NIS 2 e il ruolo cruciale del management
La Direttiva NIS 2 (recepita in Italia con il D.Lgs. n. 138 del 16 ottobre 2024) e il Regolamento di esecuzione 2024/2690 segnano un cambiamento epocale nella gestione della cybersicurezza per molte aziende pubbliche e private.
Rispetto alla precedente direttiva, la NIS 2 non solo estende il perimetro dei soggetti obbligati (dalle entità essenziali come energia e sanità, alle entità importanti come cloud provider e data center), ma introduce obblighi più precisi e, soprattutto, ridefinisce le responsabilità.
Una delle novità più significative è il coinvolgimento diretto degli organi direttivi. Non è più accettabile “delegare tutto all’IT”. Chi ricopre ruoli apicali ha obblighi precisi di supervisione e controllo sulle misure di cybersicurezza.
Questo significa che il rischio informatico deve essere integrato nella strategia aziendale. La cybersicurezza, quindi, non è più vista solo come una questione tecnica, ma come un elemento critico per la governance e la reputazione dell’impresa.
E le conseguenze della mancata conformità? Sono severe.
Le sanzioni possono arrivare fino al 2% del fatturato annuo mondiale per le entità essenziali e fino al 1,4% per quelle importanti. Ma non si tratta solo di sanzioni pecuniarie: sono previsti anche ordini di sospensione e obblighi correttivi.
In conclusione, la NIS 2 richiede una nuova consapevolezza tutti i livelli, a partire dai vertici aziendali chiamati a comprendere il proprio ruolo attivo in tale ambito e a promuovere una vera e propria cultura della sicurezza in azienda.
