La Direttiva (UE) 2022/2555, meglio nota come Direttiva NIS 2, rappresenta un significativo passo avanti nella normativa europea sulla cybersecurity, sostituendo l’originaria Direttiva NIS 2016/1148.
Pubblicata il 27 dicembre 2022, la nuova normativa è stata recepita in Italia con il Decreto Legislativo 138/2024, con l’obiettivo principale di incrementare la resilienza e la capacità di risposta agli incidenti cyber da parte degli operatori di servizi essenziali per la società e l’economia dell’Unione Europea.
Dalla NIS 1 alla NIS 2: cosa cambia?
La Direttiva NIS 1 del 2016 ha rappresentato il primo quadro normativo europeo mirato a regolare la sicurezza informatica dei sistemi informativi e delle reti delle infrastrutture essenziali. Tuttavia, il contesto globale della cybersecurity è profondamente mutato, con una crescita esponenziale delle minacce cyber, amplificate dal crescente utilizzo delle tecnologie digitali durante la pandemia di Covid-19. La Direttiva NIS 2 è stata concepita per rispondere a queste nuove sfide, introducendo modifiche sostanziali rispetto alla NIS 1.
Ampliamento del campo di applicazione
La NIS 2 si applica sia agli operatori dei settori già inclusi (energia, trasporti, sanità, servizi finanziari), sia a nuovi settori critici come: gestione dei rifiuti, produzione di dispositivi medici, telecomunicazioni, servizi postali, grande distribuzione alimentare, gestione delle acque reflue, fabbricazione e organizzazioni di ricerca.
Nuova classificazione degli operatori
La Direttiva classifica gli operatori in due categorie, “essenziali” e “importanti”, sostituendo la vecchia distinzione tra operatori di servizi essenziali e fornitori di servizi digitali, sulla base della dimensione dell’entità e del settore in cui opera.
Armonizzazione e cooperazione europea
La NIS 2 introduce la rete EU-CyCLONe, una rete di organizzazioni di collegamento per le crisi informatiche, e rafforza il ruolo del Gruppo di Cooperazione, incaricato di agevolare la condivisione di informazioni tra i vari Stati membri e di migliorare la cooperazione in risposta agli incidenti cyber.
Obblighi Principali per gli Operatori dopo Il 16 ottobre 2024
Con il recepimento della Direttiva NIS 2, le organizzazioni rientranti nel suo ambito di applicazione dovranno adeguare i propri sistemi di cybersecurity e di gestione degli incidenti alle nuove disposizioni. I principali obblighi includono:
Misure di sicurezza
Gli operatori sono tenuti a implementare misure tecniche, operative e organizzative adeguate per gestire i rischi informatici. Tali misure dovranno essere proporzionate al rischio associato alla natura dell’attività e dovranno essere periodicamente aggiornate.
Notifica degli incidenti
Gli operatori essenziali e importanti dovranno segnalare alle autorità competenti ogni incidente significativo, con un sistema di preallarme entro le prime 24 ore dalla scoperta dell’evento, e una notifica dettagliata entro 72 ore. La procedura prevede anche una relazione finale entro un mese dall’incidente.
Responsabilizzazione degli organi di gestione
Gli amministratori delle entità incluse saranno direttamente responsabili della supervisione delle misure di sicurezza adottate e della loro corretta attuazione, analogamente a quanto previsto dal legislatore italiano con il Perimetro di Sicurezza Nazionale Cibernetica. Sarà inoltre loro compito garantire un’adeguata formazione, sia per sé stessi che per i dipendenti, al fine di assicurare una consapevolezza e preparazione adeguata alle esigenze di sicurezza.
Controlli e audit di conformità
Le autorità nazionali potranno disporre ispezioni in loco, audit periodici e vigilanza a distanza per verificare la conformità alle disposizioni della NIS 2. Eventuali violazioni o lacune nei sistemi di sicurezza potranno dar luogo a sanzioni, anche molto consistenti.
Il Nuovo Regime Sanzionatorio
Rispetto alla NIS 1, la NIS 2 introduce un sistema sanzionatorio notevolmente più severo, in linea con quanto già previsto dal GDPR per le violazioni dei dati personali. Le sanzioni pecuniarie variano in base alla categoria dell’operatore:
- Per le entità essenziali, la sanzione massima è di 10 milioni di euro o il 2% del fatturato annuo globale, prendendo in considerazione l’importo più alto.
- Per le entità importanti, la sanzione può raggiungere i 7 milioni di euro o l’1,4% del fatturato annuo globale, a seconda della somma maggiore.
Raccomandazioni per le Aziende
Ferma la prima deadline dei fine Febbraio 2025, le organizzazioni coinvolte dovrebbero iniziare il processo di adeguamento già da ora, allineando le proprie politiche di sicurezza ai requisiti della NIS 2. In particolare, è consigliabile:
Effettuare una valutazione dei rischi informatici: Analizzare i rischi legati alla propria infrastruttura IT e definire le misure necessarie per ridurli.
Implementare un sistema di incident response: Creare o aggiornare un piano di risposta agli incidenti che consenta di intervenire tempestivamente e di segnalare gli eventi secondo le modalità previste dalla Direttiva.
Assicurare la sicurezza della supply chain: La NIS 2 include disposizioni per il controllo dei rischi lungo tutta la filiera produttiva, pertanto le aziende dovranno garantire che anche i fornitori siano conformi alle normative di sicurezza.
Verificare la conformità con altre normative vigenti: La NIS 2 si sovrappone con altre disposizioni, come il GDPR e il Regolamento DORA per la finanza digitale; le aziende dovranno quindi operare un’armonizzazione dei propri standard di sicurezza per evitare duplicazioni e migliorare l’efficienza dei controlli interni.
Conclusioni
La Direttiva NIS 2 rappresenta un cambiamento significativo per la normativa europea in materia di sicurezza informatica. Con un ambito più ampio, nuove categorie di soggetti obbligati e misure sanzionatorie più severe, la Direttiva impone a enti e aziende di adeguarsi per contribuire a un quadro di sicurezza cibernetica più robusto e uniforme in tutta l’Unione Europea.
