali imposti dalla NIS2.

Conclusioni

La NIS2 è quindi solo all’apparenza destinata alle grandi imprese: ogni azienda, indipendentemente dalle dimensioni, dovrà pertanto confrontarsi con i suoi effetti e anche le piccole realtà sono tenute a adeguarsi per non rischiare di essere escluse dal mercato, in quanto punto debole di una catena di fornitura. Investire nella cybersecurity non è più un'opzione, ma una necessità strategica per garantire la continuità del business e la protezione dai rischi digitali. Meglio iniziare subito.