Nuove regole per aziende e settore pubblico: obblighi rigorosi, sanzioni pesanti e responsabilità diretta per affrontare i pericoli cyber in crescita

Negli ultimi anni, il panorama digitale globale ha assistito ad una crescita esponenziale degli attacchi informatici, evidenziando la vulnerabilità delle nostre infrastrutture tecnologiche.
Secondo il rapporto Clusit 2025, nel 2024 gli incidenti cyber sono aumentati del 27,4 per cento a livello mondiale e del 15,2 per cento in Italia. Questa escalation non soltanto minaccia la sicurezza delle informazioni, ma mette anche a rischio la continuità operativa di servizi essenziali, con potenziali ripercussioni sulla vita quotidiana dei cittadini.
Per contrastare efficacemente queste minacce, l’Unione Europea ha introdotto la Direttiva NIS 2 (Network and Information Security), recepita ad esempio in Italia con il Decreto Legislativo numero 138/2024 e sulla cui applicazione esercita un’alta vigilanza anche l’ENISA, la European Union Agency for Cybersecurity con sede ad Atene ed Eraklion in Grecia. Questa normativa mira a garantire un elevato livello comune di cybersicurezza, imponendo obblighi stringenti sia alle imprese che alle pubbliche amministrazioni.
Tra gli obblighi principali previsti dalla NIS 2 vi sono:
gestione del rischio e adozione di misure di sicurezza adeguate: le organizzazioni devono implementare politiche e procedure per gestire i rischi cyber e proteggere i dati sia in ottica preventiva che contenitiva;
notifica tempestiva degli incidenti: è obbligatorio segnalare alle autorità competenti gli incidenti di sicurezza senza ingiustificato ritardo, e comunque entro 24 ore dalla loro rilevazione;
gestione del rischio e formazione: le aziende sono tenute a sviluppare piani di gestione del rischio e a garantire una formazione continua del personale in materia di cybersicurezza.
Il paper scaricabile dal titolo “La direttiva NIS 2 e le misure preventive di tipo tecnico: i test”

La sede principale dell’ENISA, l’Agenzia dell’Unione Europea per la Cybersicurezza, si trova a Chalandri, un sobborgo di Atene, capitale della Grecia: oltre alla sede centrale, l’ENISA gestisce anche un ufficio a Heraklion, sull’isola di Creta, e un bureau di collegamento decentrato a Bruxelles, in Belgio
La Direttiva impone regole severe e responsabilità dirette
Va inoltre sottolineato come tali normative assegnino all’organo di gestione e, quindi, quando presente, al Consiglio di amministrazione, la piena responsabilità dell’attuazione delle politiche di sicurezza, senza alcuna possibilità di delega. Non soltanto, ma la gestione del rischio viene estesa a un perimetro ben più ampio di quello aziendale, quello dei fornitori, obbligando l’organizzazione ad una verifica stringente degli stessi.
È fondamentale sottolineare che le scadenze per l’adeguamento a queste disposizioni sono imminenti, anche in considerazione della complessità delle stesse. Il mancato rispetto di queste scadenze può comportare sanzioni significative e compromettere la reputazione dell’organizzazione.
La cybersicurezza non è più un’opzione per le aziende, ma una necessità imprescindibile. Le nuove normative, come la NIS 2, rappresentano strumenti essenziali per proteggere individui e organizzazioni dalle crescenti minacce informatiche.
È quindi indispensabile che le aziende adottino tempestivamente le misure richieste, non solo per conformarsi alle leggi vigenti, ma anche per salvaguardare la fiducia dei propri clienti e garantire la continuità operativa in un mondo sempre più interconnesso.
Ecco tre approfondimenti che potrebbero interessarti:
SwissGPT: l’AI svizzera che rivoluziona la sicurezza aziendale
È nella legislazione USA il “bug” alla tutela della privacy
Il paradosso italiano del “PornoSPID” e della rana bollita




