Il 7 agosto 2024, il Consiglio dei Ministri ha esaminato lo
schema di Decreto Legislativo per recepire la Direttiva dell’Unione Europea
NIS2 (Network and Information Security) che introduce misure volte a garantire
un elevato livello comune di cybersicurezza sulla sicurezza delle reti e dei
sistemi informativi nell’Unione Europea.
La direttiva sostituisce la precedente NIS del 2016.
Le nuove disposizioni sono progettate per far fronte alle
crescenti minacce informatiche e all’evoluzione della tecnologia, garantendo un
livello elevato e uniforme di sicurezza delle reti e dei sistemi informativi in
tutta l’UE.
Approfondimenti:
Novità e Obiettivi della Direttiva NIS2
1. Estensione dei settori coinvolti: La NIS2 amplia significativamente il campo di applicazione, includendo non solo i settori tradizionalmente critici come energia, trasporti e gestione delle risorse idriche, ma nuovi settori ritenuti critici, come:
_Settore sanitario e farmaceutico
_Servizi finanziari e bancari
_Alimentare e infrastrutture digitali, comprese piattaforme
cloud e data center
_Pubblica amministrazione
In pratica, tutte le
medie e grandi aziende di questi settori dovranno adeguarsi ai nuovi requisiti.
2. Rafforzamento della gestione del rischio e della sicurezza informatica: Le organizzazioni saranno obbligate ad adottare misure di sicurezza più stringenti, tra cui la protezione contro gli attacchi informatici avanzati, la crittografia dei dati, il controllo degli accessi e la gestione dei rischi legati ai fornitori e alla supply chain. L’obiettivo è garantire la resilienza delle infrastrutture essenziali in un panorama digitale sempre più complesso e minacciato.
3. Tempistiche più rapide per la segnalazione degli incidenti: Le nuove norme impongono una segnalazione iniziale entro 24 ore dalla scoperta di un incidente significativo, seguita da un rapporto dettagliato entro 72 ore. Questa rapidità di intervento mira a migliorare la capacità di risposta coordinata a livello europeo, minimizzando l’impatto di eventuali attacchi.
4. Sanzioni più severe e armonizzazione delle normative: La direttiva prevede sanzioni più rigide per la mancata conformità, con multe che possono raggiungere il 2% del fatturato annuo globale dell’azienda. Questo approccio uniforma le conseguenze legali in tutta l’UE e incentiva le organizzazioni a investire seriamente nella cybersicurezza.
5. Rafforzamento della cooperazione tra Stati membri: NIS2 introduce nuovi meccanismi per migliorare il coordinamento tra le autorità nazionali competenti, come il Cyber Crisis Liaison Organisation Network (CyCLONe), che garantisce una gestione coordinata delle crisi informatiche a livello europeo.
6. Maggiore cooperazione tra Stati membri: NIS2 promuove la collaborazione tra le autorità nazionali competenti e introduce il Cyber Crisis Liaison Organisation Network (CyCLONe), un nuovo organismo per la gestione coordinata delle crisi informatiche. Questo rafforza la resilienza complessiva dell’Unione di fronte a minacce su larga scala.
Principali cambiamenti rispetto alla direttiva NIS
precedente
La NIS2 differisce dalla direttiva NIS originaria in diversi
aspetti cruciali:
Approccio basato sulla dimensione delle imprese: mentre la
direttiva NIS del 2016 era limitata a settori specifici, NIS2 si basa su
criteri di dimensioni aziendali, includendo tutte le medie e grandi imprese in
settori considerati critici.
Maggiore armonizzazione delle sanzioni: NIS2 introduce
sanzioni amministrative a livello europeo, uniformando le conseguenze legali
per la mancata conformità.
Valutazione del rischio nella supply chain: le aziende
devono prendere in considerazione i rischi legati ai fornitori e ai partner
della catena di approvvigionamento, adottando misure per garantire che non
costituiscano un punto debole nella loro sicurezza.
Impatto della direttiva NIS2
L’introduzione della direttiva NIS2 comporta alcune
conseguenze significative per le organizzazioni nell’UE:
Maggiori responsabilità e costi di conformità: le
organizzazioni dovranno investire maggiormente in soluzioni di sicurezza
informatica e nella formazione dei dipendenti.
Aumento della collaborazione pubblico-privato: sarà
necessario un dialogo costante tra enti governativi e settore privato per
gestire la sicurezza delle infrastrutture critiche.
Nuove opportunità per il mercato della cybersecurity: la
crescente domanda di soluzioni di sicurezza aprirà nuove opportunità per le
aziende specializzate in sicurezza informatica.
Tempistiche e prossimi passi
Gli Stati membri devono recepire la direttiva NIS2 nel
proprio ordinamento entro il 17 ottobre 2024, data entro la quale il decreto
legislativo dovrà essere convertito in legge. Questo processo richiederà una
revisione delle normative nazionali sulla sicurezza informatica e una stretta
collaborazione con le imprese per garantire il rispetto dei nuovi standard.
La Direttiva NIS2 rappresenta una svolta cruciale per la sicurezza informatica in Europa, affrontando le crescenti sfide del mondo digitale e proteggendo le infrastrutture critiche. Le organizzazioni dovranno adeguarsi rapidamente ai nuovi requisiti, adottando misure avanzate di sicurezza e migliorando la gestione del rischio. Questa evoluzione normativa è un segnale chiaro dell’impegno dell’UE nel proteggere i propri cittadini e le proprie economie da minacce informatiche sempre più sofisticate.