| Entra nella fase operativa l’applicazione della direttiva europea NIS2, il nuovo quadro UE per rafforzare la sicurezza informatica di imprese e pubbliche amministrazioni. Dal 31 ottobre scatterà la seconda fase, con l’obbligo per i soggetti coinvolti di rendere operative le misure di sicurezza di base definite a livello nazionale dall’Agenzia per la cybersicurezza nazionale. La direttiva riguarda diciotto categorie considerate essenziali o critiche per il funzionamento dello Stato e dell’economia, tra cui energia, sanità, spazio, manifatturiero e altri settori strategici. L’obiettivo è rafforzare la resilienza dell’intera Unione europea, in un contesto in cui un attacco cyber a un’infrastruttura critica di un Paese può produrre effetti sistemici anche sugli altri Stati membri. Tra gli obblighi principali figurano la formazione del personale, la segnalazione degli incidenti informatici, la predisposizione di un piano di gestione del rischio cyber e l’adozione di misure di mitigazione. Le organizzazioni dovranno mappare dispositivi, servizi digitali e possibili vulnerabilità, valutando il rischio di attacco e definendo risposte adeguate. |
Una novità rilevante riguarda la governance: gli organi di gestione potranno essere chiamati a rispondere personalmente in caso di carenze nella gestione della sicurezza informatica. Inoltre, le determinazioni dell’Agenzia per la cybersicurezza nazionale prevedono la creazione di un albo dei fornitori digitali, per monitorare le terze parti che erogano servizi informatici a imprese e amministrazioni. Il tema della supply chain è centrale: molte attività digitali sono oggi esternalizzate, spesso in cloud, e un fornitore poco sicuro può diventare l’anello debole dell’intero sistema. La sfida sarà particolarmente impegnativa per le piccole e medie imprese, che possono disporre di minori risorse e competenze, ma custodiscono know-how strategico e proprietà intellettuale.
