La Svizzera, pur non essendo membro dell’Unione Europea, deve considerare attentamente l’impatto che la NIS2 può avere sulle proprie aziende, specialmente quelle che operano in stretta collaborazione con il mercato europeo. Sebbene la NIS2 non sia obbligatoria per le aziende svizzere, essa rappresenta un’importante opportunità per migliorare la sicurezza informatica e aumentare la competitività internazionale.
Ricordiamo che la Svizzera dispone già di un proprio quadro normativo sulla sicurezza informatica, che include la LSIN (Legge sulla Sicurezza delle Informazioni e delle Reti), recentemente introdotta per garantire la sicurezza delle infrastrutture critiche e della rete nazionale.
La LSIN, entrata in vigore il 1° gennaio 2024, stabilisce le linee guida per la sicurezza delle informazioni e delle reti in Svizzera. Questa legge impone alle aziende svizzere che gestiscono infrastrutture critiche l’adozione di misure preventive e la notifica degli incidenti informatici al Centro nazionale per la cibersicurezza (NCSC).
Sebbene la LSIN offra una solida base per la sicurezza informatica in Svizzera, la crescente cooperazione tra la Svizzera e l’UE rende rilevante per molte aziende svizzere considerare anche la NIS2, che impone requisiti simili, ma con un focus più ampio e armonizzato a livello europeo.
La direttiva NIS2 richiede alle aziende coinvolte di adottare misure rigorose per la prevenzione e gestione degli incidenti informatici, con l’introduzione di obblighi di notifica per le violazioni di sicurezza e pene severe in caso di non conformità.
Sebbene queste regole si applichino direttamente solo agli Stati membri dell’UE, la domanda che sorge per le aziende svizzere è: come dovrebbero rapportarsi a questa direttiva?
Esistono situazioni in cui un’azienda svizzera potrebbe trovarsi a valutare l’applicazione della NIS2, specialmente quando opera in stretta connessione con il mercato europeo o fornisce servizi che rientrano nell’ambito della direttiva. Di seguito alcuni esempi:
- Aziende che forniscono servizi essenziali a partner europei soggetti alla NIS2:
Ad esempio, se un’azienda svizzera fornisce servizi di gestione IT o infrastrutture critiche a una società europea soggetta alla NIS2, quest’ultima potrebbe richiedere che i suoi partner rispettino gli stessi standard di sicurezza per garantire la propria conformità normativa.
- Aziende fornitrici di servizi digitali e tecnologici:
Se un’azienda svizzera fornisce servizi digitali e tecnologici (es. Provider di cloud computing, Data center) a entità all’interno dell’UE, o se svolge un ruolo critico nella fornitura di infrastrutture digitali (ad esempio un grande data center che ospita dati europei), potrebbe essere richiesta la conformità agli standard di sicurezza NIS2. Le imprese europee potrebbero pretendere la conformità alla NIS2 per garantire l’affidabilità delle loro operazioni e servizi, specialmente per la gestione di dati sensibili.
- Quando la società madre è nell’UE:
Se la società svizzera è idealmente soggetta alla NIS2, ma la società madre non lo è, la filiale svizzera potrebbe trovarsi in una posizione di dover rispettare le normative europee senza che la società madre sia formalmente vincolata dalla stessa direttiva. Se la società svizzera è soggetta alla NIS2, ad esempio perché opera in settori regolamentati (come energia, finanza, trasporti, sanità o infrastrutture digitali) o partecipa a una supply chain critica nell’UE, essa potrà essere direttamente responsabile per la conformità agli obblighi della direttiva. Ciò significa che l’azienda dovrà:
- Implementare misure di sicurezza informatica conformi alla NIS2, tra cui la gestione del rischio e la protezione contro attacchi informatici.
- Notificare tempestivamente gli incidenti di sicurezza alle autorità competenti nell’UE.
- Designare un rappresentante NIS2, se richiesto, per garantire la conformità normativa e la comunicazione con le autorità europee.
Anche se la società madre non è soggetta alla NIS2, la filiale svizzera dovrà agire indipendentemente per assicurarsi di rispettare tutti gli obblighi previsti dalla direttiva.
- Aziende svizzere con filiali o succursali all’interno dell’UE
Se una filiale o succursale di un’azienda svizzera opera in uno degli Stati membri dell’UE e fornisce servizi essenziali o digitali, quella filiale sarà direttamente soggetta alla NIS2 (si tengano in considerazione anche i criteri di fatturato o bilancio annuo [non superiore a 10 milioni di euro] e livelli occupazionali [fino a 50 persone]). Anche se la sede centrale è in Svizzera, la filiale UE dovrà rispettare gli obblighi imposti dalla NIS2, tra cui l’adozione di misure di sicurezza informatica e la notifica degli incidenti.
