Introduzione
La sicurezza informatica non è più un tema esclusivamente tecnico. Per molte aziende diventa un obbligo organizzativo, gestionale e documentale, soprattutto con l’applicazione della disciplina NIS2.
Gli attacchi ransomware, il furto di credenziali, il phishing e la compromissione dei sistemi informativi possono bloccare produzione, amministrazione, logistica e rapporti con clienti e fornitori. La cybersecurity deve quindi essere trattata come un tema di continuità operativa.
Riferimenti Normativi
La Direttiva UE 2022/2555, nota come NIS2, è stata recepita in Italia con il D.Lgs. 4 settembre 2024, n. 138, pubblicato in Gazzetta Ufficiale n. 230 del 1° ottobre 2024. Il decreto introduce obblighi per soggetti essenziali e importanti in materia di gestione del rischio cyber, governance, notifica degli incidenti e misure di sicurezza.
L’Agenzia per la Cybersicurezza Nazionale ha indicato un percorso graduale di registrazione, aggiornamento delle informazioni, notifica degli incidenti e applicazione delle misure di sicurezza informatica di base.
Testo della News
La NIS2 allarga il perimetro dei soggetti interessati e coinvolge anche aziende che, pur non essendo grandi infrastrutture critiche, operano in settori rilevanti o fanno parte di catene di fornitura strategiche.
L’azienda deve interrogarsi su tre aspetti: rientra o meno nel campo di applicazione NIS2? Ha misure minime di sicurezza documentate e verificabili? È in grado di rilevare, gestire e notificare un incidente informatico nei tempi richiesti?
La cybersecurity non può essere lasciata solo al fornitore IT. Servono ruoli, procedure, formazione, piani di risposta agli incidenti, backup testati, controlli sugli accessi, gestione delle vulnerabilità e continuità operativa.
Obblighi per l’azienda
L’azienda deve verificare se rientra nel perimetro NIS2, procedere alla registrazione o aggiornamento sulla piattaforma ACN quando richiesto, definire ruoli e responsabilità, adottare misure tecniche e organizzative adeguate e predisporre procedure di gestione degli incidenti.
È inoltre opportuno integrare NIS2, GDPR e continuità operativa, evitando documenti separati e incoerenti. La formazione del personale resta essenziale, perché phishing, password deboli e comportamenti non corretti sono ancora tra le principali cause di incidente.
Scadenze
Per i soggetti NIS, la registrazione o l’aggiornamento si svolge ordinariamente dal 1° gennaio al 28 febbraio di ogni anno. L’ACN ha indicato l’avvio degli obblighi di notifica degli incidenti a partire da gennaio 2026 e il completamento delle misure di sicurezza informatica di base entro ottobre 2026, secondo il percorso graduale previsto.
