Il Digital Service Act, in vigore dal 17 febbraio 2024, non sarà applicabile per tutti, ma solo per i c.d. “pesci grossi”, che di dati personali e no, ne mangiano in gran quantità. In particolare, la normativa si applica ai soggetti che gestiscono grandi piattaforme online o grandi motori di ricerca (dove la grandezza è data dal numero di utenti che li utilizzano) (VLOPE/VLOSE), coloro che forniscono le piattaforme online, per i fornitori dei servizi di memorizzazione, coloro che rendono servizi di caching e di mere conduit. Questi ultimi sono unicamente obbligati ad istituire un punto unico di contatto per autorità ed utenti ed a rendere pubblica annualmente la relazione di trasparenza.
Per quanto riguarda invece i fornitori di piattaforme online, non si applicano qualora siano microimprese o piccole imprese, sulla base dell’applicazione dei parametri stabiliti dalla Commissione Europea con raccomandazione 2003/361/CE. Quindi se siete microimprese o piccole imprese sulla base di tali criteri, potrete dormire sonni tranquilli.
Invece per quanto riguarda l’applicazione del NIS2, come già detto nel precedente articolo (rinvio al link), rispetto al NIS1, si è ampliato l’ambito di applicazione: non più solo le aziende operanti nei settori altamente critici/essenziali, ma anche soggetti parimenti qualificati come critici, prevedendo in particolar modo due tipi di settori, quelli definiti essenziali (energetico: elettrico, oil and gas, riscaldamento, idrogeno; settore sanitario: produttori di dispositivi medicali, laboratori, R&D, settore farmaceutico; trasporti: aereo, nautico, ferroviario e stradale; acque e acque di scarico; infrastrutture digitali; P.A.; settore spaziale) e quelli definiti importanti ( settore postale e più in generale di spedizione; gestione/trattamento dei rifiuti; settore chimico: produzione e distribuzione; settore alimentare: approvvigionamento, inclusa anche la grande distribuzione; industrie tecnologiche e ingegneristiche; servizi digitali: social network e servizi di data center; ricerca scientifica)
Importante è sottolineare però che tale direttiva si applica solo alle organizzazioni di medie e grandi dimensioni rientrano e precisamente: grandi organizzazioni, con più di 250 dipendenti e medie organizzazioni, con 50-250 dipendenti.
Per essere aderenti alla NIS2, l’azienda dovrà: stabilire un solido quadro di governance della cyber security, implementare una formazione regolare di sensibilizzazione dei dipendenti, stabilire un piano completo di risposta agli incidenti, condurre valutazioni periodiche del rischio, stabilire la sicurezza della catena di approvvigionamento, aggiornare e applicare regolarmente patch all’infrastruttura e alle applicazioni, utilizzare i giusti strumenti di identificazione delle minacce, implementare il monitoraggio delle minacce e svolgere attività di intelligence, implementare una solida sicurezza della rete e degli endpoint, condurre controlli di sicurezza regolari.
Ma cosa rischia l’azienda se non applica tale direttiva? Le società definite fornitrici di servizi essenziali sono soggette a multe fino a 10 milioni di euro o al 2% del loro fatturato annuo globale, mentre quelle fornitrici di servizi importanti sono soggette a multe fino a 7 milioni di euro o all’1,4% del loro fatturato annuo globale.
Purtroppo, i rischi in ambito cybersecurity sono in costante aumento e iniziare a prevenire è il miglior metodo, al momento, per evitare non solo dei danni diretti, ma anche collaterali, visto che le normative si fanno sempre più stringenti e obbligatorie per tutti. Infatti, le società che hanno già implementato procedure di sicurezza adeguate hanno buone basi per adempiere a quanto richiesto dalla Direttiva NIS2, considerando che la valutazione e la gestione dei rischi informatici dovrebbero già essere state affrontate attraverso la compliance al GDPR o l’adozione di standard ISO (i.e.: 27001).
Quindi un consiglio cara azienda noi te lo vogliamo dare: non fare domani quello che puoi fare oggi, perché domani potresti anche tu essere sommerso da una normativa che prima non ti apparteneva. L’evoluzione tecnologica, così come i rischi cyber. Per questo motivo, prendi in mano la situazione e inizia a creare anche il tuo sistema di compliance aziendale con le certificazioni ISO.
Per garantire la massima sicurezza e conformità normativa nella gestione dei servizi informatici della tua azienda, contattaci oggi stesso per richiedere un preventivo personalizzato. Siamo qui per supportarti nella tua strategia di compliance e protezione dei dati.
Commenti recenti