Argomenti trattati
Oggi si discute di un argomento cruciale per tutte le aziende: la sicurezza informatica. Con l’introduzione della Direttiva NIS 2, le aziende devono adattarsi a nuove normative che coinvolgono non solo i tecnici IT, ma anche il management.
La Direttiva NIS 2 e il suo impatto
Dopo aver completato gli obblighi di aggiornamento annuale entro il 31 luglio, è tempo di implementare le misure di sicurezza richieste dalla Direttiva NIS 2. Questa direttiva rappresenta un cambiamento di paradigma. Non si tratta più di un adempimento tecnico, ma di un tema di governance.
Entro ottobre 2026, le aziende incluse nella direttiva dovranno implementare le cosiddette “misure di base”. È necessario coinvolgere non solo i reparti IT, ma anche i vertici aziendali. Questo rappresenta un passo importante verso una gestione della sicurezza informatica integrata in ogni aspetto del business.
Le linee guida dell’Agenzia per la Cybersicurezza Nazionale (ACN) forniscono un supporto prezioso. Queste indicazioni aiutano le aziende a comprendere e interpretare le misure necessarie, evidenziando l’importanza della responsabilità condivisa in materia di sicurezza.
Misure di sicurezza minime e governance
Le nuove misure di sicurezza minime variano a seconda della classificazione dell’azienda: “soggetto importante” o “soggetto essenziale”. Le aziende considerate “soggetti importanti” devono rispettare 37 misure, mentre quelle “essenziali” devono adottarne 43. Ciò riflette la maggiore responsabilità di chi fornisce servizi essenziali come energia, trasporti e sanità.
Per il management, questo implica che le aziende devono approvare formalmente documenti strategici, come politiche di sicurezza e piani di gestione del rischio. Non è più sufficiente che queste decisioni siano prese solo dai tecnici; i vertici aziendali devono essere attivamente coinvolti, assumendosi la responsabilità delle scelte effettuate. La sicurezza informatica è ora un tema di governance.
Per molte aziende, questa rappresenta una vera e propria rivoluzione culturale. Non basta più investire in software o hardware; è necessario costruire un sistema di gestione della sicurezza informatica che includa ruoli e responsabilità chiare.
Documentazione e notifica degli incidenti
La documentazione è un aspetto cruciale spesso sottovalutato. Le linee guida evidenziano l’importanza di dimostrare, con atti formali e approvati dal management, che la sicurezza è stata presa in carico. È tempo di creare inventari dei sistemi e registri di formazione.
Entro gennaio 2026, le aziende dovranno essere pronte a notificare gli incidenti. Ogni volta che si verifica un evento rilevante, come una violazione della sicurezza, devono segnalarlo al CSIRT Italia. Inoltre, le aziende devono essere in grado di classificare l’incidente e attivare prontamente i procedimenti necessari per la comunicazione.
Le scadenze sono imminenti e richiedono un impegno immediato. Pertanto, è fondamentale avviare subito un piano strutturato per rispettare le scadenze senza improvvisazioni.
Conclusioni: una sfida, ma anche un’opportunità
Dopo aver completato gli obblighi di aggiornamento annuale entro il 31 luglio, è tempo di implementare le misure di sicurezza richieste dalla Direttiva NIS 2. Questa direttiva rappresenta un cambiamento di paradigma. Non si tratta più di un adempimento tecnico, ma di un tema di governance.0
Dopo aver completato gli obblighi di aggiornamento annuale entro il 31 luglio, è tempo di implementare le misure di sicurezza richieste dalla Direttiva NIS 2. Questa direttiva rappresenta un cambiamento di paradigma. Non si tratta più di un adempimento tecnico, ma di un tema di governance.1