La Direttiva NIS2 si configura come l’evoluzione della NIS recepita in Italia con il D.Lgs. n. 65/2018, che stabilisce le misure minime per un livello comune di sicurezza delle reti e dei sistemi informativi nell’Unione europea, ponendosi alcuni obiettivi specifici, tra cui l’aumento delle capacità di resilienza e di risposta agli incidenti dei soggetti interessati e fornendo indicazioni più dettagliate nel campo della Cybersecurity e della protezione delle Infrastrutture Critiche.

Rispetto alla normativa precedente (NIS), che presenta alcune limitazioni, sono stati definiti ed inclusi obblighi e disposizioni aggiuntive ed è stato ampliato il numero dei soggetti coinvolti al fine di garantire un livello più elevato di gestione del rischio per le organizzazioni che erogano servizi essenziali.

A chi si rivolge:

La NIS2 si applica prevalentemente a grandi e medie imprese; tuttavia, si estende anche alle piccole e micro imprese che operano in settori chiave, la cui interruzione del servizio avrebbe ripercussioni significative per la Società. 

Oltre ad includere i settori originariamente previsti dalla NIS (p.e., energetico, bancario, sanitario, telco, etc.), la nuova Direttiva comprende una quota parte maggiore della Società rispetto al passato (settore postale; gestione rifiuti; fabbricazione; chimico; ricerca scientifica; settore alimentare), introducendo due tipologie di soggetti «Essenziali» e «Importanti», che sostituiscono gli OSE (Operatori dei Servizi Essenziali) e gli FSD (Fornitori dei Servizi Digitali).

Ambito di applicazione:

Nel caso in cui i Soggetti Essenziali e Importanti non risultino conformi agli obblighi inclusi nella Direttiva NIS2, gli Stati Membri devono prevedere sanzioni amministrative e attribuire le dovute responsabilità agli organi di amministrazione dei soggetti coinvolti, tra cui troviamo:

  1. la sospensione temporanea di certificati e/o autorizzazioni relativi a servizi e/o attività svolte dai Soggetti «Essenziali»;
  2. l’applicazione di sanzioni fino a € 10 milioni o al 2% del fatturato globale dell’anno precedente in caso di Soggetti «Essenziali»;
  3. l’applicazione di sanzioni fino a € 7 milioni o al 1,7% del fatturato globale in caso di Soggetti «Importanti».

Requisiti della Cybersecurity:

La Direttiva NIS2 mira ad eliminare le differenze di sicurezza informatica tra i diversi Stati membri, implementando una serie di obblighi per gli operatori di servizi “Essenziali” e “Importanti”. In particolare, tali operatori devono adottare una serie di misure di sicurezza tecniche e organizzative, tra cui:

  • Misure di gestione dei rischi informatici;
  • Misure tecniche di analisi vulnerabilità;
  • Gestione incidenti;
  • Sistemi di Continuità Operativa;
  • Esecuzione di test e formazione;
  • Regolamentare la Supply Chain.

Autorità di Vigilanza:

Le autorità competenti dovranno monitorare il rispetto della normativa – anche attraverso l’esercizio di poteri sanzionatori – da parte dei soggetti considerati.

In Italia, l’Agenzia per la Cybersicurezza Nazionale (ACN) assume il ruolo di punto di contatto unico sul campo, sostituendo le precedenti competenze distribuite tra i vari Ministeri.

L’ACN realizzerà una piattaforma (attiva a partire dal 18 ottobre 2024), attraverso la quale le entità che ritengono di essere soggette alle regole della NIS2 dovranno registrarsi.

Ulteriori aspetti importanti introdotti dalla Direttiva UE NIS 2:

  • Complessità attuativa: L’adozione di misure di sicurezza su tutti i sistemi, non solo quelli associati ai servizi critici, richiede una complessità attuativa che comporta l’identificazione di diversi ambiti classificati in base all’impatto e al livello di rischio.
  • Adeguatezza e proporzionalità: I principi di adeguatezza e proporzionalità riguardano l’applicazione di misure tecniche, operative e organizzative adeguate alla natura e alla gravità del rischio e proporzionate rispetto all’impatto che potrebbero avere sui sistemi e sulle attività proteggere (art. 24, comma 1).
  • Proporzionalità, gradualità e priorità: L’art. 31 stabilisce criteri di proporzionalità, gradualità e priorità nella gestione del rischio di sicurezza cyber e nella notifica di incidenti:
    • Gradualità: implica l’adozione di modelli di sicurezza basilari, evolvendo verso soluzioni più complesse;
    • Priorità: implica la gestione del rischio partendo dai sistemi più critici, con un adeguamento graduale per gli altri, seguendo un approccio basato sul rischio.
  • Consistenza, comparabilità e ripetibilità: L’art. 24, comma 1 sottolinea l’importanza di applicare misure di sicurezza in modo coerente, comparabile e ripetibile. L’adozione di un framework già utilizzato per la conformità alla Direttiva NIS e alla Legge 133/2019 (PSNC) faciliterebbe il percorso per quei soggetti, che hanno già avviato negli anni iniziative di compliance, rendendo più agevole l’implementazione delle nuove misure di sicurezza.
  • Flessibilità: Si propone di concedere agli operatori la libertà di scegliere autonomamente soluzioni tecniche, organizzative e di processo per soddisfare le misure dell’art. 24 basandosi sulla propria valutazione del rischio. Questo approccio è allineato con standard come ISO 27001, che consentono l’adozione di processi di analisi del rischio appropriati per garantire che le soluzioni adottate siano adeguate al livello di rischio e alla criticità dei servizi svolti. 

Vuoi saperne di più?