La direttiva NIS2 sta rimodellando gli obblighi in materia di sicurezza informatica in tutta l'Unione europea. Dieci Stati membri hanno già recepito la direttiva nel diritto nazionale, creando un crescente mosaico di requisiti di conformità per le organizzazioni. La direttiva amplia l'ambito di applicazione per coprire più settori e partner di terze parti, introducendo allo stesso tempo la responsabilità personale per i dirigenti aziendali. Per le multinazionali, ciò significa gestire la conformità in un panorama normativo frammentato, che richiede attenzione a livello di consiglio di amministrazione, esecuzione localizzata e una strategia chiara per innalzare i livelli di sicurezza informatica di riferimento in tutta l'organizzazione.

La direttiva NIS2 (direttiva (UE) 2022/2555) rappresenta un significativo progresso nel quadro normativo dell'Unione Europea in materia di sicurezza informatica. Destinata a rafforzare la resilienza digitale nei servizi critici ed essenziali, la direttiva NIS2 impone obblighi più rigorosi e un'applicabilità più ampia. In particolare, introduce per la prima volta la responsabilità personale per i dirigenti aziendali.

Stato di implementazione: Un mosaico di leggi nazionali

Dieci Stati membri dell'UE hanno attualmente recepito la direttiva NIS2 nel diritto nazionale. Ogni Stato dispone di un proprio quadro giuridico e di un proprio organo di controllo.

• Belgio: legge del 26 aprile 2024 sulla sicurezza informatica delle reti e dei sistemi per la pubblica sicurezza.
• Croazia: legge sulla sicurezza informatica.
• Grecia: legge sull'Autorità nazionale per la sicurezza informatica e altre disposizioni.
• Ungheria: legge XXIII del 2023 sulla certificazione e la supervisione della sicurezza informatica.
• Italia: decreto legislativo n. 138 del 4 settembre 2024.
• Lettonia: legge nazionale sulla sicurezza informatica.
• Lituania: legge sulla sicurezza informatica n. 12-1428.
• Romania: ordinanza di emergenza sulla sicurezza informatica del dello spazio digitale nazionale civile.
• Slovacchia: legge 366/2024 che modifica le normative vigenti in materia di sicurezza informatica.
• Finlandia: legge sulla sicurezza informatica (Kyberturvallisuuslaki).

Sebbene si tratti di progressi notevoli, la variabilità nel modo in cui ogni Stato membro struttura i requisiti operativi e di applicazione è la vera sfida da affrontare per questa direttiva.

Un panorama di applicazione frammentato per le organizzazioni multinazionali

A differenza delle normative centralizzate, la direttiva NIS2 conferisce a ciascun Stato membro la discrezionalità di definire specifiche procedure di attuazione e di ampliare l'applicabilità della direttiva. Ciò crea un panorama normativo frammentato, particolarmente problematico per le organizzazioni multinazionali che operano in più giurisdizioni dell'UE.

Le organizzazioni devono quindi tenere conto di quanto segue:

• diverse definizioni di entità "essenziali" e "importanti";
• tempistiche e autorità nazionali diverse per la segnalazione degli incidenti;
• sanzioni e requisiti di audit specifici per ogni Paese;
• criteri ampliati per l'inclusione nell'ambito di applicazione basati sulla discrezionalità nazionale.

Il risultato è una proliferazione di requisiti di conformità che richiedono un allineamento operativo tra il team legale, quello che si occupa della sicurezza informatica e quello addetto alla gestione del rischio, il tutto garantendo un coordinamento continuo con l'autorità di vigilanza di ogni singolo Paese.

Ambito esteso: più entità, più esposizione

Il fulcro della direttiva NIS2 è un ambito di applicazione ampliato. Infatti, la direttiva copre due categorie di entità che rientrano nell'ambito di applicazione.

• Entità essenziali: energia, trasporti, settore bancario, sanità, infrastrutture digitali e pubblica amministrazione.
• Entità importanti: servizi postali, produzione alimentare, produzione di prodotti critici e fornitori digitali.

In più, i vendor di terze parti e i fornitori che svolgono un ruolo cruciale nell'erogazione di questi servizi sono anch'essi soggetti a obblighi di gestione del rischio e di due diligence.

La situazione è ulteriormente complicata dal fatto che gli Stati membri mantengono il diritto di ampliare l'ambito di applicazione della direttiva attraverso la legislazione nazionale, il che potrebbe includere ulteriori settori o organizzazioni più piccole. Per le organizzazioni multinazionali, ciò introduce incertezza in termini di conformità e aumenta la necessità di una governance centralizzata con implementazione localizzata.

 
La responsabilità personale inizia dai piani alti

Per dirigenti senior e membri del consiglio di amministrazione, la direttiva NIS2 è più di un semplice obbligo tecnico: è una questione di leadership. Ai sensi dell'articolo 20 della direttiva, gli organi di gestione devono approvare e supervisionare le misure di sicurezza informatica. In caso di inosservanza, possono essere ritenuti personalmente responsabili.

Questa clausola rappresenta un cambiamento significativo:

• la supervisione della sicurezza informatica è ora una responsabilità a livello di consiglio di amministrazione;
• il mancato rispetto delle norme può comportare sanzioni individuali, tra cui la sospensione o l'esclusione da posizioni dirigenziali;
• i meccanismi di controllo stanno diventando più aggressivi e trasparenti.

Le difficoltà ti aiutano a migliorare

Allo stesso tempo, la direttiva NIS2 offre ai dirigenti una reale opportunità di rafforzare la base di sicurezza informatica della propria organizzazione. Non si tratta solo di conformità, ma anche di integrare resilienza, fiducia e continuità operativa nelle attività principali delle aziende.

La direttiva NIS2 sta rimodellando il panorama della sicurezza informatica e del rischio in tutta Europa. Il suo intento è chiaro: alzare l'asticella, colmare le lacune e imporre la responsabilità ai vertici. Tuttavia, la sua struttura di applicazione decentralizzata e l'ampio campo di applicazione fanno sì che la conformità non sia più un obiettivo univoco.

Per i leader aziendali e della sicurezza, è giunto il momento di agire. Le organizzazioni devono adottare un approccio dinamico e interfunzionale alla direttiva NIS2, basato su una governance solida, chiari quadri di riferimento per il reporting e una responsabilità dirigenziale.

Per saperne di più sulla soluzione Tech Risk & Compliance di OneTrust, richiedi una demo.