Con l’entrata in vigore della direttiva NIS2 il 17 ottobre, molte organizzazioni si trovano a chiedersi cosa accade se non sono ancora conformi ai nuovi requisiti. Se la tua azienda non è pronta, ecco a cosa va incontro immediatamente:
Sanzioni economiche e azioni correttive obbligatorie
Dal 17 ottobre, le aziende che non sono conformi alla NIS2 rischiano di ricevere sanzioni economiche significative, che possono arrivare fino al 2% del fatturato globale annuale o fino a 10 milioni di euro, a seconda di quale cifra sia superiore. Le autorità competenti hanno il potere di imporre multe proporzionate alla gravità delle violazioni, oltre a richiedere azioni correttive obbligatorie entro termini prestabiliti.
Per esempio, un’azienda con un fatturato di 100 milioni di euro potrebbe essere soggetta a una multa di 2 milioni di euro. Se non sei conforme, potresti essere soggetto a interventi diretti delle autorità per adeguarti, spesso con tempistiche strette. Le autorità possono inoltre imporre ispezioni obbligatorie per verificare la messa in atto delle misure correttive.
Danni reputazionali
Non conformarsi alla NIS2 espone la tua azienda a notevoli danni reputazionali. Secondo un rapporto di KPMG, circa il 58% dei consumatori è meno propenso ad acquistare da un’azienda che ha subito una violazione di sicurezza (fonte: KPMG Cyber Trust Insights 2023).
Inoltre, secondo un sondaggio condotto da IBM, il 76% delle organizzazioni che ha subito una violazione ha riscontrato impatti negativi sulla reputazione del marchio, con una perdita media di fiducia che richiede dai 3 ai 5 anni per essere recuperata (fonte: IBM Cost of a Data Breach Report 2023).
Obbligo di notifica degli incidenti
Se si verifica un incidente significativo, la direttiva NIS2 impone di notificarlo alle autorità competenti entro 24 ore. Se la tua azienda non è conforme e non è in grado di rispettare questi tempi, rischi ulteriori sanzioni che possono arrivare fino a 5 milioni di euro o al 1% del fatturato globale annuale, oltre all’imposizione di misure correttive.
Prima del 17 ottobre, questo tipo di obbligo poteva essere meno stringente, ma ora il mancato rispetto dei termini di notifica è considerato una grave violazione. Secondo ENISA, oltre il 60% delle violazioni avvenute nell’ultimo anno avrebbe richiesto una notifica immediata secondo le nuove regole della NIS2 (fonte: ENISA Threat Landscape Report 2023).
Esempi comuni di non conformità suddivisi per settore
FINANZIARIO: Molte banche e istituti finanziari non hanno segmentato adeguatamente le loro reti, lasciando accessibili dati sensibili. Questo aumenta il rischio di compromissione dei dati dei clienti e delle transazioni finanziarie. Inoltre, diverse organizzazioni finanziarie non dispongono ancora di sistemi di rilevamento delle intrusioni (IDS/IPS), necessari per identificare e mitigare rapidamente attacchi in corso. Queste carenze possono comportare sanzioni significative e una perdita di fiducia da parte dei clienti.
MANIFATTURIERO: Molte aziende manifatturiere non effettuano un’adeguata verifica dei fornitori rispetto ai rischi di sicurezza informatica. La mancanza di processi di verifica e di gestione del rischio per la supply chain è in violazione dei nuovi requisiti NIS2, esponendo l’azienda a possibili compromissioni tramite i fornitori. Inoltre, le aziende manifatturiere spesso utilizzano sistemi di controllo industriale (ICS) obsoleti, che non sono aggiornati e quindi vulnerabili agli attacchi informatici. La mancata messa in sicurezza di tali sistemi è una chiara violazione della direttiva NIS2.
SANITARIO: In molti ospedali e strutture sanitarie, i dati dei pazienti vengono ancora archiviati e trasmessi senza adeguati sistemi di cifratura. La NIS2 impone l’adozione di misure di sicurezza per proteggere dati sensibili, e la mancata cifratura può portare a pesanti sanzioni, oltre a rappresentare un rischio per la privacy dei pazienti. Molte strutture sanitarie non dispongono di un piano di continuità operativa in caso di attacco informatico, come richiesto dalla NIS2.
