Protezione del know-how: un’urgenza strategica nell’era della cybersecurity. Il ruolo della direttiva NIS2

Scritto da Margherita Stucchi

In un contesto economico sempre più competitivo e digitalizzato, il know-how rappresenta uno degli asset più preziosi per le imprese. Non si tratta solo di dati o informazioni tecniche, ma di quell’insieme di conoscenze, competenze, processi e pratiche che costituiscono il cuore pulsante dell’innovazione e del vantaggio competitivo di un’azienda. Tuttavia, la protezione di questo patrimonio intangibile è spesso sottovalutata o lasciata alla buona volontà dei singoli.

La recente direttiva europea n. 2022/2555, meglio nota come NIS2 (Network and Information Security Directive), recepita in Italia con il D.Lgs. 138/2024, rappresenta un’occasione importante per ripensare in chiave strategica le politiche di sicurezza informatica e, più in generale, la tutela del know-how aziendale.

Cosa cambia con NIS2?

Rispetto alla precedente NIS (2016), la nuova direttiva amplia il campo di applicazione includendo un numero significativamente maggiore di soggetti, in particolare nei settori critici come energia, trasporti, sanità, gestione delle acque, ma anche manifattura e servizi digitali. Le imprese interessate sono chiamate ad adottare misure tecniche e organizzative adeguate per prevenire e gestire gli incidenti di sicurezza informatica.

Tra gli aspetti più rilevanti introdotti da NIS2 vi è l’obbligo di:

  • disporre di una gestione dei rischi legati alla sicurezza dei sistemi informativi;

  • notificare incidenti significativi alle autorità competenti;

  • attuare policy di governance e formazione per la sicurezza;

  • garantire la continuità operativa e la resilienza digitale.

Rischi della sottrazione o compromissione del know-how aziendale

Il know-how aziendale è esposto a diversi rischi, non solo informatici ma anche umani e organizzativi: fughe di informazioni, attacchi ransomware, spionaggio industriale, comportamenti colposi o dolosi da parte di dipendenti o collaboratori.

La sottrazione o la compromissione del know-how aziendale – ad esempio attraverso accessi non autorizzati ai sistemi, perdita di dati strategici o violazioni della riservatezza – può configurare un "incidente significativo" ai sensi della direttiva NIS2. Ciò comporta l’obbligo di notifica alle autorità competenti (in Italia, l’ACN – Agenzia per la Cybersicurezza Nazionale) entro termini stringenti (generalmente 24 ore dalla rilevazione).

Il mancato adempimento a tali obblighi può generare conseguenze rilevanti per l’organizzazione, tra cui:

  • Sanzioni amministrative fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato annuo mondiale;

  • Responsabilità del management: i dirigenti possono essere ritenuti direttamente responsabili in caso di inadeguate misure di prevenzione o mancato coordinamento;

  • Danni reputazionali significativi, soprattutto se l’incidente diventa pubblico o coinvolge clienti/partner;

  • Obbligo di misure correttive imposte dalle autorità, fino alla sospensione temporanea di alcune attività.

Questi elementi rafforzano la necessità per le imprese di integrare la protezione del know-how all’interno del proprio sistema di gestione dei rischi informatici, trattandola non come un aspetto marginale, ma come un vero e proprio pilastro della compliance e della resilienza aziendale.

Come limitare i rischi?

Al fine di limitare i rischi di sottrazione o compromissione di know how ed evitare quindi le conseguenze sopra descritte, è necessario adottare policy strutturate che prevedano:

  • Classificazione delle informazioni sensibili, comprese quelle non brevettate ma strategiche;

  • Controlli di accesso e tracciamento delle attività su documenti e sistemi;

  • Formazione continua del personale su sicurezza e riservatezza;

  • Clausole contrattuali a tutela della proprietà intellettuale e della segretezza;

  • Piani di gestione degli incidenti e di risposta agli attacchi.

La protezione del know-how non è più un tema da relegare ai dipartimenti legali o IT, ma una priorità trasversale che coinvolge il vertice aziendale, la compliance, le risorse umane e tutti i livelli operativi.

Un’occasione da cogliere

La NIS2 può essere letta non solo come un adempimento normativo, ma come uno stimolo a investire nella cultura della sicurezza e nella valorizzazione del capitale intellettuale dell’impresa. Le aziende che sapranno integrare efficacemente le misure di protezione del know-how nei propri sistemi di sicurezza informatica saranno più resilienti, più credibili sul mercato e meglio preparate ad affrontare le sfide della transizione digitale.

In un’epoca in cui i dati sono il nuovo oro, proteggere il proprio sapere significa difendere il futuro dell’impresa.

 

Margherita Stucchi
Indietro

Il Tribunale UE sulle pre-divulgazioni del titolare del design
Avanti

Tutela del know-how: la “descrizione” richiede il fumus della titolarità e della violazione di segreti commerciali in senso stretto (ord. Trib. delle Imprese di Milano del 10/12/2024)