Direttiva NIS2: verso il recepimento delle regole per la Cybersicurezza in Europa

Dal Consiglio dei Ministri del 10 giugno 2024 il via libera del Governo al Decreto di recepimento della Direttiva “NIS2” direttiva (UE) 2022/2555, che dovrebbe assicurare un livello comune ed elevato di cybersicurezza in Europa.

Il 18 ottobre 2024 scade infatti il termine per il recepimento delle nuove regole europee sulla sicurezza delle reti entrate in vigore formalmente nel 2023 ma operative dal 2024. La Direttiva NIS 2 sostituirà potenziandolo, le regole del primo pacchetto di norme sulla Cybersicurezza della vecchia Direttiva NIS, datate 2016 e non più adeguate alle tante e nuove minacce informatiche europee.

• Che cos’è la Direttiva NIS, cosa prevede e quali sono le principali novità rispetto alla precedente Direttiva NIS?

Cos’è la Direttiva NIS2?

La Direttiva NIS2 ovvero Network & Information Security è la Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 risponde all’esigenza di rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi nell’UE.

La Direttiva modifica il regolamento (UE) n. 910/2014 (sulle transazione elettroniche) e la direttiva (UE) 2018/1972 (il Codice europeo delle comunicazioni elettroniche). Infine, abroga dal 18 ottobre 2024 la precedente direttiva NIS (1) la Dir. 2016/1148 sulla sicurezza delle reti e dei sistemi informativi nell’Unione.

Cybersecurity nell’Unione: le regole per la sicurezza delle reti

Dopo il varo del primo pacchetto di regole sulla cybersicurezza in Europa nel 2016, l’UE ha introdotto il primo pacchetto di norme relative alla Cybersicurezza aggiornate nel 2022 nella Direttiva NIS2, entrata in vigore nel 2023 con l’obiettivo di tenere il passo con la maggiore digitalizzazione del Paese e con un panorama in evoluzione per le tante minacce alla cibersicurezza. Obiettivo: migliorare ulteriormente la resilienza e le capacità di risposta agli incidenti degli enti pubblici e privati, delle autorità competenti e dell’UE nel suo complesso.

Cosa prevede la Direttiva NIS 2 sulla sicurezza delle reti e dei sistemi informativi

La direttiva sulle misure per un livello comune elevato di cibersicurezza in tutta l’Unione impone agli Stati:

• identificazione delle imprese che siano operatori di servizi essenziali e che dovranno adottare misure di sicurezza adeguate e notificare alle autorità nazionali competenti gli incidenti gravi. I
• allestimento di un team di risposta agli incidenti di sicurezza informatica (CSIRT) e un’autorità nazionale competente in materia di reti e sistemi informativi (NIS);
• cooperazione tra tutti gli Stati membri, istituendo un gruppo di cooperazione per sostenere e facilitare la cooperazione strategica e lo scambio di informazioni tra gli Stati membri.
• una cultura della sicurezza in tutti i settori che sono vitali per la nostra economia e società e che dipendono fortemente dalle TIC, come l’energia, i trasporti, l’acqua, le infrastrutture bancarie, dei mercati finanziari, l’assistenza sanitaria e le infrastrutture digitali.

Direttiva NIS: a chi si rivolge?

La Direttiva NIS2 riguarda le imprese che siano operatori di servizi essenziali ma anche i principali fornitori di servizi digitali, quali i motori di ricerca, i servizi di cloud computing e i mercati online. Tutti questi soggetti dovranno rispettare gli obblighi di sicurezza e notifica previsti dalla direttiva.

Direttiva NIS 2: a quali settori si applica

Rispetto alla Direttiva NIS, la Direttiva NIS2 amplia si applica a tutte le imprese di medie e grandi dimensioni e alle imprese di piccole dimensioni in settori selezionati. Si applica anche a quelle di piccole dimensioni se identificate dagli Stati membri come quelle dotate di un elevato profilo di rischio per la sicurezza.

I settori interessati dalla direttiva NIS sono:

• servizi sanitari,
• trasporti,
• istituzioni finanziarie,
• produzione e distribuzione di energia,
• fornitura di acqua,
• infrastrutture digitali
• fornitori di servizi digitali.

• le aziende che si occupano di trattamento e ricircolo dei rifiuti,

• i produttori di prodotti critici, come ad esempio le industrie farmaceutiche, le industrie alimentari, i servizi postali e spaziali,
• i fornitori di sistemi pubblici di comunicazioni,
• l’amministrazione pubblica.

Direttiva NIS e Direttiva NIS 2: cosa cambia? novità e differenze

Rispetto alla precedente Direttiva sulla sicurezza delle reti e dei sistemi informativi (Direttiva NIS1) le principali novità introdotte nella Direttiva NIS 2 sono le seguenti:

• l’ampliamento dell’ambito soggettivo di applicazione della disciplina;
• distinzione tra “soggetti essenziali” e “soggetti importanti” re l’adozione di un criterio dimensionale per la loro individuazione;
• la razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria;
  l’adozione di un approccio “multirischio”;
• la regolamentazione della divulgazione coordinata delle vulnerabilità (CVD) e le specifiche funzioni di coordinamento attribuite agli CSIRT nazionali;
• l’implementazione delle misure di cooperazione, al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di cybersicurezza su vasta scala.

• In materia di cooperazione, introduce il Gruppo di Cooperazione NIS2.

La nuova direttiva esclude dall’ambito di applicazione i soggetti operanti in settori quali

• la sicurezza nazionale,
• la pubblica sicurezza o la difesa,
• il contrasto, comprese la prevenzione, le indagini, l’accertamento e il perseguimento dei reati,
• Parlamenti e banche centrali.
• organi Costituzionali e di rilievo costituzionale (non si applica il capo relativo alla vigilanza e alle sanzioni)

Prevede uno specifico apparato sanzionatorio, più severo e armonizzato a livello europeo, allo scopo di garantire una maggiore uniformità e deterrenza in tutta l’UE. Le sanzioni sono adeguate alle previsioni di cui alla direttiva e prevedono sanzioni amministrative pecuniarie fino a 10.000.000 di euro.