NIS2 QUALI PMISONO INTERESSATE?

Panoramica

NIS2 IN PRIMO PIANO: 18 SETTORI, CRITERI CHIARI E OBBLIGHI NASCOSTI 

18 settori critici, requisiti di sicurezza informatica più severi e sanzioni severe: la nuova direttiva UE NIS2 non riguarda solo le aziende dell'Unione Europea. Anche le PMI svizzere possono rientrare direttamente o indirettamente nel suo campo di applicazione, spesso senza saperlo. È giunto il momento di verificare se si è interessati dalla direttiva.

Con sanzioni fino a 10 milioni di euro o pari al 2% del fatturato annuo globale, l'UE invia un segnale chiaro con la direttiva NIS2: la sicurezza informatica non è più un optional. Da ottobre 2024 il nuovo quadro normativo sarà applicabile in tutti gli Stati membri dell'UE, con conseguenze di vasta portata anche per le aziende svizzere. Particolarmente rilevante: non sono interessati solo i grandi gruppi e le infrastrutture critiche. La direttiva si rivolge specificamente alle medie imprese con almeno 50 dipendenti. Anche chi collabora come fornitore con aziende dell'UE difficilmente potrà sottrarsi ai nuovi requisiti. Per molte PMI svizzere non si tratta quindi di decidere se, ma come attuare i requisiti NIS2.

NIS2: prima direttiva sulla sicurezza informatica con responsabilità per i dirigenti

Oltre alle sanzioni aziendali, note fin dal GDPR (2015), ora anche i dirigenti sono personalmente responsabili in caso di comprovata negligenza. Sono tenuti ad approvare misure di gestione dei rischi, a monitorarne l'attuazione e a segnalare gli incidenti di sicurezza alle autorità e ai partner, fornitori e clienti interessati.

Per adempiere a questi obblighi, i dirigenti devono partecipare regolarmente a corsi di formazione per essere in grado di valutare i rischi e le misure di sicurezza informatica. La violazione di questo obbligo di diligenza comporta sanzioni personali, il cui importo e tipo sono stabiliti dagli Stati membri, ma devono essere “efficaci, proporzionate e dissuasive”. In casi estremi, la direzione può anche essere sollevata dai propri compiti fino a quando non saranno state risolte le carenze riscontrate.

Ambito di applicazione diretto: panoramica dei criteri fondamentali

L'impatto della NIS2 sulle aziende svizzere può essere chiaramente delimitato: chiunque gestisca una filiale nell'UE o offra servizi IT in tale area è direttamente soggetto alla direttiva. Ciò vale per le aziende che nel 2024 realizzeranno un fatturato annuo superiore a 10 milioni di euro nell'UE o che vi impiegheranno più di 50 dipendenti. Le conseguenze sono di vasta portata: le aziende interessate devono introdurre una gestione sistematica dei rischi, effettuare regolari audit di sicurezza e segnalare gli incidenti di sicurezza entro 24 ore. Particolare attenzione è rivolta ai fornitori di servizi IT, ai provider di servizi cloud e alle aziende dei 18 settori critici.

Focus sulla catena di fornitura: riconoscere gli obblighi indiretti della NIS2

L'ambito di influenza della NIS2 va ben oltre le aziende direttamente regolamentate. In qualità di fornitori di aziende dell'UE, le PMI svizzere si trovano sempre più spesso a dover affrontare i requisiti della NIS2, anche senza un obbligo formale. Le grandi aziende dell'UE devono garantire la sicurezza informatica dell'intera catena di fornitura. In concreto, ciò significa che i fornitori svizzeri, ad esempio nell'industria automobilistica o nell'ingegneria meccanica, devono soddisfare gli standard di sicurezza più elevati. Dalla documentazione completa ai test di penetrazione regolari, queste prove sono già richieste di norma negli appalti dell'UE.

Controllo NIS2: analizzate i vostri rapporti commerciali con l'UE 

La verifica sistematica delle proprie attività nell'UE è il primo passo importante per chiarire se si è interessati dalla direttiva NIS2. A tal fine è necessario esaminare attentamente diversi aspetti aziendali.

