Il 28 febbraio 2025 è la data limite per le aziende che devono conformarsi alla Direttiva NIS 2 (Network and Information Security), in vigore dal 17 gennaio 2023. Questa direttiva mira a migliorare la sicurezza informatica e a standardizzare la resilienza cyber in tutta l'UE.
Gli attacchi informatici sono in aumento.
Nel primo semestre del 2024, Clusit ha registrato oltre 1.600 attacchi globali, con l'Italia che ha subito il 7,6% degli incidenti.
Secondo Cybersecurity Ventures, i danni economici del cybercrime raggiungeranno i 10,5 trilioni di dollari nel 2025, con un tasso di crescita annuo del 15%.
La Direttiva NIS 2 si applica alle organizzazioni di medie e grandi dimensioni in 18 settori essenziali, tra cui energia, trasporti, sanità, digitale e telecomunicazioni.
La direttiva rafforza la gestione del rischio cyber e gli obblighi di comunicazione, eliminando le divergenze nei requisiti di sicurezza tra gli stati membri.
Le organizzazioni italiane devono:
- Identificare, valutare e mitigare i rischi cyber.
- Valutare la postura di sicurezza.
- Gestire la continuità operativa dei servizi.
- Adottare misure per proteggere gli accessi privilegiati.
- Rafforzare le difese organizzative e tecnologiche.
- Monitorare la supply chain.
- Formalizzare il piano di risposta agli incidenti.
- Formare il personale sulla cybersecurity.
Le aziende devono registrarsi sulla piattaforma dell'Agenzia per la Cybersicurezza Nazionale (ACN). Dopo la registrazione, avranno da 9 a 18 mesi per implementare le misure previste. Le imprese che non rispettano la scadenza rischiano sanzioni fino allo 0,1% del fatturato annuo.