Rafforzare gli obblighi normativi e aumentare i livelli di sicurezza cibernetica, migliorando la cooperazione tra Stati europei contro le minacce informatiche. È lo scopo della direttiva europea Nis2, che aggiorna le regole della Nis (Network and information security) risalente al 2016.
Concepita a seguito di eventi che hanno messo alla prova l’architettura informatica europea (come la pandemia da Covid-19 e l’invasione russa dell’Ucraina), in Italia la Nis2 è entrata in vigore a metà ottobre, e obbliga aziende pubbliche e private ad alzare lo scudo della protezione cibernetica. Il pacchetto di norme è stato presentato mercoledì 27 novembre 2024 presso il Rettorato dell’Università Sapienza di Roma dall’Agenzia per la cybersicurezza nazionale (Acn).
I settori coinvolti
A doversi adeguare alle regole saranno le grandi aziende (quelle con oltre 250 dipendenti, o con un fatturato superiore ai 50 milioni di euro) e le medie imprese (con massimo 50 dipendenti o dal fatturato da oltre dieci milioni). Anche le piccole e le microimprese potranno essere chiamate in causa: dipenderà dal livello di importanza che ricoprono negli ambiti di riferimento.
I settori coinvolti sono 18, considerati di stazione importanza nella vita economica dei Paesi europei.
Dieci sono considerati “ad alta criticità” e riguardano i seguenti ambiti: fornitori di energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, fornitori e distributori di acqua destinata al consumo umano. Ma anche raccoglitori e smaltitori di acque reflue, infrastrutture digitali, gestori e fornitori dei servizi di tecnologia dell’informazione e della comunicazione (Ict), operatori di infrastrutture pubbliche e private che sostengono la fornitura di servizi spaziali.
In sette, invece, appartengono alla lista “altri settori critici”: servizi postali, rifiuti, fabbricazione e distribuzione di sostanze chimiche, alimentare, fabbricazione di dispositivi (computer, mezzi di trasporto, macchinari medici), fornitori di servizi digitali (comprese le piattaforme social), organizzazioni di esame. Sono poi categorie a sé la pubblica contabilità (centri regionali e locali compresi) e altri soggetti come, ad esempio, le attività di trasporto pubblico locale e gli istituti di esame.
Il ruolo dell’Acn
Nell’ambito della Nis2, oltre a fungere da punto di riferimento per i Paesi e le istituzioni europee in materia di cybersicurezza e a intervenire (insieme al incarico della Difesa) in caso di incidente informatico nel nostro Paese, l’Acn dovrà anche dividere le aziende italiane in due categorie: essenziali e importanti. Come spiegato sul sito dell’Agenzia, questa distinzione (basata su criteri come l’importanza del settore in cui operano) servirà ad applicare in maniera proporzionale i nuovi obblighi di ciascuna azienda, oltre a determinare i “poteri ispettivi e sanzionatori” dell’Acn. Ovvero: multe più alte per le aziende essenziali che non si adeguano alle direttive.
Alcuni soggetti, come le Pubbliche amministrazioni centrali, rientreranno automaticamente in quest’ultima categoria.
L’iter da seguire per le aziende
Ma come faranno le aziende a sapere se la Nis2 le riguarda? Per scoprirlo, sarà necessario registrarsi sull’apposita piattaforma dell’Acn, disponibile da domenica 1 dicembre 2024.
Innanzitutto, le aziende dovranno scegliere “il punto di contatto”, ovvero il soggetto che si occuperà dell’immatricolazione e delle interlocuzioni con l’Acn.
.jpg?w=350&resize=350,250&ssl=1 "Heretic, la trama e le cose da sapere sul film horror con Hugh Grant n…")
.jpg?w=120&resize=120,86&ssl=1 "Heretic, la trama e le cose da sapere sul film horror con Hugh Grant n…")