  • Esiste una filiale nell'UE?
  • Vendite dirette nell'UE?
  • Fatturato annuo > 10 milioni di euro nell'UE?
  • > 50 dipendenti nell'UE?
  • Fornitore di settori critici dell'UE?
  • Parte di una catena di fornitura dell'UE?
  • Partecipazione a gare d'appalto dell'UE?
  • Servizi cloud per clienti dell'UE?

→ In caso di risposta affermativa, è necessario far verificare in dettaglio i propri obblighi NIS2.

ISG svizzero e NIS2: sfruttare le sinergie 

Per le PMI svizzere, la legge nazionale sulla sicurezza dell'informazione (LSI) offre una buona base di partenza per la NIS2. Entrambe le normative prevedono l'obbligo di segnalazione in caso di incidenti informatici e una gestione strutturata dei rischi. La NIS2 va però oltre: richiede misure tecniche specifiche e un ruolo attivo da parte della direzione aziendale. Sfruttate le sovrapposizioni per creare un programma di conformità integrato: risparmierete risorse e otterrete maggiore chiarezza.

Il vostro programma per l'attuazione della NIS2: come procedere in modo sistematico 

Particolare attenzione dovrebbe essere prestata alla creazione di un solido sistema di gestione dei rischi e di un efficace sistema di risposta agli incidenti. Anche la documentazione delle misure adottate e la formazione regolare dei collaboratori sono fattori chiave per il successo.

Il secondo passo si concentra sulle misure tecnico-organizzative. In questo caso è fondamentale creare un solido sistema di gestione degli incidenti di sicurezza: implementate processi chiari per l'obbligo di segnalazione 24 ore su 24 in caso di incidenti di sicurezza. Stabilite una gestione sistematica dei rischi che tenga conto dei requisiti specifici della NIS2. Non dimenticate la catena di fornitura: anche i vostri fornitori devono essere coinvolti.

Il terzo passo riguarda la struttura di governance. La NIS2 richiede un ruolo attivo da parte della direzione aziendale, dall'approvazione delle misure di sicurezza alla verifica periodica della loro efficacia. Definite responsabilità e procedure di escalation chiare. Particolarmente importante: documentate in modo completo tutte le decisioni e le misure adottate.

Infine, dovete coinvolgere i vostri collaboratori. La formazione regolare non è solo un requisito NIS2, ma anche la chiave del successo. Sviluppate un programma di sensibilizzazione che comunichi in modo comprensibile i nuovi requisiti e li integri nel lavoro quotidiano.

POSIZIONARE ORA LE BASI PER LA CONFORMITÀ NIS2 

La direttiva NIS2 pone le PMI svizzere di fronte a nuove sfide, ma offre anche delle opportunità. Chi agisce in modo sistematico non solo può attuare i requisiti in modo efficiente, ma anche portare la propria sicurezza informatica a un nuovo livello. MTF Solutions vi supporta in questo processo con una collaudata procedura in tre fasi:

  • NIS2 QuickCheck: in un primo colloquio analizziamo la vostra situazione specifica. Siete interessati direttamente o indirettamente dalla NIS2? Quali requisiti sono rilevanti per voi? A che punto siete oggi?
  • Analisi delle lacune e roadmap: i nostri esperti identificano sistematicamente le lacune tra la situazione attuale e quella desiderata. Riceverete una roadmap su misura con raccomandazioni concrete, priorità e scadenze.
  • Assistenza all'implementazione: su richiesta, vi supportiamo nell'implementazione concreta, dalla realizzazione tecnica alla progettazione dei processi fino alla formazione dei collaboratori.
     

NIS2: è ora di agire, anche per le PMI svizzere

La direttiva UE NIS2 riguarda più aziende svizzere di quanto possa sembrare a prima vista. Non solo le PMI con attività dirette nell'UE devono agire, ma anche i fornitori e i partner commerciali delle aziende dell'UE sono sempre più chiamati a soddisfare i più severi standard di sicurezza informatica. È evidente che la NIS2 è più di un obbligo normativo. La direttiva offre l'opportunità di portare sistematicamente la propria sicurezza informatica a un nuovo livello e di ottenere così anche un vantaggio competitivo.

