NIS2 – Direttiva e obblighi
Per affrontare il crescente fenomeno degli attacchi informatici e uniformare a livello europeo le modalità di gestione della cybersecurity in settori critici e strategici, il Parlamento Europeo ha emanato nel 2016 la Direttiva NIS (Network and Information Security). Questa iniziativa mirava a potenziare le difese dei Paesi membri contro attacchi informatici attraverso un insieme di misure legislative che facilitavano l’implementazione e l’applicazione dei sistemi di sicurezza delle reti e delle informazioni nell’UE.
La Direttiva NIS2, pubblicata sulla Gazzetta Ufficiale dell’UE a dicembre 2022, abroga e sostituisce la precedente Direttiva NIS, con l’obiettivo di modernizzare il quadro normativo europeo sulla cybersecurity.
Questa Direttiva intende rafforzare la cybersecurity negli Stati membri, assicurando l’adozione di misure tecniche e organizzative adeguate per affrontare i rischi informatici. L’obiettivo è aumentare la resilienza delle aziende in tutte le fasi della gestione dei rischi, dalla prevenzione alla mitigazione degli impatti di eventuali incidenti.
Quali sono le principali novità della Direttiva NIS2:
– Gli Stati membri devono adottare piani nazionali di cybersicurezza e designare autorità nazionali, autorità di gestione delle emergenze informatiche, punti di contatto unici e meccanismi di vigilanza e sanzione.
– È richiesta una risposta rapida agli incidenti più gravi e la cooperazione tra Stati membri.
– Prevede la creazione di team di risposta agli incidenti di sicurezza informatica (CSIRT) per supportare gli Stati membri e gli operatori economici.
– Introduce il concetto di catena di approvvigionamento con specifici requisiti di sicurezza.
– Stabilisce che le entità interessate devono registrarsi presso le autorità locali competenti entro il 17 gennaio 2025. L’ENISA (Agenzia dell’Unione europea per la cibersicurezza) avrà un ruolo di supporto e coordinamento, creando e mantenendo un registro.
– Ridefinisce e amplia le categorie di soggetti a cui si applica la Direttiva, distinguendo tra soggetti essenziali (settori critici) e soggetti importanti (altri settori significativi).
Quali sono i soggetti essenziali obbligati ad adeguarsi:
– Settori energetici: elettricità, petrolio, gas naturale, idrogeno
– Trasporti: aerei, ferroviari, marittimi, stradali
– Settore bancario e infrastrutture di mercato finanziario
– Sanità: ospedali e cliniche private
– Approvvigionamento idrico: acqua potabile e gestione delle acque reflue
– Amministrazione pubblica
– Industria spaziale
– Gestione dei servizi ICT (B to B)
-Infrastrutture digitali: data center, cloud computing, servizi di comunicazione elettronica, punti di interscambio internet
– Produzione di farmaci, inclusi i vaccini
Queste entità devono avere almeno 250 dipendenti e un fatturato superiore ai 50 milioni di euro (o un bilancio di 43 milioni di euro).
Soggetti importanti comprendono:
– Gestione dei rifiuti
– Servizi postali e corrieri
– Settore della ricerca
– Produzione, lavorazione e distribuzione alimentare
– Industria chimica
– Fabbricazione di dispositivi medici e prodotti elettronici
– Macchinari e attrezzature
– Veicoli a motore e altri mezzi di trasporto
– Fornitori digitali
Questa categoria include le aziende con più di 50 e meno di 250 dipendenti, con un fatturato oltre i 10 milioni di euro.
La Direttiva NIS2 presta particolare attenzione ai rischi legati alla catena di approvvigionamento, enfatizzando la compliance dei fornitori critici. Essa si applica anche a imprese con meno di 50 dipendenti, se forniscono servizi essenziali o se sono parte della catena di fornitura di un soggetto essenziale o importante.
Inoltre, le pubbliche amministrazioni e alcuni servizi digitali sono soggetti alla NIS2 indipendentemente dalle loro dimensioni.
Dal 1 gennaio al 28 febbraio 2025, i soggetti essenziali e importanti dovranno registrarsi o aggiornare la propria registrazione sulla piattaforma. Per i fornitori di domini, cloud computing e data center, il termine è anticipato al 17 gennaio 2025. Entro il 31 marzo 2025, l’Agenzia fornirà risposte ai soggetti essenziali e importanti riguardo alla loro conformità.
In Italia cosa succede?:
In Italia, la Direttiva NIS2 entrerà in vigore ufficialmente il 31 marzo 2025, data in cui l’ACN avrà completato l’elenco dei soggetti soggetti a questa normativa. Gli obblighi di adeguamento, come previsto dall’articolo 42, inizieranno dalla data di comunicazione dell’Agenzia per la Cybersicurezza Nazionale (31 marzo) e saranno articolati in due scadenze: 9 mesi per la gestione degli incidenti e 18 mesi per l’adeguamento degli organi amministrativi e delle misure di sicurezza.
NIS2 quali sanzioni sono previste per chi non si adegua?