In questi casi, la conformità alla NIS2 potrebbe coinvolgere indirettamente anche la sede centrale in Svizzera, specialmente se la filiale dipende da infrastrutture IT o servizi forniti dalla sede madre. In tal caso, un approccio coordinato alla sicurezza informatica potrebbe richiedere la conformità all’intero ecosistema aziendale, sia dentro che fuori l’UE.
- Fornitori di servizi di infrastrutture critiche
Le aziende che forniscono servizi infrastrutturali critici o che operano in settori strettamente regolamentati come la difesa, la sanità e le telecomunicazioni potrebbero essere soggette alla NIS2 se forniscono questi servizi o collaborano con aziende europee regolamentate. Questo include aziende che offrono servizi di cybersecurity, monitoraggio delle reti o fornitura di tecnologie strategiche legate alla gestione delle infrastrutture critiche europee.
Ad esempio, un’azienda svizzera che fornisce soluzioni di cybersecurity per il settore energetico in Europa potrebbe essere richiesta di adottare gli stessi standard di sicurezza previsti dalla NIS2, anche se non ha sede legale nell’UE.
- Aziende coinvolte in supply chain critiche europee
La NIS2 potrebbe espandere il suo ambito anche alle catene di approvvigionamento. Un’azienda svizzera che opera come fornitore all’interno di una supply chain strategica per un’azienda europea in settori chiave potrebbe essere coinvolta. Ad esempio, se un’azienda svizzera produce componenti critici o fornisce servizi a una grande azienda europea del settore finanziario o energetico, potrebbe essere soggetta alle richieste di conformità alla NIS2 da parte del cliente europeo.
In particolare, le forniture IT o tecnologiche a infrastrutture critiche o a grandi fornitori di servizi digitali europei (ad esempio software di gestione dei dati, reti di telecomunicazione o hardware strategico) potrebbero far scattare richieste di conformità, per garantire che l’intera catena di approvvigionamento sia sicura.
- Aziende che forniscono servizi finanziari o fintech all’UE
La NIS2 impone obblighi stringenti agli operatori del settore finanziario, comprese banche e altre istituzioni che offrono servizi correlati. Le aziende svizzere che forniscono servizi finanziari, soluzioni fintech o infrastrutture finanziarie a clienti europei potrebbero dover adottare le misure previste dalla NIS2, per garantire la sicurezza delle operazioni e la protezione contro attacchi cyber nei settori finanziari europei.
- Aziende con clienti europei regolamentati dalla NIS2
Anche se un’azienda svizzera non è direttamente obbligata dalla NIS2, potrebbe essere tenuta a rispettarne gli standard a causa di richieste contrattuali da parte di clienti europei che sono soggetti alla direttiva. Molti clienti europei nei settori regolamentati (sanità, energia, finanza) potrebbero richiedere ai loro fornitori svizzeri di adottare misure di sicurezza informatica equivalenti a quelle previste dalla NIS2, come condizione per la continuazione della collaborazione commerciale.
E cosa possiamo dire sulla figura del Rappresentante prevista dalla NIS2? Come possiamo inserirla nel contesto esposto?
Se un’azienda svizzera decide di aderire alla NIS2 per operare in conformità con gli standard di sicurezza dell’Unione Europea, deve tenere conto di un obbligo fondamentale: la nomina di un rappresentante nell’UE.
La NIS2 stabilisce che le aziende con sede al di fuori dell’Unione Europea, ma che offrono servizi o operano in settori regolamentati dalla direttiva all’interno dell’UE, devono designare un rappresentante legale con sede in uno degli Stati membri dell’UE. Questo rappresentante è responsabile di interagire con le autorità di vigilanza e garantire che l’azienda rispetti tutti gli obblighi previsti dalla NIS2.
Il rappresentante designato è il punto di contatto ufficiale tra l’azienda svizzera e le autorità competenti dell’UE.
- Garantisce che l’azienda rispetti i requisiti di sicurezza previsti dalla NIS2.
- Coordina la segnalazione degli incidenti di sicurezza informatica alle autorità dell’UE.
- Assicura che l’azienda risponda tempestivamente alle richieste di informazioni da parte delle autorità.
- Monitora l’implementazione delle misure di gestione del rischio e garantire che vengano adottate le necessarie misure tecniche e organizzative per prevenire incidenti.
La Svizzera, attraverso la LSIN, ha già dimostrato un forte impegno per la sicurezza informatica a livello nazionale, ma la crescente integrazione economica con l’UE potrebbe portare a una maggiore collaborazione tra le autorità di sicurezza informatica. La nomina di un rappresentante nell’UE può facilitare questa collaborazione e garantire che le aziende svizzere siano in linea con le aspettative normative europee.
La compliance, la sicurezza informatica e l’intelligenza artificiale stanno ridefinendo il panorama aziendale. Non restare indietro: affidati a LabCode, marchio di Privacy Desk Suisse, dove professionisti ed esperti di compliance aziendale ti guidano nella trasformazione digitale della tua azienda in totale sicurezza.
