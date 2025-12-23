Dal 1° gennaio 2026, le aziende essenziali e importanti dovranno segnalare tempestivamente gli incidenti informatici secondo la Direttiva NIS2. Questa normativa impone obblighi stringenti, scadenze precise e sanzioni milionarie, richiedendo un cambio di passo nella gestione della cybersecurity, con responsabilità dirette anche per i dirigenti.

La Direttiva NIS2, adottata dall’Unione Europea, mira a rafforzare la resilienza dei settori considerati essenziali o importanti per il funzionamento dello Stato e dei servizi critici, come energia, trasporti, sanità e infrastrutture digitali. Le imprese classificate come “soggetti NIS” dovranno adottare un approccio proattivo e trasparente nella gestione degli incidenti, con tempistiche precise per la segnalazione: 24 ore per la notifica preliminare, 72 ore per quella completa e 1 mese per il report finale.

In caso di mancata segnalazione, le sanzioni possono essere pesanti, fino a 10 milioni di euro o il 2% del fatturato mondiale annuo per i soggetti essenziali e fino a 7 milioni di euro o l’1,4% del fatturato globale annuo per i soggetti importanti. La normativa introduce anche la responsabilità personale dei dirigenti in caso di negligenza grave.

La cybersecurity e la salute e sicurezza nei luoghi di lavoro sono strettamente correlate, poiché un attacco informatico può generare rischi fisici immediati per i lavoratori. Pertanto, la protezione dei dati e delle infrastrutture digitali diventa parte integrante della prevenzione aziendale. Le aziende dovranno integrare la cybersecurity nel DVR, aggiornare le procedure di emergenza, formare il personale e collaborare con l’IT per creare un flusso di comunicazione immediato tra sicurezza informatica e sicurezza sul lavoro.