Lo scorso giugno è stato approvato lo schema del decreto legislativo, a sua volta approvato in Parlamento ad ottobre 2024, che recepisce nel nostro Paese la Direttiva UE 2022/2555, nota come NIS 2 (“Network and Information Security Directive”). Il framework, che l’Unione Europea ha concepito per indirizzare le nuove sfide in materia di cybersecurity, richiede che le organizzazioni si adeguino a partire dal 17 ottobre 2024.

Cos’è la Direttiva NIS2?

La Direttiva costituisce un importante avanzamento nella strategia di cybersecurity dell’Unione Europea, superando le disposizioni della precedente Direttiva NIS. La nuova direttiva è stata, infatti, progettata per rafforzare la sicurezza informatica di soggetti “essenziali” ed “importanti” all’interno dell’Unione, rispondendo alle crescenti e sempre più sofisticate minacce digitali.

A questo proposito, NIS2 introduce protocolli di sicurezza più rigorosi, richiede una maggiore segnalazione delle violazioni e istituisce quadri di governance più solidi, estendendo la sua applicazione a un numero maggiore di settori rispetto alla Direttiva precedente.

Per creare un meccanismo di difesa unico e robusto contro le minacce digitali, la Direttiva prevede misure specifiche come l’identificazione dei soggetti critici, la valutazione del rischio, l’adozione di idonee misure di sicurezza e la collaborazione tra le autorità nazionali.

Il decreto legislativo associato integra un quadro di gestione delle crisi informatiche a livello Nazionale e conferma l’Agenzia per la Cybersicurezza Nazionale (ACN) come Autorità Nazionale Competente. La Direttiva stabilisce anche i criteri per l’identificazione dei soggetti pubblici e privati tenuti a rispettare gli standard di sicurezza informatica, classificandoli in categorie “essenziali” e “importanti” in base alla loro rilevanza economica e sociale. Questi criteri delineano gli obblighi in materia di gestione dei rischi per la sicurezza informatica, contribuendo a consolidare la resilienza del mercato unico digitale europeo.

Differenze strutturali tra NIS e NIS2

Le differenze principali tra le due direttive evidenziano l’intento di rafforzare la sicurezza informatica in tutta l’Unione Europea. Mentre la Direttiva NIS1 si applicava esclusivamente agli “operatori di servizi essenziali” (OES) e ai “fornitori di servizi digitali” (DSP) in settori specifici, la NIS 2 amplia notevolmente il suo ambito di applicazione, includendo una gamma molto più ampia di entità classificate come “essenziali” e “importanti” estesa a 15 settori diversi, tra cui energia, trasporti, banche, sanità, infrastrutture digitali.

Requisiti e applicazione più rigorosi

La NIS2 introduce requisiti di sicurezza più dettagliati e armonizzati che le entità interessate devono implementare. Questi requisiti includono la valutazione del rischio, la stesura di piani di risposta agli incidenti e identificazione di misure di sicurezza per la catena di fornitura. Essa conferisce alle autorità nazionali il potere di imporre sanzioni molto più severe in caso di non conformità. Le multe possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale dell’azienda. Inoltre, le autorità hanno il potere di impartire istruzioni vincolanti e di sospendere temporaneamente i servizi in caso di gravi violazioni.