Direttiva NIS2: le regole per la Cybersicurezza in Europa

La Direttiva NIS2 ovvero Network & Information Security è la Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148.
La sua approvazione è prevista entro il 17 ottobre 2024 e prevede misure giuridiche per rafforzare il livello generale di cibersicurezza nell’UE.
Vediamo come.

Direttiva NIS2: come cambia la Cybersecurity

Nel 2016 l’UE ha introdotto il primo pacchetto di norme relative alla Cybersicurezza aggiornate nel 2022 dalla Direttiva NIS2, entrata in vigore nel 2023 con l’obiettivo di tenere il passo con la maggiore digitalizzazione del Paese e con un panorama in evoluzione per le tante minacce alla cibersicurezza. Obiettivo: migliorare ulteriormente la resilienza e le capacità di risposta agli incidenti degli enti pubblici e privati, delle autorità competenti e dell’UE nel suo complesso.

La direttiva sulle misure per un livello comune elevato di cibersicurezza in tutta l’Unione impone agli Stati:

• identificazione delle imprese che siano operatori di servizi essenziali e che dovranno adottare misure di sicurezza adeguate e notificare alle autorità nazionali competenti gli incidenti gravi. I
• allestimento di un team di risposta agli incidenti di sicurezza informatica (CSIRT) e un’autorità nazionale competente in materia di reti e sistemi informativi (NIS);
• cooperazione tra tutti gli Stati membri, istituendo un gruppo di cooperazione per sostenere e facilitare la cooperazione strategica e lo scambio di informazioni tra gli Stati membri.
• una cultura della sicurezza in tutti i settori che sono vitali per la nostra economia e società e che dipendono fortemente dalle TIC, come l’energia, i trasporti, l’acqua, le infrastrutture bancarie, dei mercati finanziari, l’assistenza sanitaria e le infrastrutture digitali.

Direttiva NIS: a chi si rivolge?

La Direttiva NIS2 riguarda le imprese che siano operatori di servizi essenziali ma anche i principali fornitori di servizi digitali, quali i motori di ricerca, i servizi di cloud computing e i mercati online. Tutti questi soggetti dovranno rispettare gli obblighi di sicurezza e notifica previsti dalla direttiva.

Direttiva NIS 2: a quali settori si applica

Rispetto alla Direttiva NIS, la Direttiva NIS2 amplia si applica a tutte le imprese di medie e grandi dimensioni e alle imprese di piccole dimensioni in settori selezionati. Si applica anche a quelle di piccole dimensioni se identificate dagli Stati membri come quelle dotate di un elevato profilo di rischio per la sicurezza.

I settori interessati dalla direttiva NIS sono:

• servizi sanitari,
• trasporti,
• istituzioni finanziarie,
• produzione e distribuzione di energia,
• fornitura di acqua,
• infrastrutture digitali
• fornitori di servizi digitali.

• le aziende che si occupano di trattamento e ricircolo dei rifiuti,

• i produttori di prodotti critici, come ad esempio le industrie farmaceutiche, le industrie alimentari, i servizi postali e spaziali,
• i fornitori di sistemi pubblici di comunicazioni,
• l’amministrazione pubblica.

Direttiva NIS2: elementi chiave

La Direttiva NIS

• elimina la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali. Le entità verrebbero classificate in base alla loro importanza e divise in due categorie: entità essenziali e importanti, che saranno soggette a diversi regimi di vigilanza.
• Rafforza e semplifica i requisiti di sicurezza e di reporting per le aziende imponendo un approccio di gestione del rischio, che fornisce un elenco minimo di elementi di sicurezza di base che devono essere applicati
• introduce disposizioni più precise sul processo di segnalazione degli incidenti, sul contenuto delle segnalazioni e sulle tempistiche.
• affronta la sicurezza delle catene di approvvigionamento e dei rapporti con i fornitori richiedendo alle singole aziende di affrontare i rischi di sicurezza informatica nelle catene di approvvigionamento e nei rapporti con i fornitori.
• rafforza la sicurezza informatica della catena di approvvigionamento per le principali tecnologie dell’informazione e della comunicazione.
• introduce misure di vigilanza più rigorose per le autorità nazionali, requisiti di applicazione più rigorosi e mira ad armonizzare i regimi sanzionatori tra gli Stati membri.
• rafforza inoltre il ruolo del gruppo di cooperazione nel definire le decisioni politiche strategiche e aumenta la condivisione delle informazioni e la cooperazione tra le autorità degli Stati membri.
• Rafforza inoltre la cooperazione operativa all’interno della rete CSIRT e istituisce la rete europea di organizzazioni di collegamento in caso di crisi informatica (EU-CyCLONe) per supportare la gestione coordinata di incidenti e crisi di cibersicurezza su larga scala.
• crea un database delle vulnerabilità dell’UE nei prodotti e servizi ICT, che sarà gestito e mantenuto dall’agenzia dell’UE per la sicurezza informatica ( ENISA).