Panoramica dei punti salienti:

  • L'impatto va ben oltre l'ambito di applicazione formale.
  • Le PMI svizzere nelle catene di fornitura dell'UE devono prepararsi.
  • L'attuazione richiede un approccio sistematico.
  • È possibile sfruttare le sinergie con la legge svizzera sulla sicurezza informatica (LIS).
  • Agire tempestivamente offre dei vantaggi.
     

Fate il primo passo verso la conformità alla NIS2

Analizziamo insieme il vostro grado di coinvolgimento nella NIS2. I nostri esperti vi supporteranno con la loro esperienza pratica e soluzioni collaudate, dalla prima analisi all'attuazione di successo. Fissate subito un primo colloquio gratuito!

CONTATTACI ORA

FAQ 

  1. Come PMI svizzera senza una filiale nell'UE, rientriamo nella normativa NIS2?
    Formalmente non direttamente. Tuttavia, non appena diventi fornitore o partner di un'azienda dell'UE che a sua volta rientra nella normativa NIS2, sei indirettamente interessato. Molti clienti dell'UE richiedono già alle PMI svizzere la prova della sicurezza informatica.
     
  2. Quali settori svizzeri sono particolarmente interessati dalla normativa NIS2?
    Le principali interessate sono le PMI che lavorano con settori critici dell'UE: energia, trasporti, sanità, servizi IT, ingegneria meccanica, fornitori del settore automobilistico o servizi cloud. Anche le aziende svizzere senza una sede centrale diretta nell'UE possono rientrare nell'ambito di applicazione tramite la loro catena di fornitura.
     
  3. Quali criteri determinano se la mia PMI svizzera è direttamente interessata dalla direttiva NIS2?
    La direttiva si applica alle aziende con 50 dipendenti o un fatturato annuo superiore a 10 milioni di euro nell'UE, a condizione che operino in uno dei 18 settori critici o vi forniscano servizi.
     
  4. Cosa significa "impatto indiretto" per le PMI svizzere?
    Molte PMI svizzere forniscono aziende dell'UE. Queste aziende devono dimostrare che l'intera catena di fornitura è sicura e trasferire i requisiti NIS2 ai propri partner. Ciò crea un obbligo di fatto, anche in assenza di una regolamentazione diretta.
     
  5. Quali sanzioni devono affrontare le PMI svizzere in caso di emergenza?
    Se la tua PMI opera direttamente nell'UE, possono essere imposte sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo globale. Anche i dirigenti sono personalmente responsabili. Le PMI indirettamente interessate rischiano di perdere contratti se non soddisfano i requisiti NIS2.
     
  6. Quali responsabilità ha il management nelle PMI svizzere?
    Il management aziendale deve approvare e monitorare le misure di sicurezza, segnalare gli incidenti e partecipare regolarmente alla formazione sulla sicurezza informatica. NIS2 richiede pertanto un coinvolgimento attivo, anche da parte dei manager svizzeri con attività nell'UE. Sono personalmente responsabili per le violazioni della due diligence, fino a multe o alla rimozione temporanea dall'incarico.
     
  7. La legge svizzera sulla sicurezza dell'informazione (ISG) non è già sufficiente?
    L'ISG fornisce una buona base, poiché stabilisce anche obblighi di segnalazione e gestione del rischio. NIS2, tuttavia, va oltre: richiede misure tecniche più dettagliate, un maggiore coinvolgimento del management e tiene conto dell'intera catena di approvvigionamento.
     
  8. Come dovrebbero le PMI svizzere iniziare a utilizzare NIS2 e quali opportunità offre?
    Innanzitutto, eseguite una rapida verifica delle vostre relazioni con l'UE: ci sono clienti, filiali o catene di approvvigionamento nell'UE? Successivamente, consigliamo di condurre un'analisi delle lacune con chiare fasi d'azione, dalla gestione del rischio alla formazione dei dipendenti. Chi opera in conformità con NIS2 aumenta la propria resilienza informatica, segnala affidabilità ai partner dell'UE e migliora le proprie possibilità nelle gare d'appalto dell'UE.

Anche interessante 

Direttiva NIS2Perché le PMI dovrebbero rivedere subito la propria IT

Altro

Controllo disicurezza

Altro
Panoramica

Avete Domande?

Rubén Saiz
Managing Director Liechtenstein, St. Gallen & Chur
+41 81 250 53 00
[email protected]