L’era della cybersecurity per imprese e Pa: dal 28 febbraio nuovi obblighi (e pesanti sanzioni)

Per imprese e pubbliche amministrazioni inizia una nuova fase della cybersecurity, con nuovi adempimenti, ruoli e responsabilità – personali e aziendali – e nuove sanzioni collegate alla direttiva europea Nis2.

Entro il 28 febbraio, i soggetti «essenziali» - imprese che operano in settori altamente critici come energia, trasporti, sanità, settore bancario, gestione delle risorse idriche e infrastrutture digitali – e i soggetti definiti dalla legge «importanti» cioè rilevanti per la sicurezza nazionale (produzione alimentare, servizi postali e corrieri, piattaforme di social network) devono completare la registrazione o l’aggiornamento delle informazioni richieste sulla piattaforma digitale dell’Agenzia per la cybersicurezza nazionale.

Gli altri adempimenti previsti dal Decreto legislativo 138/2024, entrato in vigore il 18 ottobre 2024 e che recepisce la direttiva sulla sicurezza delle reti e dei sistemi informativi, Network and information security directive 2 (NIS2) dell’Unione europea riguardano in primo luogo l’adozione di un modello organizzativo di gestione della cybersecurity che include procedure per la segnalazione tempestiva di incidenti di sicurezza e l’adozione di misure di sicurezza proporzionate al rischio specifico.

L’agenzia per la cybersecurity svolgerà attività di monitoraggio e vigilanza, effettuando verifiche e ispezioni per assicurarsi che i soggetti obbligati rispettino le misure di sicurezza e gli obblighi di notificazione.

Ogni impresa deve nominare un responsabile per la sicurezza informatica con competenze specifiche in materia di cybersicurezza, e dovrà inoltre formare i dipendenti in modo da poter individuare e comprendere i rischi informatici, le best practice e l’impatto delle minacce sull’azienda.