Che cos’è la Direttiva NIS2
La Direttiva NIS2 (Network and Information Systems Directive 2), adottata dall’Unione Europea, rappresenta un passo fondamentale nel rafforzamento della protezione delle infrastrutture digitali essenziali.
Rispetto alla NIS1, estende il suo ambito di applicazione includendo settori strategici come sanità, energia e trasporti, introducendo misure di sicurezza più stringenti e una gestione del rischio più efficace.
Non solo migliora la sicurezza delle reti e dei sistemi informativi, ma stimola anche una maggiore collaborazione tra gli Stati membri e il settore privato, favorendo la creazione di un ambiente digitale più sicuro e resiliente in tutta Europa.
In particolare, la Direttiva NIS2 sottolinea l’importanza della cybersecurity come fattore cruciale per l’economia e le società digitali.
Gli obiettivi della NIS2
La Direttiva NIS2 ha l’obiettivo di rafforzare la sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea.
Le sue principali finalità sono:
La NIS2 impone requisiti di sicurezza più rigorosi per le organizzazioni che operano in settori essenziali, come energia, trasporti, sanità e finanza, nonché per i fornitori di servizi digitali. Questi requisiti puntano a prevenire incidenti di sicurezza e a proteggere reti e sistemi informativi da attacchi informatici, guasti tecnici e altre minacce.
La NIS2 estende gli obblighi di sicurezza e le modalità di notifica a un numero maggiore di settori e entità rispetto alla precedente NIS1, includendo nuovi settori come i fornitori di servizi di comunicazione elettronica, i servizi digitali e i fornitori di infrastrutture pubbliche di rete.
La NIS2 impone requisiti di sicurezza più severi per le organizzazioni, introducendo misure tecniche e organizzative per gestire i rischi legati alla protezione delle reti e dei sistemi informativi.
La NIS2 favorisce una collaborazione più stretta tra gli Stati membri dell’UE, creando un quadro per la condivisione di informazioni e per una gestione coordinata delle crisi informatiche.
La NIS2 potenzia la capacità di rispondere e gestire le crisi e gli incidenti informatici, sia a livello nazionale che europeo, garantendo una risposta rapida ed efficace agli attacchi cibernetici.
La NIS2 mira a implementare e applicare una politica di sicurezza che coinvolga tutta la catena di approvvigionamento, regolando le relazioni con i fornitori diretti e i prestatori di servizi, con l’obiettivo di ridurre i rischi per la sicurezza delle reti e dei sistemi informativi lungo tutta la filiera.
Ma io rientro nella direttiva?
Ti aiutiamo noi in questo percorso! Scrivici
I settori coinvolti nella NIS2
La categoria degli OES (Operatori di Servizi Essenziali) è stata notevolmente estesa, riguardando principalmente le grandi imprese.
Alcuni settori ora comprendono anche le medie imprese, mentre le piccole e microimprese sono per ora escluse dal campo di applicazione della NIS2.
Le vulnerabilità nei prodotti o servizi forniti da terzi possono costituire un rischio per la sicurezza digitale. Per questo motivo, la NIS2 estende la sua applicazione a tutta la catena di approvvigionamento delle aziende definite “Essenziali”, al fine di mitigare tali rischi in ambito cybersicurezza.
L’elenco degli OES include ora i seguenti settori:
Tempistiche e obblighi per l’Italia
Lo Stato italiano ha pubblicato il decreto di recepimento della Direttiva NIS2 sulla Gazzetta Ufficiale il 1° Ottobre 2024.
Il decreto stabilisce gli obblighi e le scadenze per l’attuazione della NIS2, con i seguenti dettagli:
- Valutazione delle aziende e delle pubbliche amministrazioni: le organizzazioni dovranno eseguire un’analisi per determinare se sono soggette agli obblighi della Direttiva NIS2.
- Scadenze di registrazione:
-
- Dal 1° Dicembre 2024 al 28 Febbraio 2025, le aziende definite essenziali dovranno autenticarsi sul Portale ACN (Agenzia per la Cybersicurezza Nazionale) utilizzando le credenziali SPID. Durante questo periodo, i punti di contatto designati dovranno completare una dichiarazione tramite il Servizio NIS/Registrazione, garantendo che le informazioni siano accurate e aggiornate.
-
- Tra il 1° e il 15 Aprile 2025, l’ACN comunicherà ai soggetti interessati se sono stati inclusi nell’elenco dei soggetti essenziali o importanti.
-
- Entro il 15 Aprile 2025, le organizzazioni che hanno ricevuto la comunicazione dovranno nominare un responsabile per l’adempimento degli obblighi previsti dal decreto.
A seguito di queste scadenze, gli obblighi successivi per le entità coinvolte saranno:
- Entro il 1° Gennaio 2026: obbligo di notifica degli incidenti.
- Entro il 1° Ottobre 2026: adempimento degli obblighi in materia di organi amministrativi e misure di sicurezza.
L’ACN aggiornerà annualmente l’elenco dei soggetti coinvolti. Le aziende e le pubbliche amministrazioni potranno registrarsi ogni anno, tra gennaio e febbraio, qualora ritengano di far parte dei soggetti interessati.
Vigilanza e sanzioni
A partire dall’entrata in vigore della NIS2, una volta identificati gli operatori coinvolti, saranno effettuate attività di vigilanza e audit a campione per verificare la conformità alla Direttiva. In caso di non conformità, saranno applicabili delle sanzioni alle aziende coinvolte.
In definitiva, la NIS2 ha l’obiettivo di costruire un ambiente digitale più sicuro e resiliente, riducendo i rischi di cyber-attacchi e offrendo una protezione più forte per le infrastrutture critiche e i servizi essenziali di cui cittadini e imprese dipendono.