NIS2: verso un nuovo paradigma per la Sicurezza Integrata

di Roberto Sammarchi - Avvocato Specialista in diritto dell’informazione, della comunicazione digitale e della protezione dei dati personali, Consigliere nazionale AIAS – Associazione Italiana Ambiente e Sicurezza

L’innovazione tecnologica sta ridefinendo i parametri di sicurezza nei luoghi di lavoro, imponendo l’adozione delle nuove tecnologie per la riduzione dei rischi. La normativa in materia di sicurezza sul lavoro, in particolare il T.U. Sicurezza (Art. 15), prevede che i soggetti garanti adottino tutte le misure idonee per eliminare o ridurre i rischi al minimo, secondo le conoscenze acquisite dal progresso tecnico. Ciò significa che l’adozione di tecnologie avanzate come l’intelligenza artificiale e l’internet delle cose diventa un obbligo legale. La non adozione di tali approcci configura una condotta omissiva, rilevante ai sensi dell’art. 40, comma secondo, del Codice Penale, secondo il quale non impedire un evento che si ha l’obbligo giuridico di impedire equivale a causarlo.

Nel contesto lavorativo attuale, caratterizzato dall’avanzamento delle tecnologie digitali e dell’intelligenza artificiale, l’integrazione tra sicurezza digitale e fisica è cruciale. Le minacce alla sicurezza delle persone, dei processi produttivi e della gestione aziendale sono sempre più complesse e richiedono un approccio integrato. L’Unione Europea, con la direttiva NIS2, mira a rafforzare la sicurezza digitale, esigendo che gli Stati membri attuino misure concrete entro ottobre 2024. Questo impegno richiede una sinergia tra capacità gestionali e competenze tecnico-scientifiche per affrontare le nuove minacce globali.

NIS2: panoramica

La direttiva (UE) 2022/2555 del Parlamento Europeo e del Consiglio, nota come NIS2, stabilisce un quadro normativo per migliorare la sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea. Le principali aree di intervento includono:

• risposta agli incidenti e gestione dei rischi - gli enti inclusi nella direttiva devono adottare misure appropriate per gestire i rischi per la sicurezza delle loro reti e sistemi informativi e segnalare incidenti gravi alle autorità nazionali competenti;

• misure di sicurezza e conformità - la direttiva impone misure tecniche e organizzative dettagliate per garantire un alto livello di sicurezza, con un’enfasi particolare sulla resilienza agli attacchi cibernetici;

• sanzioni - introduce sanzioni severe per il mancato rispetto degli obblighi, con l’obiettivo di rendere le misure di sicurezza più efficaci e dissuasive.

NIS2 e sicurezza fisica: silenzio apparente

La NIS2 si concentra sulla sicurezza delle reti e dei sistemi informativi, ma sostiene un approccio di sicurezza integrata che comprende anche la protezione delle infrastrutture critiche, la cooperazione e lo scambio di informazioni, le misure di emergenza e la continuità operativa. La direttiva deve essere letta in modo integrato con le altre normative europee in materia di resilienza dei prodotti con elementi digitali e di responsabilità per danno da prodotto.

NIS2 e Assicurazione dei rischi: nuove sfide

La direttiva NIS2 impone nuove sfide per quanto riguarda le coperture assicurative, soprattutto per le organizzazioni che operano in settori essenziali o forniscono servizi digitali critici. L’introduzione di requisiti più stringenti di sicurezza e notifica obbliga le aziende a rivedere le proprie politiche assicurative per coprire potenziali rischi e sanzioni. Gli obblighi di resilienza e continuità operativa spingono le aziende a cercare polizze che offrano copertura per perdite finanziarie causate da interruzioni di attività dovute ad attacchi informatici o altri incidenti di sicurezza. Inoltre, le aziende potrebbero essere ritenute responsabili per danni derivanti dalla mancata protezione adeguata dei dati o dalla mancata prevenzione di attacchi cibernetici, rendendo necessarie polizze di assicurazione che coprano tali eventualità.

Quadro sanzionatorio e violazioni specifiche

Gli Stati membri devono stabilire regole su sanzioni per le violazioni della direttiva, assicurando che queste siano effettive, proporzionate e dissuasive. Le sanzioni finanziarie possono raggiungere un massimo di 10 milioni di euro o il 2% del fatturato annuo totale dell’ente infrangente, a livello mondiale. Le violazioni che possono portare a sanzioni includono la mancata attuazione delle misure di sicurezza adeguate, la mancata notifica tempestiva degli incidenti, il non rispetto delle disposizioni relative alla gestione del rischio e alla segnalazione degli incidenti. In alcuni casi, possono essere imposte sanzioni giornaliere fino alla risoluzione della non conformità. Gli Stati membri possono anche prevedere l’obbligo di dichiarazioni pubbliche riguardo alle non conformità.

Per concludere

La cybersicurezza richiede competenze integrate per creare società, ambienti di lavoro, sistemi di produzione e prodotti più sicuri. L’attenzione alla cybersicurezza può contribuire significativamente al miglioramento della cultura della sicurezza nella società e nelle organizzazioni.