Imprese italiane in affanno nel loro cammino verso l’adeguamento alla Nis2, la direttiva Ue che aggiorna le norme sulla cybersecurity e che in Italia è entrata in vigore il 16 ottobre (decreto legislativo n. 138/2024), tanto che solo il 60% di esse sarebbe compliant.
Secondo quanto emerge dall’Osservatorio Angi-Tinexta Cyber, settori come la gestione del rischio e la formazione del personale sono ancora carenti.
Secondo lo studio, il percorso di adattamento alla Nis2 deve coinvolgere ogni livello aziendale, a partire dai vertici. Il consiglio di amministrazione è chiamato a un ruolo attivo nella gestione dei rischi informatici, assumendo una responsabilità diretta nella definizione delle strategie di sicurezza. Inoltre la crescente complessità delle minacce e l’evoluzione continua dei modelli di business impongono una visione integrata della sicurezza che deve partire dal top management, coinvolgendo tutte le funzioni aziendali, dalla governance alla gestione operativa.
Le minacce cyber si sono evolute, spostandosi dal crimine organizzato verso un contesto geopolitico sempre più teso. La Nis2 sottolinea il concetto di resilienza: non solo protezione, ma anche capacità di mantenere continuità operativa in scenari complessi.
Con l’entrata in vigore della direttiva le aziende italiane identificate come soggetti essenziali o importanti sono tenute a registrarsi sulla piattaforma gestita dall’Agenzia per la Cybersicurezza Nazionale (Acn). La piattaforma sarà operativa dal 18 ottobre e richiederà alle aziende di fornire dettagli accurati sulle loro operazioni, permettendo all’Acn di categorizzare i soggetti e garantire una gestione efficace delle risorse e dei rischi. Le imprese dovranno completare la registrazione o aggiornare i propri dati tra gennaio e febbraio 2025, con scadenze specifiche per diversi settori.
Un tema centrale della Direttiva Nis2 riguarda l’attenzione posta sulla catena di approvvigionamento e le interdipendenze tra diversi settori. La normativa non si limita a valutare i rischi dei singoli operatori, ma si estende anche ai loro fornitori, riconoscendo che le vulnerabilità possono propagarsi lungo tutta la catena.
Questo approccio innovativo richiede alle aziende di considerare non solo la sicurezza interna, ma anche quella dei propri partner e fornitori, promuovendo una visione integrata della sicurezza informatica. La direttiva mira quindi a costruire un ecosistema più sicuro e resiliente, dove ogni anello della catena contribuisce alla protezione complessiva.
Oltre alla registrazione, la Direttiva Nis2 impone alle aziende l’adozione di misure di sicurezza informatica tecniche e organizzative adeguate, proporzionate ai rischi specifici di ciascun settore. Le imprese dovranno sviluppare politiche di sicurezza chiare, designando responsabili della sicurezza informatica e implementando sistemi di gestione degli incidenti.
Un aspetto fondamentale della direttiva riguarda la formazione del personale: le aziende sono obbligate a garantire che i dipendenti ricevano una formazione continua sulla sicurezza informatica, promuovendo una cultura della sicurezza all’interno dell’organizzazione. Questo non solo aiuta a ridurre il rischio di attacchi informatici, ma migliora anche la resilienza delle infrastrutture aziendali.
L’adeguamento alla Direttiva Nis2, se da un lato comporta nuovi obblighi per le imprese, dall’altro offre anche una serie di vantaggi significativi. Le aziende che si conformano alla normativa vedranno una riduzione del rischio di attacchi informatici e un miglioramento della resilienza dei loro sistemi e reti. Inoltre, la conformità alla direttiva può aumentare la fiducia di clienti e investitori, che percepiscono le aziende Nis2 compliant come partner più sicuri e affidabili rispetto ai concorrenti.
Fonte: Corcom