Direttiva NIS2: verso il recepimento delle regole per la Cybersicurezza in Europa

5185 0

Dal Consiglio dei Ministri del 10 giugno 2024 il via libera del Governo al Decreto di recepimento della Direttiva “NIS2” direttiva (UE) 2022/2555, che dovrebbe assicurare un livello comune ed elevato di cybersicurezza in Europa.

Il 18 ottobre 2024 scade infatti il termine per il recepimento delle nuove regole europee sulla sicurezza delle reti entrate in vigore formalmente nel 2023 ma operative dal 2024. La Direttiva NIS 2 sostituirà potenziandolo, le regole del primo pacchetto di norme sulla Cybersicurezza della vecchia Direttiva NIS, datate 2016 e non più adeguate alle tante e nuove minacce informatiche europee.

  • Che cos’è la Direttiva NIS, cosa prevede e quali sono le principali novità rispetto alla precedente Direttiva NIS?

Cos’è la Direttiva NIS2?

La Direttiva NIS2 ovvero Network & Information Security è la Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 risponde all’esigenza di rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi nell’UE.

La Direttiva modifica il regolamento (UE) n. 910/2014 (sulle transazione elettroniche) e la direttiva (UE) 2018/1972 (il Codice europeo delle comunicazioni elettroniche). Infine, abroga dal 18 ottobre 2024 la precedente direttiva NIS (1) la Dir. 2016/1148 sulla sicurezza delle reti e dei sistemi informativi nell’Unione.

Cybersecurity nell’Unione: le regole per la sicurezza delle reti

Dopo il varo del primo pacchetto di regole sulla cybersicurezza in Europa nel 2016, l’UE ha introdotto il primo pacchetto di norme relative alla Cybersicurezza aggiornate nel 2022 nella Direttiva NIS2, entrata in vigore nel 2023 con l’obiettivo di tenere il passo con la maggiore digitalizzazione del Paese e con un panorama in evoluzione per le tante minacce alla cibersicurezza. Obiettivo: migliorare ulteriormente la resilienza e le capacità di risposta agli incidenti degli enti pubblici e privati, delle autorità competenti e dell’UE nel suo complesso.

Cosa prevede la Direttiva NIS 2 sulla sicurezza delle reti e dei sistemi informativi

La direttiva sulle misure per un livello comune elevato di cibersicurezza in tutta l’Unione impone agli Stati:

  • identificazione delle imprese che siano operatori di servizi essenziali e che dovranno adottare misure di sicurezza adeguate e notificare alle autorità nazionali competenti gli incidenti gravi. I
  • allestimento di un team di risposta agli incidenti di sicurezza informatica (CSIRT) e un’autorità nazionale competente in materia di reti e sistemi informativi (NIS);
  • cooperazione tra tutti gli Stati membri, istituendo un gruppo di cooperazione per sostenere e facilitare la cooperazione strategica e lo scambio di informazioni tra gli Stati membri.
  • una cultura della sicurezza in tutti i settori che sono vitali per la nostra economia e società e che dipendono fortemente dalle TIC, come l’energia, i trasporti, l’acqua, le infrastrutture bancarie, dei mercati finanziari, l’assistenza sanitaria e le infrastrutture digitali.

Direttiva NIS: a chi si rivolge?

La Direttiva NIS2 riguarda le imprese che siano operatori di servizi essenziali ma anche i principali fornitori di servizi digitali, quali i motori di ricerca, i servizi di cloud computing e i mercati online. Tutti questi soggetti dovranno rispettare gli obblighi di sicurezza e notifica previsti dalla direttiva.

Direttiva NIS 2: a quali settori si applica

Rispetto alla Direttiva NIS, la Direttiva NIS2 amplia si applica a tutte le imprese di medie e grandi dimensioni e alle imprese di piccole dimensioni in settori selezionati. Si applica anche a quelle di piccole dimensioni se identificate dagli Stati membri come quelle dotate di un elevato profilo di rischio per la sicurezza.

I settori interessati dalla direttiva NIS sono:

  • servizi sanitari,
  • trasporti,
  • istituzioni finanziarie,
  • produzione e distribuzione di energia,
  • fornitura di acqua,
  • infrastrutture digitali
  • fornitori di servizi digitali.
  • le aziende che si occupano di trattamento e ricircolo dei rifiuti,
  • i produttori di prodotti critici, come ad esempio le industrie farmaceutiche, le industrie alimentari, i servizi postali e spaziali,
  • i fornitori di sistemi pubblici di comunicazioni,
  • l’amministrazione pubblica.

