NIS2 - OBBLIGHI E SANZIONI
18737
page-template,page-template-full_width,page-template-full_width-php,page,page-id-18737,page-child,parent-pageid-18694,bridge-core-1.0.4,ajax_fade,page_not_loaded,,qode_grid_1300,qode-content-sidebar-responsive,qode-theme-ver-21.1,qode-theme-bridge,disabled_footer_top,wpb-js-composer js-comp-ver-6.1,vc_responsive
 

NIS2 Direttiva

NIS2 – Direttiva e obblighi

 

Per affrontare il crescente fenomeno degli attacchi informatici e uniformare a livello europeo le modalità di gestione della cybersecurity in settori critici e strategici, il Parlamento Europeo ha emanato nel 2016 la Direttiva NIS (Network and Information Security). Questa iniziativa mirava a potenziare le difese dei Paesi membri contro attacchi informatici attraverso un insieme di misure legislative che facilitavano l’implementazione e l’applicazione dei sistemi di sicurezza delle reti e delle informazioni nell’UE.

La Direttiva NIS2, pubblicata sulla Gazzetta Ufficiale dell’UE a dicembre 2022, abroga e sostituisce la precedente Direttiva NIS, con l’obiettivo di modernizzare il quadro normativo europeo sulla cybersecurity.

Questa Direttiva intende rafforzare la cybersecurity negli Stati membri, assicurando l’adozione di misure tecniche e organizzative adeguate per affrontare i rischi informatici. L’obiettivo è aumentare la resilienza delle aziende in tutte le fasi della gestione dei rischi, dalla prevenzione alla mitigazione degli impatti di eventuali incidenti.

Quali sono le principali novità della Direttiva NIS2:

– Gli Stati membri devono adottare piani nazionali di cybersicurezza e designare autorità nazionali, autorità di gestione delle emergenze informatiche, punti di contatto unici e meccanismi di vigilanza e sanzione.
– È richiesta una risposta rapida agli incidenti più gravi e la cooperazione tra Stati membri.
– Prevede la creazione di team di risposta agli incidenti di sicurezza informatica (CSIRT) per supportare gli Stati membri e gli operatori economici.
– Introduce il concetto di catena di approvvigionamento con specifici requisiti di sicurezza.
– Stabilisce che le entità interessate devono registrarsi presso le autorità locali competenti entro il 17 gennaio 2025. L’ENISA (Agenzia dell’Unione europea per la cibersicurezza) avrà un ruolo di supporto e coordinamento, creando e mantenendo un registro.
– Ridefinisce e amplia le categorie di soggetti a cui si applica la Direttiva, distinguendo tra soggetti essenziali (settori critici) e soggetti importanti (altri settori significativi).

NIS2Quali sono i soggetti essenziali obbligati ad adeguarsi:

– Settori energetici: elettricità, petrolio, gas naturale, idrogeno
– Trasporti: aerei, ferroviari, marittimi, stradali
– Settore bancario e infrastrutture di mercato finanziario
– Sanità: ospedali e cliniche private
– Approvvigionamento idrico: acqua potabile e gestione delle acque reflue
– Amministrazione pubblica
– Industria spaziale
– Gestione dei servizi ICT (B to B)
-Infrastrutture digitali: data center, cloud computing, servizi di comunicazione elettronica, punti di interscambio internet
– Produzione di farmaci, inclusi i vaccini

Queste entità devono avere almeno 250 dipendenti e un fatturato superiore ai 50 milioni di euro (o un bilancio di 43 milioni di euro).

Soggetti importanti comprendono:

– Gestione dei rifiuti
– Servizi postali e corrieri
– Settore della ricerca
– Produzione, lavorazione e distribuzione alimentare
– Industria chimica
– Fabbricazione di dispositivi medici e prodotti elettronici
– Macchinari e attrezzature
– Veicoli a motore e altri mezzi di trasporto
– Fornitori digitali

Questa categoria include le aziende con più di 50 e meno di 250 dipendenti, con un fatturato oltre i 10 milioni di euro.

La Direttiva NIS2 presta particolare attenzione ai rischi legati alla catena di approvvigionamento, enfatizzando la compliance dei fornitori critici. Essa si applica anche a imprese con meno di 50 dipendenti, se forniscono servizi essenziali o se sono parte della catena di fornitura di un soggetto essenziale o importante.

Inoltre, le pubbliche amministrazioni e alcuni servizi digitali sono soggetti alla NIS2 indipendentemente dalle loro dimensioni.

Dal 1 gennaio al 28 febbraio 2025, i soggetti essenziali e importanti dovranno registrarsi o aggiornare la propria registrazione sulla piattaforma. Per i fornitori di domini, cloud computing e data center, il termine è anticipato al 17 gennaio 2025. Entro il 31 marzo 2025, l’Agenzia fornirà risposte ai soggetti essenziali e importanti riguardo alla loro conformità.

 

In Italia cosa succede?:

In Italia, la Direttiva NIS2 entrerà in vigore ufficialmente il 31 marzo 2025, data in cui l’ACN avrà completato l’elenco dei soggetti soggetti a questa normativa. Gli obblighi di adeguamento, come previsto dall’articolo 42, inizieranno dalla data di comunicazione dell’Agenzia per la Cybersicurezza Nazionale (31 marzo) e saranno articolati in due scadenze: 9 mesi per la gestione degli incidenti e 18 mesi per l’adeguamento degli organi amministrativi e delle misure di sicurezza.

 

NIS2 quali sanzioni sono previste per chi non si adegua?

L’entità della sanzione viene stabilita sulla base di un importo minimo predefinito o di una percentuale di fatturato a seconda di quale dei due valori sia superiore. In caso di inadempienza, le entità essenziali sono soggette a sanzioni “pari a un massimo di almeno 10.000.000 EUR o a un massimo di almeno il 2 % del totale del fatturato mondiale annuo.” Per i soggetti importanti le sanzioni sono più lievi: “un massimo di almeno 7 000 000 EUR o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo.”

 

Sei interessato?