Entro il prossimo 17 ottobre 2024 gli Stati membri dell’UE dovranno recepire la NIS2, la Direttiva europea sulla sicurezza delle reti e dei sistemi informativi, pubblicata nel gennaio 2023.
Evoluzione della NIS, introdotta nel 2018 con l’obiettivo di raggiungere un livello comune elevato in materia di sicurezza delle reti e dei sistemi di informazione in tutta l'Unione Europea e per garantire le infrastrutture critiche, la NIS2 estende gli obblighi di cybersecurity a un numero maggiore di settori e servizi considerati critici per il funzionamento socioeconomico dell'Unione Europea.
L’esperienza della pandemia e le crescenti minacce informatiche hanno infatti evidenziato la necessità da parte del legislatore di intervenire con un preciso quadro normativo affinché le imprese si trovino obbligate ad implementare strategie e tecnologie di cybersecurity.
Le imprese hanno avuto a disposizione oltre un anno e mezzo per rispondere alle nuove richieste introdotte dalla Direttiva, a che punto sono nel percorso di adeguamento? Lo abbiamo chiesto a Maurizio De Paoli Alighieri, Security Manager di Smeup Ics, realtà informatica che si occupa di software applicativi e della gestione dei sistemi.
NIS2 anche le imprese più piccole
L’applicabilità della NIS2 considera la dimensione dell’azienda, per addetti e fatturato. Le aziende coinvolte sono realtà con almeno 250 persone, quindi si parla di medie e grandi imprese, tuttavia è prevista l’estensione del controllo di sicurezza anche alla catena di approvvigionamento, quindi a tutti i fornitori.
"Fondamentalmente, la NIS2 coinvolge il 99% delle aziende in quanto parte di filiere comprese le piccole e le micro imprese, che ancora oggi considerano la sicurezza più una tassa da pagare che non una necessità per salvaguardare l’integrità della propria azienda", ci dice De Paoli Alighieri.
"Le imprese che forniscono servizi essenziali e importanti dovranno inoltre garantire per i propri fornitori, e questo porterà a sviluppare più consapevolezza e responsabilità tra le piccole realtà, che potrebbero rischiare di essere tagliate fuori dalla filiera se non rendono sicuri i propri sistemi".
Cresce la consapevolezza nelle imprese manifatturiere
"Nel corso dell’ultimo anno abbiamo rilevato una maggior richiesta da parte delle aziende di elevare la protezione dei sistemi della parte industriale, quindi possiamo affermare che sta crescendo la consapevolezza dell’importanza di mettere in sicurezza i sistemi OT".
Dall’altra parte, le aziende del manifatturiero, in particolare, fanno ancora fatica a investire nell’IT e noi ci troviamo ancora a fare 'evangelismo' per far comprendere l’entità dei rischi che potrebbero derivare da un grave incidente informatico", conclude De Paoli Alighieri.
La prossima entrata in vigore della NIS 2 è, dunque, anche l’occasione per sensibilizzare le imprese sulle tematiche del cyber risk.