Direttiva NIS e Direttiva NIS 2: cosa cambia? novità e differenze

Rispetto alla precedente Direttiva sulla sicurezza delle reti e dei sistemi informativi (Direttiva NIS1) le principali novità introdotte nella Direttiva NIS 2 sono le seguenti:

  • l’ampliamento dell’ambito soggettivo di applicazione della disciplina;
  • distinzione tra “soggetti essenziali” e “soggetti importanti” re l’adozione di un criterio dimensionale per la loro individuazione;
  • la razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria;
    l’adozione di un approccio “multirischio”;
  • la regolamentazione della divulgazione coordinata delle vulnerabilità (CVD) e le specifiche funzioni di coordinamento attribuite agli CSIRT nazionali;
  • l’implementazione delle misure di cooperazione, al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di cybersicurezza su vasta scala.
  • In materia di cooperazione, introduce il Gruppo di Cooperazione NIS2.

La nuova direttiva esclude dall’ambito di applicazione i soggetti operanti in settori quali

  • la sicurezza nazionale,
  • la pubblica sicurezza o la difesa,
  • il contrasto, comprese la prevenzione, le indagini, l’accertamento e il perseguimento dei reati,
  • Parlamenti e banche centrali.
  • organi Costituzionali e di rilievo costituzionale (non si applica il capo relativo alla vigilanza e alle sanzioni)

Prevede uno specifico apparato sanzionatorio, più severo e armonizzato a livello europeo, allo scopo di garantire una maggiore uniformità e deterrenza in tutta l’UE. Le sanzioni sono adeguate alle previsioni di cui alla direttiva e prevedono sanzioni amministrative pecuniarie fino a 10.000.000 di euro.

Direttiva NIS2: elementi chiave

La Direttiva NIS2

  • elimina la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali. Le entità verrebbero classificate in base alla loro importanza e divise in due categorie: entità essenziali e importanti, che saranno soggette a diversi regimi di vigilanza.
  • Rafforza e semplifica i requisiti di sicurezza e di reporting per le aziende imponendo un approccio di gestione del rischio, che fornisce un elenco minimo di elementi di sicurezza di base che devono essere applicati
  • introduce disposizioni più precise sul processo di segnalazione degli incidenti, sul contenuto delle segnalazioni e sulle tempistiche.
  • affronta la sicurezza delle catene di approvvigionamento e dei rapporti con i fornitori richiedendo alle singole aziende di affrontare i rischi di sicurezza informatica nelle catene di approvvigionamento e nei rapporti con i fornitori.
  • rafforza la sicurezza informatica della catena di approvvigionamento per le principali tecnologie dell’informazione e della comunicazione.
  • introduce misure di vigilanza più rigorose per le autorità nazionali, requisiti di applicazione più rigorosi e mira ad armonizzare i regimi sanzionatori tra gli Stati membri.
  • rafforza inoltre il ruolo del gruppo di cooperazione nel definire le decisioni politiche strategiche e aumenta la condivisione delle informazioni e la cooperazione tra le autorità degli Stati membri.
  • Rafforza inoltre la cooperazione operativa all’interno della rete CSIRT e istituisce la rete europea di organizzazioni di collegamento in caso di crisi informatica (EU-CyCLONe) per supportare la gestione coordinata di incidenti e crisi di cibersicurezza su larga scala.
  • crea un database delle vulnerabilità dell’UE nei prodotti e servizi ICT, che sarà gestito e mantenuto dall’agenzia dell’UE per la sicurezza informatica ( ENISA).

Cybersecurity e sicurezza informatica: libri e corsi

EPC Editore ed Istituto Informa propongono libri di Security, I.C.T. e Privacy e corsi per i professionisti di Security e Privacy

CYBERSECURITY per tutti
Castroreale Renato
Libro
Edizione: febbraio 2024
Pagine: 260
Formato: 150×210 mm
€ 19,00

Disponibile in formato e-book CYBERSECURITY per tutti
Castroreale Renato
E-book

Cybersecurity e cyberwarfare

Caria Giovanni Battista, Iaselli Michele
Libro
Edizione: gennaio 2023
Pagine: 288
Formato: 150×210 mm
€ 28,50

Il sistema integrato per la SICUREZZA delle INFORMAZIONI ed il GDPR

Castroreale Renato, Ponti Chiara
Libro
Edizione: marzo 2021
Pagine: 384
Formato: 150×210 mm
€ 23,75

Manuale di diritto di INTERNET

Corona Fabrizio, Iaselli Michele
Libro
Edizione: febbraio 2021
Pagine: 640
Formato: 170×240 mm

Allegati

Redazione InSic

Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell'ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore