NIS2: Cosa fare per essere compliance. Conformità degli Stati membri e situazione italiana.
Torniamo a parlare di NIS2 e di come adeguarsi. Per leggere la prima parte, cliccare qui.
Gli Stati membri dell’Unione Europea hanno tempo fino al 17 ottobre 2024 per adottare e pubblicare le misure NIS2 nella legislazione nazionale. La mancata conformità alla NIS2 entro la scadenza stabilita può comportare diverse multe e tasse, sia a livello personale sia per l’organizzazione nel suo complesso.
La novità di questi giorni è che in Italia è stata pubblicata lo scorso 24 febbraio, sulla Gazzetta Ufficiale la Legge di delega al Governo per il recepimento della direttiva.
Ora dunque la palla per l’adozione di misure adeguate spetterà proprio al nostro esecutivo che dovrà adeguare la normativa nazionale alle indicazioni europee.
Nel frattempo, quello che si può affermare con certezza è che le sanzioni per le organizzazioni che non rispettano le scadenze stabilite si presentano in varie forme, tra cui rimedi non monetari, multe amministrative e sanzioni penali e variano a seconda del tipo e della grandezza dell’organizzazione coinvolta e dello scarto tra l’attuazione prevista e quella effettiva.
Le autorità di vigilanza nazionali possono imporre sanzioni non monetarie, tra cui ordini di conformità, istruzioni vincolanti, ordini di implementazione di audit di sicurezza e obblighi di notifica delle minacce ai clienti.
Le sanzioni amministrative si differenziano a seconda se dirette a soggetti essenziali o a soggetti importanti.
Ai primi, il nuovo regolamento prevede che le autorità nazionali impongano sanzioni pecuniarie di almeno 10.000.000 di euro o pari a una cifra equivalente al 2% del fatturato annuo globale. I soggetti importanti invece possono ricevere una multa massima di almeno 7.000.000 di euro o pari all’1,4% dei ricavi annui globali, a seconda di quale sia il valore più alto tra le due possibilità.
Rispetto alla direttiva NIS, la NIS2 sposta la responsabilità dell’implementazione e del mantenimento delle misure di sicurezza informatica dal reparto IT, al gruppo dirigente. I dirigenti di livello superiore possono essere ritenuti dagli Stati membri personalmente responsabili se un incidente informatico si verifica a causa di una grave negligenza dell’azienda.
Tra le sanzioni previste: rendere pubbliche le violazioni della conformità, pubblicare i nomi delle persone fisiche e giuridiche responsabili della violazione e, nel caso si tratti di un soggetto essenziale, vietare a un individuo di ricoprire posizioni dirigenziali in caso di violazioni ripetute.
I passi per diventare conformi a NIS2
Sebbene sia prevista una lunga tempistica di 24 mesi per l’implementazione completa di NIS2, la preparazione tempestiva è fondamentale per diventare pienamente conformi. La pianificazione di una strategia, il coordinamento con i fornitori di terze parti e la previsione del budget richiedono tempo, quindi è una mossa intelligente per le organizzazioni prendere alcuni provvedimenti in anticipo per avere un processo di implementazione tempestivo e senza stress.
Qui di seguito alcuni passi che le organizzazioni dovrebbero seguire per raggiungere la conformità nei tempi previsti.
- Riunirsi con la direzione e le parti interessate per discutere la strategia di implementazione e valutare l’impatto di NIS2 sul lavoro quotidiano.
- Assicurarsi che tutti i membri del consiglio di amministrazione, i dirigenti, il team IT e i dipendenti che svolgono i servizi essenziali comprendano i requisiti NIS2.
- Identificare gli elementi e i processi critici che forniscono servizi essenziali e condurre un’analisi delle criticità per individuare le aree in cui le misure di sicurezza informatica non soddisfano i requisiti NIS2.
- Identificare i fornitori terzi che forniscono servizi essenziali e le loro potenziali vulnerabilità.
- Costruire un piano di sensibilizzazione sulla sicurezza informatica che coinvolga tutti i livelli dell’organizzazione per garantire che sia i dipendenti sia i membri del consiglio di amministrazione siano al corrente dei cambiamenti di lavoro attuali e futuri, delle aspettative di reporting e di altri argomenti di sicurezza informatica.
- Trovare partner per la conformità che possano fornire supporto o indicazioni per diventare conformi.
- Stanziare il budget necessario per implementare i requisiti del NIS2.
- Una volta implementate tutte le misure NIS2, eseguire una seconda gap analysis per assicurarsi di aver raggiunto la piena conformità.
Un punto chiave è la formazione degli organi di gestione e dei dipendenti per fornire loro conoscenze e competenze sufficienti a identificare i rischi e a valutare le pratiche di gestione del rischio di sicurezza informatica.
Il fattore umano, infatti, rimane al centro di tutte le procedure di sicurezza e deve essere quello più fortificato nell’ottica non solo di una conformità alla nuova direttiva ma di una reale e forte barriera di sicurezza contro il crimine.
Non solo formazione teorica, dunque, ma addestramento ed esercitazioni continue costruite sulla base del livello di preparazione per ogni singolo dipendente, saranno la garanzia più efficace per prevenire e ridurre al minimo attacchi informatici, furti di dati, interruzione di attività e danni economici e di immagine.