TELECOMUNICAZIONI: Nel settore delle telecomunicazioni, un esempio comune di non conformità riguarda l’assenza di adeguate misure di protezione contro gli attacchi alle reti di trasmissione dati. Molti operatori non monitorano in maniera sufficiente il traffico anomalo, lasciando i loro sistemi esposti a potenziali attacchi DDoS. Inoltre, la vulnerabilità dei dispositivi di rete utilizzati rappresenta un rischio significativo che potrebbe compromettere l’integrità e la disponibilità del servizio.
ENERGIA: Il settore energetico è particolarmente vulnerabile agli attacchi informatici. Molte organizzazioni del settore non adottano misure di protezione adeguate per le loro infrastrutture critiche, come le reti di distribuzione. Questo espone il sistema energetico nazionale a rischi di interruzioni del servizio. La mancata implementazione di sistemi di monitoraggio e risposta alle minacce può essere considerata una violazione grave della NIS2, che richiede elevati standard di resilienza e sicurezza.
TRASPORTO E LOGISTICA: In questo settore, una tipica non conformità riguarda la protezione insufficiente dei sistemi di gestione del traffico e dei dati logistici. La mancata implementazione di misure di sicurezza per i sistemi di navigazione e gestione del traffico espose informazioni sensibili sulle rotte e sulle spedizioni a potenziali attacchi. Inoltre, la mancanza di piani di resilienza per far fronte a eventuali attacchi informatici rappresenta una violazione dei requisiti di continuità operativa richiesti dalla direttiva NIS2.
INFRASTRUTTURE DIGITALI: I fornitori di servizi cloud e data center sono obbligati a garantire elevati livelli di sicurezza e disponibilità. Un esempio di non conformità potrebbe essere la gestione inadeguata dell’accesso ai dati dei clienti, che potrebbe portare a violazioni e furti di informazioni sensibili. La mancata implementazione di soluzioni di disaster recovery per garantire la resilienza dei sistemi in caso di attacco rappresenta un altro caso di violazione delle norme previste dalla NIS2.
IDRICO: Le infrastrutture per la gestione delle risorse idriche sono spesso a rischio a causa di sistemi di controllo e monitoraggio non adeguatamente protetti. L’assenza di segmentazione dei sistemi SCADA, utilizzati per il controllo delle reti di distribuzione dell’acqua, rende queste infrastrutture particolarmente vulnerabili agli attacchi. La direttiva NIS2 richiede che tutte le infrastrutture critiche, comprese quelle idriche, siano protette con misure adeguate per evitare il rischio di interruzioni del servizio.
Maggiore controllo e supervisione da parte delle autorità
Le aziende non conformi possono essere sottoposte a un monitoraggio più frequente e a controlli approfonditi da parte delle autorità di vigilanza. Secondo le nuove disposizioni, le ispezioni possono avvenire anche con cadenza trimestrale per le aziende più critiche o inadempienti.
Questo significa un aumento della pressione sulle attività operative e la necessità di rispondere rapidamente alle richieste delle autorità. Se la tua azienda non è preparata, questa supervisione potrebbe portare a ulteriori costi e disagi operativi, inclusi investimenti non pianificati per adeguamenti urgenti.
Uno studio di Deloitte ha stimato che il costo medio delle attività di adeguamento post-ispezione può raggiungere i 150.000 euro, a seconda della complessità dell’infrastruttura e delle misure richieste (fonte: Deloitte Cybersecurity Compliance Report 2023).
Esclusione da contratti e gare pubbliche
Un altro rischio immediato riguarda la possibilità di essere esclusi da contratti o gare pubbliche. Un recente studio della Commissione Europea ha evidenziato che il 75% degli appalti pubblici richiederà la conformità alla NIS2 come requisito entro il 2025 (fonte: Commissione Europea, Report su appalti e sicurezza informatica).
Non essere conformi alla NIS2 potrebbe significare perdere opportunità di business rilevanti e potenzialmente avere un impatto significativo sui ricavi dell’azienda. Nel 2023, il valore medio degli appalti pubblici persi da aziende non conformi alle norme di sicurezza è stato di circa 1,2 milioni di euro per singola azienda (fonte: European Procurement Analysis 2023).
Intervieni oggi stesso
È quindi essenziale che la tua azienda si attivi immediatamente per conformarsi alla direttiva NIS2. I rischi di sanzioni economiche, danni reputazionali, obblighi di notifica non rispettati e una maggiore pressione da parte delle autorità sono reali e possono avere un impatto significativo sulla continuità e la crescita del tuo business. Investire nella conformità oggi può fare la differenza tra mantenere la competitività nel mercato e subire forti penalizzazioni.