NIS2: nuovi obblighi di cybersecurity per imprese e PA dal 28 febbraio

Dal 28 febbraio 2025, le imprese e le pubbliche amministrazioni dovranno adeguarsi a nuove misure di sicurezza informatica introdotte dal Decreto Legislativo 138/2024, in attuazione della direttiva europea NIS2. Questa normativa impone regole più stringenti per la protezione delle infrastrutture digitali, mirando a contrastare minacce informatiche sempre più sofisticate. Le organizzazioni coinvolte saranno chiamate a registrarsi su una piattaforma apposita, adottare modelli di gestione della sicurezza e designare un responsabile per la cybersecurity. Il mancato rispetto degli obblighi comporterà sanzioni severe, sia per le aziende che per i loro dirigenti.

Obbligo di registrazione e nuovi adempimenti NIS2

Una delle principali scadenze imposte dal decreto riguarda la registrazione sulla piattaforma digitale dell’Agenzia per la Cybersicurezza Nazionale (ACN), da completare entro il 28 febbraio 2025. Questo obbligo riguarda sia i soggetti definiti “essenziali” – aziende operanti in settori critici come energia, trasporti, sanità e servizi bancari – sia quelli “importanti”, che includono settori come la produzione alimentare, i servizi postali e le piattaforme digitali.
Oltre alla registrazione, le aziende devono adottare modelli organizzativi specifici per la gestione della cybersecurity. Questi prevedono:

• Procedure di segnalazione tempestiva degli incidenti informatici alle autorità competenti.
• Misure di sicurezza proporzionate ai rischi, da aggiornare periodicamente.
• Verifiche interne per monitorare il rispetto della normativa e prevenire vulnerabilità nei sistemi.

L’ACN avrà il compito di sorvegliare il rispetto degli obblighi, effettuando ispezioni e controlli per verificare l’implementazione delle misure di sicurezza da parte delle aziende coinvolte.

Il responsabile per la cybersecurity e la formazione del personale

Un altro elemento chiave del decreto è l’obbligo di nomina di un responsabile per la sicurezza informatica all’interno di ogni organizzazione interessata. Questa figura dovrà possedere competenze specifiche in cybersecurity e sarà responsabile dell’attuazione delle politiche di protezione dei dati e delle infrastrutture digitali.
Oltre alla nomina del responsabile, il decreto prevede un rafforzamento della formazione in materia di sicurezza informatica per tutti i dipendenti. Le aziende dovranno garantire programmi di aggiornamento costante per il personale, affinché possa riconoscere le minacce cyber, adottare comportamenti sicuri e contribuire attivamente alla protezione dei sistemi informatici.
Questa strategia mira a creare un approccio proattivo alla sicurezza, riducendo il rischio di attacchi informatici dovuti a negligenza o scarsa preparazione dei lavoratori.

Le sanzioni per aziende e dirigenti

Il Decreto NIS2 introduce un sistema sanzionatorio rigoroso, con multe che variano in base alla gravità della violazione e alla tipologia dell’azienda coinvolta. Le imprese classificate come “essenziali” rischiano sanzioni fino a 10 milioni di euro o il 2% del fatturato globale annuo, mentre per quelle “importanti” le multe possono arrivare a 7 milioni di euro o l’1,4% del fatturato annuo.
Oltre alle sanzioni economiche, il decreto introduce misure interdittive per i vertici aziendali. In caso di gravi violazioni, i dirigenti responsabili della cybersecurity potrebbero subire:

• Divieto temporaneo di ricoprire incarichi dirigenziali nelle aziende coinvolte.
• Sospensione dall’attività professionale per mancata attuazione delle misure di sicurezza.