Il Seminario – Tavola Rotonda è stato introdotto da Rodolfo Vacca in rappresentanza dei Giovani Campania di ConfCommercio ,che dopo unaa breve introduzione ha dato la parola ai due esperti ,Viviana Visaggio  per la parte Normativa dell “Studio Cesanio Riccio Visaggio” e per la parte tecnica a Pietro Marino “G.M. della Telema Napoli.

.Rodolfo Vacca,Viviana Visaggio e Pietro Marino

Dopo le due relazione gli esperti hanno risposto alle domande che venivano dalla sala e da quelle poste in remoto che toccavano in realtà le molte criticità che pone l’argomento dando così un quadro generale puntuale.

La giornata è terminata con impegno a breve da parte dei presenti,visto l’ interesse che ha suscitato l’argomento, per un ulteriore  approfondimento della Norma in una fase successiva.

 Riportiamo volentieri la Relazione dell’Avv.Viviana Visaggio

“Direttiva NIS 2: obblighi di cybersicurezza, scadenze e sanzioni per le imprese

La Direttiva NIS 2 (Network and Information Security) rappresenta un passo cruciale nella strategia europea per la cybersicurezza, ampliando gli obblighi di protezione delle infrastrutture critiche e introducendo sanzioni severe per le aziende che non si adeguano. L’obiettivo è quello di rafforzare la resilienza dei sistemi digitali e garantire una risposta coordinata agli attacchi informatici che minacciano la stabilità economica e sociale dell’Unione Europea.

In Italia, la direttiva è stata recepita con il D.Lgs. 138/2024, che stabilisce le misure obbligatorie per le imprese e le pubbliche amministrazioni e ne definisce le scadenze.

Chi rientra negli obblighi della NIS 2?

La Direttiva NIS 2 amplia significativamente il numero di soggetti coinvolti rispetto alla precedente normativa, includendo due categorie principali:

• Soggetti essenziali: aziende ed enti operanti in settori strategicicome energia, trasporti, finanza, sanità, pubblica amministrazione, infrastrutture digitali e settore spaziale.
• Soggetti importanti: imprese di altri settori critici, come il settore alimentare, i servizi postali, la gestione dei rifiuti, la produzione chimica e la fornitura di servizi digitali.

Tutte le aziende con almeno 50 dipendenti e un fatturato superiore a 10 milioni di euro rientrano negli obblighi della direttiva, salvo eccezioni per alcune PMI strategiche.

Obblighi di notifica in caso di incidente informatico

Uno degli aspetti centrali della NIS 2 è l’introduzione di tempi stringenti per la notifica degli attacchi informatici. In caso di violazione dei sistemi, le imprese devono:

1. Notificare l’incidente entro 24 oredal momento in cui ne vengono a conoscenza.
2. Fornire un aggiornamento dettagliato entro 72 orecon informazioni sulle cause e sulle misure adottate.
3. Presentare una relazione finale entro un mese, specificando l’impatto dell’incidente e le azioni correttive intraprese.

Questo obbligo è simile a quanto previsto dal GDPR per i data breach e mira a garantire una risposta rapida ed efficace agli attacchi informatici.

Sanzioni per il mancato adeguamento

Le aziende che non rispettano gli obblighi previsti dalla NIS 2 rischiano sanzioni elevate:

• Fino a 10 milioni di euro o il 2% del fatturato annuoper i soggetti essenziali.
• Fino a 7 milioni di euro o l’1,4% del fatturato annuoper i soggetti importanti.

Inoltre, le imprese sanzionate dovranno rendere pubblica la violazione, esponendosi a danni reputazionali significativi.

Scadenze chiave per l’attuazione della NIS 2

Le imprese devono rispettare le seguenti scadenze per il recepimento e l’adeguamento alla Direttiva NIS 2:

• 17 ottobre 2024: termine per la pubblicazione delle linee guida nazionalisui requisiti di cybersicurezza.
• 17 aprile 2025: termine per gli Stati membri per identificare i soggetti essenziali e importantie notificare l’elenco alla Commissione Europea.
• Oltre il 2025: aggiornamento biennale dell’elenco dei soggetti obbligati e verifica della conformità alle misure di sicurezza richieste.

Come mettersi in regola con la NIS 2?

Per evitare sanzioni e rischi operativi, le imprese devono adottare un piano di adeguamento che includa:

• Audit di cybersicurezzaper valutare il livello di protezione attuale.
• Definizione di una strategia di gestione del rischio.
• Formazione del personalesu procedure e strumenti di sicurezza informatica.
• Implementazione di misure di prevenzione e protezionecontro le minacce cyber.
• Designazione di un responsabile per la sicurezza informatica.

Conclusione

La Direttiva NIS 2 rappresenta una sfida ma anche un’opportunità per le imprese di rafforzare la propria sicurezza informatica e ridurre il rischio di attacchi. Il rispetto delle scadenze e l’adozione di misure adeguate permetteranno di evitare sanzioni e migliorare la resilienza digitale delle aziende.”