La cybersecurity (o sicurezza informatica) comprende pratiche, tecnologie e processi per proteggere sistemi, reti e dati da attacchi, accessi non autorizzati, furti o danni. Con la crescente digitalizzazione delle aziende e dei servizi, la sicurezza informatica diventa sempre più cruciale.
Il 16 gennaio 2023 è entrata in vigore la Direttiva UE 2022/2555 (NIS2), recepita in Italia con il Decreto Legislativo del 4 settembre 2024. Questa normativa si applica a diversi settori, suddivisi in due categorie:
Settori Essenziali (Essential Entities - EE)
Questi settori coinvolgono attività strategiche e di interesse pubblico, con obblighi stringenti di sicurezza e segnalazione degli incidenti:
Energia (elettricità, petrolio, gas, idrogeno)
Trasporti (aerei, ferroviari, marittimi, stradali)
Banche e infrastrutture finanziarie
Salute (ospedali, laboratori, fornitori di dispositivi medici)
Acqua potabile e reflui
Infrastrutture digitali (data center, cloud, DNS, TLD)
Pubblica amministrazione
Spazio (operatori satellitari e servizi spaziali critici)
Settori Importanti (Important Entities - IE)
Questi settori hanno obblighi meno stringenti rispetto agli essenziali, ma devono comunque adottare misure di cybersecurity e segnalare gli incidenti:
Servizi postali e corrieri
Gestione dei rifiuti
Produzione e distribuzione di prodotti chimici
Settore alimentare (produzione, trasformazione e distribuzione)
Fornitura digitale (hardware, software e servizi di sicurezza ICT)
Ricerca e innovazione tecnologica
Impatto della NIS2 sul Settore Cosmetico
Sebbene il settore cosmetico non sia esplicitamente menzionato nella Direttiva, alcune aziende potrebbero rientrare nei Settori Importanti (IE) per vari motivi:
1. Fornitura di materie prime chimiche
Le aziende che producono o distribuiscono ingredienti per cosmetici potrebbero essere soggette alla NIS2, poiché il settore chimico è regolamentato. Questo implica obblighi di cybersecurity per proteggere dati e processi produttivi.
2. Supply chain digitale e servizi IT
Le aziende cosmetiche che utilizzano fornitori di software, cloud o servizi ICT critici potrebbero essere coinvolte nella NIS2. Un attacco ransomware a un software gestionale potrebbe compromettere dati regolatori, formule e processi di produzione.
3. Distribuzione e logistica
Le imprese che gestiscono la supply chain e la distribuzione, soprattutto a livello internazionale, potrebbero essere impattate dalla Direttiva, specialmente se collaborano con settori regolamentati.
4. Dispositivi medicali ad uso estetico
Le aziende che producono o distribuiscono dispositivi estetici avanzati (es. laser, trattamenti dermatologici) potrebbero rientrare nelle categorie della NIS2 legate alla salute o alla produzione digitale.
Obblighi di Cybersecurity per le Aziende Coinvolte
Le aziende soggette alla NIS2 devono adottare:
Misure di sicurezza avanzate per proteggere dati e prevenire attacchi informatici.
Piani di gestione del rischio per garantire la continuità operativa in caso di cyber attacchi.
Obbligo di segnalazione degli incidenti in caso di violazioni gravi ai sistemi informatici.
Formazione interna per sensibilizzare il personale sulla sicurezza digitale.
Notifica all'ACN
In caso di un grave incidente informatico, un’azienda deve segnalare l’evento all’Agenzia per la Cybersicurezza Nazionale (ACN) attraverso un processo in tre fasi:
Notifica preliminare → Entro 24 ore dall’incidente.
Aggiornamento dettagliato → Entro 72 ore con una relazione approfondita.
Relazione finale → Entro un mese con l’analisi dell’incidente e le misure adottate.
Il mancato rispetto dell’obbligo di notifica può comportare sanzioni fino al 2% del fatturato annuo globale.
Registrazione obbligatoria: Il portale per la procedura di registrazione è disponibile al seguente link: ACN Portale.
La Cybersecurity è obbligatoria per tutte le Aziende?
La NIS2 si applica a medie e grandi imprese operanti nei settori regolamentati (es. chimico, logistica, infrastrutture digitali). Le piccole imprese (meno di 50 dipendenti o 10 milioni di fatturato) sono generalmente escluse, salvo casi specifici.
Tempi di Adeguamento
Il Decreto Legislativo stabilisce il seguente calendario di attuazione a partire da aprile 2025:
9 mesi per le notifiche
18 mesi per l’implementazione delle misure di sicurezza
