La nuova direttiva UE per rafforzare la sicurezza informatica e la resilienza a livello comunitario

La sicurezza delle informazioni è sempre più importante per le organizzazioni che si trovano a dover gestire dati e informazioni di qualsiasi tipo e su qualsiasi supporto. Proteggere le informazioni e garantire la riservatezza, la disponibilità e l’integrità dei dati in modo costante, efficace ed efficiente è ancora più cruciale per le organizzazioni che gestiscono infrastrutture critiche, il cui danneggiamento causerebbe ripercussioni alle funzioni cruciali della società.

Il 17 gennaio 2023 è entrata in vigore la Direttiva (UE) 2022/2555 del Parlamento Europeo e del Consiglio Europeo recante misure volte a garantire un livello comune elevato di sicurezza informatica in tutta l’Unione Europea, nota anche come Direttiva NIS 2 “Reti e informazioni Sicurezza”. 

I singoli Stati membri  dell’UE dovranno recepire la Direttiva NIS 2 entro il 17 ottobre 2024.

La Direttiva NIS 2 amplia in modo significativo il campo di applicazione della Direttiva NIS del 2016, recepita in Italia nel 2018. E’ rivolta ad una gamma più ampia di settori merceologici al fine di estendere e rafforzare i requisiti di sicurezza informatica in tutta l’UE. Inoltre, include il controllo dei rischi di terze parti, la semplificazione degli obblighi di segnalazione e l’introduzione di rigorosi requisiti di applicazione. 

A chi interessa la NIS 2

• Settori a cui si applicava la Direttiva NIS:
  • • Energia, Oil and Gas;
    • Infrastrutture digitali e provider di servizi digitali;
    • Salute;
    • Trasporti;
    • Risorse idriche;
• Settori introdotti dalla Direttiva NIS 2:
  • • Pubblica Amministrazione;
    • Industria aerospaziale;
    • Gestione rifiuti;
    • Fornitori di reti e servizi per la comunicazione elettronica pubblica;
    • Prodotti critici;
    • Servizi postali;
    • Filiera agro-alimentare;
    • Piattaforma di servizi digitali.

Cosa cambia con la NIS 2

• Ambito di applicazione più ampio: la Direttiva NIS 2 ha ampliato l’ambito di applicazione introducendo nuovi settori;
• Sanzioni penali contro i membri della direzione: gli organi amministrativi di enti ritenuti essenziali o importanti sono tenuti ad approvare formalmente le misure di gestione del rischio di sicurezza informatica, a vigilare rigorosamente sulla loro attuazione e possono essere legalmente ritenuti responsabili dei reati commessi dalla loro organizzazione;
• Segnalazione e gestione degli incidenti: gli enti essenziali e importanti sono tenuti a segnalare, senza indebito ritardo, qualsiasi incidente che abbia un impatto significativo sulla fornitura dei loro servizi;
• Gestione dei rischi di sicurezza informatica: le organizzazioni sono tenute ad adottare un approccio proattivo piuttosto che reattivo alla gestione del rischio, introducendo solide politiche di sicurezza delle informazioni.