Nel gennaio 2023 gli Stati Membri dell’UE hanno formalmente emanato una revisione della Direttiva sulla sicurezza delle reti e dei sistemi informatici (Network and Information Systems – NIS) del 2016.
Concepita in risposta a diversi attacchi cyber ampiamente pubblicizzati e dannosi, la Direttiva NIS2 rafforza i requisiti di sicurezza, razionalizza gli obblighi di reportistica e introduce misure di supervisione più rigide e requisiti di applicazione più rigorosi.
Per imprenditori, CEO e tecnici informatici, comprendere la NIS2 è fondamentale per proteggere la propria azienda dai rischi informatici e dalle sanzioni imposte in caso di mancato adempimento.
Cos’è la Direttiva NIS2?
La Direttiva NIS2, o Direttiva sulla sicurezza delle reti e delle informazioni, è un aggiornamento legislativo dell’Unione Europea che amplia e rafforza la Direttiva NIS del 2016.
Include nuovi settori vitali, stabilisce requisiti più rigorosi, e promuove una cooperazione più stretta tra gli Stati Membri.
Si tratta di un aggiornamento legislativo sviluppato e adottato dalle istituzioni dell’UE, in particolare la Commissione Europea, il Parlamento Europeo e il Consiglio dell’Unione Europea.
L’obiettivo della Direttiva è rafforzare la cybersecurity all’interno dell’UE, soprattutto nei settori critici, rispondendo alle nuove sfide poste dall’evoluzione del panorama digitale e delle minacce.
Trattandosi di una direttiva e non di un regolamento (com’è, ad esempio, il GDPR) necessita di essere recepita da tutti gli Stati Membri entro un certo periodo prestabilito, in questo caso entro il 18 ottobre 2024, sviluppando piani nazionali per la sicurezza e team specializzati per mettere in atto la direttiva.
La Direttiva NIS2 va ad integrarsi con le varie normative e linee guida Europee in tema di protezione dati e privacy, prima fra tutte il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (GDPR) ma, anche il Regolamento DORA, la Direttiva CER, il Cyber Resilience Act e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.
La NIS2 prevede inoltre l’introduzione di nuove categorie di operatori dei servizi essenziali (OSE) e fornitori di servizi digitali (DSP).
L’oggetto della Direttiva
L’oggetto della Direttiva sulla sicurezza delle reti e delle informazioni (NIS2) è di stabilire un quadro legale comune all’interno dell’Unione Europea per garantire un livello elevato di sicurezza delle reti e dei sistemi informativi.
Di seguito, sono riassunti gli aspetti chiave dell’oggetto della Direttiva NIS2:
Ampliamento dell’ambito di applicazione
Estende l’ambito di applicazione delle norme in materia di cibersicurezza a nuovi settori vitali e ad entità pubbliche e private, inclusi i fornitori di servizi digitali come motori di ricerca e servizi di cloud computing.
Requisiti di sicurezza
Impone agli Stati Membri di garantire che le organizzazioni all’interno dei settori specificati adottino misure di sicurezza adeguate e notifichino agli enti competenti gli incidenti gravi.
Cooperazione tra gli Stati Membri
Promuove una cooperazione più stretta tra gli Stati Membri attraverso il Gruppo di Cooperazione NIS e la rete di risposta agli incidenti, facilitando la condivisione delle informazioni e una risposta coordinata agli incidenti su larga scala.
Sanzioni e penali
Stabilisce che gli Stati Membri devono avere regimi di sanzioni efficaci, proporzionati e dissuasivi per la non conformità.
Piani di risposta
Richiede la creazione di piani di risposta agli incidenti e l’analisi regolare delle vulnerabilità e delle minacce.
Impatto sulle aziende
La Direttiva NIS2 ha un impatto diretto sulle aziende, richiedendo la conformità e fornendo potenziali opportunità in termini di reputazione e competitività.
Rafforzamento della resilienza complessiva
La Direttiva ha come obiettivo generale il rafforzamento della resilienza e delle capacità di risposta agli incidenti di sicurezza informatica all’interno dell’UE, migliorando la preparazione, la cultura della sicurezza, e la cooperazione tra gli Stati Membri.
A chi si rivolge la NIS2
La Direttiva NIS2 si applica a:
- Operatori di servizi essenziali (OSE)
- Fornitori di servizi digitali importanti
- Fornitori di servizi governativi
Vediamoli nel dettaglio.
La categoria dei fornitori di servizi digitali importanti nella Direttiva NIS2 include un insieme di entità che offrono servizi digitali essenziali all’interno del mercato unico.
Questi possono variare in base alle specifiche implementazioni nazionali, ma generalmente includono:
- Motori di ricerca;
- Servizi di cloud computing;
- Mercati online;
- Social network;
- Altri servizi digitali strategici che potrebbero essere considerati vitali per l’economia e la società, a seconda delle decisioni nazionali e dell’evoluzione del panorama digitale.
I fornitori di servizi governativi menzionati nella Direttiva NIS2 si riferiscono alle entità governative e alle organizzazioni pubbliche che forniscono servizi essenziali all’interno degli Stati Membri dell’Unione Europea.
Questi servizi possono coprire una vasta gamma di settori, e i soggetti possono includere:
- Ministeri e dipartimenti governativi;
- Agenzie governative;
- Enti locali;
- Servizi di emergenza;
- Istituzioni di istruzione pubblica;
- Ospedali e servizi sanitari pubblici;
- Fornitori di infrastrutture critiche, come energia, acqua e trasporti, se sono di proprietà o gestite dal Governo.
La Direttiva NIS2 richiede che questi fornitori di servizi governativi adottino misure adeguate per garantire la sicurezza delle reti e delle informazioni, data la loro importanza critica per la funzione pubblica e la sicurezza della società.
L’obiettivo è migliorare la resilienza complessiva dell’UE contro gli incidenti e le minacce alla cybersecurity, riconoscendo che le entità governative svolgono un ruolo chiave nel mantenimento della stabilità e del benessere della società.
Gli obblighi imposti dalla Direttiva
La Direttiva NIS2 impone ai soggetti ai quali si rivolge specifiche azioni da attuare per elevare il proprio livello di resilienza cyber.
Di seguito un elenco sintetico:
