La direttiva NIS-2 (Network and Information Systems Directive) è un passo importante verso il rafforzamento della sicurezza informatica nell'Unione europea (UE). Vorremmo presentarvi le implicazioni di vasta portata della direttiva NIS-2 per le aziende e le organizzazioni pubbliche di tutta l'UE.
Contesto e obiettivi della direttiva NIS 2
La direttiva NIS originale è stata adottata nel 2016 e ha costituito il primo quadro giuridico a livello di UE per la sicurezza informatica. Obbligava gli Stati membri a introdurre strategie nazionali di cybersicurezza e stabiliva i requisiti per gli operatori di servizi essenziali e i fornitori di servizi digitali.
La direttiva NIS 2, pubblicata nella Gazzetta ufficiale dell'Unione europea L333 il 27 dicembre 2022, aggiorna e amplia in modo significativo il quadro esistente. Il suo obiettivo principale è rispondere alla crescente complessità e interconnessione dei sistemi digitali e alle crescenti minacce informatiche. L'obiettivo è migliorare la resilienza delle infrastrutture critiche e garantire un elevato livello comune di sicurezza all'interno dell'UE.
Ecco le principali novità della Direttiva NIS 2
- Area di applicazione estesa
La direttiva NIS 2 copre una gamma più ampia di settori e aziende. Oltre ai settori già coperti dalla direttiva NIS (ad esempio, energia, trasporti, sanità, finanza), sono ora inclusi anche altri settori come la pubblica amministrazione, lo spazio, l'approvvigionamento alimentare e le infrastrutture digitali. - Requisiti di sicurezza più severi
I requisiti per la sicurezza delle reti e dei sistemi informativi sono stati notevolmente aumentati. Le aziende sono ora obbligate ad adottare misure più complete per proteggersi dagli attacchi informatici e a verificarne regolarmente l'efficacia. - Esteso Obblighi di rendicontazione
La direttiva inasprisce gli obblighi di segnalazione degli incidenti di sicurezza. Le aziende sono obbligate a segnalare gli incidenti significativi alle autorità competenti entro 24 ore e a fornire ulteriori informazioni dettagliate entro 72 ore. - Responsabilità e sanzioni
La Direttiva NIS 2 introduce norme e sanzioni più severe in materia di responsabilità. Le aziende che non adempiono ai loro obblighi dovranno affrontare multe severe e altre conseguenze legali. - Miglioramento della collaborazione e del coordinamento
La direttiva promuove una più stretta cooperazione tra gli Stati membri dell'UE, in particolare attraverso la creazione di un Centro europeo per la sicurezza informatica. Il centro ha il compito di migliorare il coordinamento e lo scambio di informazioni tra le autorità nazionali e di sostenere la risposta congiunta alle minacce informatiche transfrontaliere.
Sfide nell'attuazione della direttiva NIS 2
L'attuazione della direttiva NIS 2 pone notevoli sfide agli Stati membri e alle imprese. Queste includono:
- Adeguamenti legali: Ogni Paese dell'UE deve adattare le leggi e i regolamenti nazionali ai nuovi requisiti. Ciò richiede una stretta collaborazione tra i legislatori nazionali e le istituzioni europee.
- Spesa per le risorse: Soddisfare i nuovi requisiti di sicurezza richiede notevoli investimenti in tecnologia, personale e formazione. Soprattutto le piccole e medie imprese (PMI) possono avere difficoltà a mettere a disposizione le risorse necessarie.
- Cambiamento culturale: È essenziale creare una forte cultura della sicurezza all'interno delle organizzazioni. Ciò richiede un ripensamento a tutti i livelli dell'organizzazione e la definizione della sicurezza informatica come priorità aziendale centrale.
Stato dell'adattamento legale del NIS-2 nei paesi dell'UE
I requisiti dell'UE devono essere implementati negli Stati membri attraverso le leggi nazionali entro il 18 ottobre 2024.
Tre dei 27 Stati membri dell'UE hanno già implementato l'adeguamento legale e pubblicato i regolamenti corrispondenti nelle rispettive Gazzette Ufficiali: Belgio, Croazia e Ungheria.
Le bozze sono già state presentate in Germania, Finlandia, Italia, Lettonia, Lussemburgo, Paesi Bassi, Austria, Polonia, Slovacchia, Slovenia, Repubblica Ceca e Cipro.
Il calendario di attuazione nei restanti dodici Stati membri dell'UE non è ancora noto. È prevedibile che non sia possibile rispettare la scadenza in un paese o nell'altro.
Suggerimento di lettura: L'importanza della governance per le aziende
Queste aziende e organizzazioni sono interessate dal NIS-2
In linea di principio, sono interessate le aziende con 50 o più dipendenti e un fatturato annuo di almeno 10 milioni di euro.
La direttiva NIS 2 si rivolge anche a organizzazioni e aziende "essenziali" e "importanti".
Le strutture essenziali comprendono aziende di importanza significativa per la comunità. Il loro fallimento avrebbe gravi conseguenze. Il NIS-2 nomina specificamente undici aree:
- Energia (elettricità, teleriscaldamento, petrolio greggio, gas naturale, idrogeno)
- Trasporto (trasporto aereo, trasporto ferroviario, trasporto marittimo, trasporto stradale)
- Settore bancario
- Mercati finanziari
- Salute (compresi fornitori di assistenza sanitaria, ricerca medica, prodotti farmaceutici, dispositivi medici)
- Acqua potabile (approvvigionamento idrico)
- Acque reflue (smaltimento delle acque reflue)
- Amministrazioni pubbliche
- Infrastruttura digitale (nodi internet, cloud provider, centri dati, comunicazione elettronica)
- Gestione dei servizi ICT (B2B) (fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti)
- Spazio
I seguenti sette settori sono classificati come "importanti":
- Servizi postali e di corriere
- Rifiuti
- Cibo
- Prodotti chimici
- Servizi digitali (motori di ricerca, mercati online, servizi cloud, social network),
- Industria (compresa l'ingegneria meccanica, la costruzione di veicoli, le apparecchiature per l'elaborazione dei dati)
- Ricerca
Se le dimensioni dell'azienda e il settore coincidono, si applica la direttiva NIS-2. Se un'azienda svolge un'attività critica e c'è il rischio di un impatto sull'ordine pubblico in caso di fallimento di questa attività, può rientrare nella direttiva NIS-2 anche se le dimensioni dell'azienda non sono state raggiunte.
Tuttavia, la Direttiva NIS2 non si applica alle istituzioni che svolgono attività in settori quali la difesa, la sicurezza nazionale, la pubblica sicurezza e l'applicazione della legge. Sono esclusi anche il sistema giudiziario, i parlamenti e le banche centrali.
Conclusione: a partire dall'autunno 2024, le aziende e le istituzioni pubbliche saranno tenute ad attuare rapidamente i nuovi requisiti e ad armarsi in modo proattivo contro i rischi informatici. Questo è l'unico modo per garantire un elevato livello di sicurezza e fiducia nell'infrastruttura digitale dell'UE.