Dal 28 febbraio, per imprese e pubbliche amministrazioni inizia una nuova fase quanto al tema della cybersecurity , con nuovi adempimenti e nuove responsabilità ,nonchè nuove sanzioni collegate alla direttiva europea Nis2.
Le imprese che lavorano in settori altamente critici come energia, trasporti, sanità , settore bancario, gestione delle risorse idriche e infrastrutture digitali, i soggetti definibili rilevanti per la sicurezza nazionale (produzione alimentare, servizi postali e corrieri, piattaforme di social network) dovranno innanzitutto completare la registrazione o l’aggiornamento delle informazioni richieste sulla piattaforma digitale dell’Agenzia per la cybersicurezza nazionale, nel caso di mancato rispetto delle norme seguiranno sanzioni severe per le aziende ei loro dipendenti.
Analizziamo insieme i punti salienti:
Obbligo di registrazione
Tra le principali scadenze imposte dal decreto abbiamo la registrazione sulla piattaforma digitale dell’Agenzia per la Cybersicurezza Nazionale (ACN) che andrà ultimata entro il 28 febbraio 2025, l’obbligo riguarda i soggetti definiti “essenziali” dunque le aziende che operano in settori come sanità ,energia, trasporti, e servizi bancari ma anche quelli “importanti” cioè i settori come la produzione alimentare, i servizi postali e le piattaforme digitali.
Le aziende dovranno, oltre alla registrazione anche utilizzare modelli normativi specifici per la gestione della cybersecurity.
Nomina responsabile
Altro punto è l’ obbligo di nominare di un responsabile per la sicurezza informatica all’interno di ogni organizzazione interessata, che avrà competenze specifiche in cybersecurity e diventerà responsabile dell’attuazione delle politiche di protezione dei dati e delle infrastrutture digitali.
Rafforzamento della formazione
Il decreto include un rafforzamento della formazione in materia di sicurezza informatica per tutti i dipendenti al fine di garantire programmi di aggiornamento costanti per il personale con competenze specifiche in materia di cybersicurezza, in modo da poter individuare e comprendere i rischi informatici e l’impatto delle minacce sull’azienda.
Sistema sanzionatorio
Il Decreto NIS2 prevede un sistema sanzionatorio rigoroso ,queste disposizioni puntano a responsabilizzare il management aziendale , rendendolo direttamente coinvolto nella gestione della sicurezza informatica e se le organizzazioni non si adeguano, ci sono sanzioni che possono essere sia amministrative che penali ,queste varieranno in base alla gravità della violazione e al tipo di azienda coinvolta:
le imprese classificate come “essenziali” rischiano sanzioni fino a 10 milioni di euro o il 2% del fatturato globale annuo, mentre per quelle “importanti” le multe possono arrivare a 7 milioni di euro o l’1,4% del fatturato annuo,a seconda di quale cifra sia più alta.
Quanto alle sanzioni penali, ogni paese dell’UE può decidere le proprie regole, nel caso dell’ Italia per esempio, le violazioni gravi della privacy possono comportare pene detentive fino a un massimo di 7 anni.