Ascolta l’articolo
La direttiva NIS2 costituisce una pietra miliare nella legislazione dell’Unione Europea relativa alla cibersicurezza, delineando una serie di misure giuridiche volte a potenziare il livello complessivo di sicurezza informatica nell’UE.
Aggiornando le norme dell’UE introdotte nel 2016, la direttiva NIS2 è stata implementata nel 2023, offrendo una revisione del quadro normativo preesistente per adeguarlo alla crescente digitalizzazione e alle mutevoli minacce nel panorama della cibersicurezza. Estendendo la portata delle norme sulla cibersicurezza a nuovi settori e soggetti, mira a migliorare ulteriormente la resilienza e le capacità di risposta agli incidenti, sia nel settore pubblico che privato, oltre che a livello di autorità competenti e dell’UE nel suo complesso.
La direttiva, formalmente nota come “Direttiva sulle misure per un livello comune elevato di cibersicurezza in tutta l’Unione” (NIS2), stabilisce una serie di provvedimenti finalizzati a rafforzare la sicurezza informatica nell’UE, assicurando:
- La preparazione degli Stati membri, imponendo loro di dotarsi di risorse adeguate, come team di risposta agli incidenti di sicurezza informatica (CSIRT) e un’autorità nazionale competente in materia di reti e sistemi informativi (NIS).
- La promozione della cooperazione tra tutti gli Stati membri attraverso l’istituzione di un gruppo di cooperazione, mirante a sostenere e facilitare lo scambio di informazioni strategiche tra gli Stati membri.
- La promozione di una cultura della sicurezza in tutti i settori vitali per l’economia e la società, che dipendono fortemente dalle tecnologie dell’informazione e della comunicazione (TIC), quali l’energia, i trasporti, l’acqua, le infrastrutture bancarie e dei mercati finanziari, l’assistenza sanitaria e le infrastrutture digitali.
Le imprese identificate dagli Stati membri come operatori di servizi essenziali in tali settori devono adottare misure di sicurezza adeguate e notificare agli enti nazionali competenti gli incidenti gravi. Inoltre, i principali fornitori di servizi digitali, quali i motori di ricerca, i servizi di cloud computing e i mercati online, devono rispettare gli obblighi di sicurezza e notifica previsti dalla direttiva.
Approfondiamo nel dettaglio
Che cosa rappresenta NIS 2?
NIS 2 è il termine abbreviato utilizzato per riferirsi alla recente direttiva europea in materia di cybersecurity, ufficialmente denominata Direttiva sulle misure per un alto livello uniforme di sicurezza cibernetica in tutta l’Unione.
NIS sta per “Network and Information Systems”, poiché la direttiva include misure progettate per migliorare la sicurezza delle reti e dei sistemi informativi dei Paesi dell’Unione Europea.
La direttiva NIS 2 ha sostituito la precedente NIS 1, che era stata adottata dall’UE nel 2016 (Direttiva UE 2016/1148) e implementata in Italia nel 2018.
Perché l’UE ha adottato la nuova direttiva NIS?
La recente direttiva europea sulla cybersecurity, NIS 2, è stata introdotta per affrontare le carenze della precedente NIS 1. Queste carenze sono diventate evidenti quasi immediatamente dopo la sua introduzione, a causa di un aumento generalizzato della digitalizzazione in tutti i Paesi membri, che ha espanso la cosiddetta superficie di attacco informatico.
Questo è un indicatore che esprime alcune relazioni molto semplici ma cruciali: più grande è la superficie di attacco, più alto è il rischio che gli attacchi possano avere successo, quindi più gravi sono i danni potenziali, e di conseguenza, deve essere aumentato il livello di protezione dei sistemi.
L’obsolescenza della direttiva NIS 1 è stata ulteriormente accelerata dal Covid-19, che ha spinto inaspettatamente la diffusione dei sistemi e delle tecnologie digitali, senza tuttavia una corrispondente crescita nelle misure e nei sistemi di sicurezza implementati.
Chi è soggetto alla Direttiva NIS 2?
Per determinare quali aziende devono adempiere agli obblighi stabiliti, la direttiva NIS 2 si basa su tre criteri: il settore di appartenenza, la dimensione dell’azienda e il ruolo che l’azienda svolge nel suo settore.
La NIS 2 si applica a settori suddivisi in settori di alta criticità e settori critici:
Settori di alta criticità: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestori di servizi Tlc b2b, pubblica amministrazione e settore spaziale; Altri settori critici: servizi postali e di corriere; gestione dei rifiuti; produzione, fabbricazione e distribuzione di sostanze chimiche; produzione, trasformazione e distribuzione di alimenti; fabbricazione (in sei sotto-settori: dispositivi medici e diagnostici in vitro; computer e prodotti di elettronica e ottica; apparecchiature elettriche; macchinari e apparecchiature n.c.a.; autoveicoli, rimorchi e semirimorchi; altri mezzi di trasporto); fornitori di servizi digitali; ricerca. All’interno di questi settori, la direttiva NIS 2 si applica a entità pubbliche o private di dimensioni medie o grandi.
Indipendentemente dalle loro dimensioni, la NIS 2 si applica anche alle entità considerate critiche per i settori menzionati, ai fornitori di servizi di registrazione di dominio e alle amministrazioni pubbliche centrali e regionali.
NIS 2, quando non è applicabile e quando gli Stati decidono
Per alcune categorie di entità, la NIS 2 non è applicabile, oppure la decisione di applicarla o meno è lasciata alla discrezione di ciascuno Stato membro.
La NIS 2 non si applica a: Amministrazioni Pubbliche che si occupano di sicurezza nazionale, sicurezza pubblica, difesa e contrasto dei reati; entità nel settore giudiziario; parlamenti; banche centrali.
La direttiva NIS 2 può essere applicata a discrezione di ciascuno Stato membro nel caso di Amministrazioni Pubbliche locali e istituti di istruzione con funzioni di ricerca.
Oltre a questi casi, gli Stati membri possono decidere di escludere anche altre entità dalla direttiva.
Che cosa stabilisce la Direttiva NIS 2?
La Direttiva NIS 2 impone norme minime che tutti gli Stati membri devono seguire per garantire un’armonizzazione maggiore a livello dell’UE in termini di legislazioni e procedure di cibersicurezza. Tuttavia, gli Stati individuali hanno la libertà di adottare normative nazionali più rigide, scegliendo di aumentare ulteriormente il loro livello di cibersicurezza nazionale.
Con la Direttiva NIS 2 sono anche previsti meccanismi di cooperazione tra le autorità nazionali di cybersecurity e viene istituita una rete europea per le crisi informatiche (EU-CyCLONe) che prevede la gestione coordinata degli incidenti e delle crisi di cibersicurezza.
Tutti gli Stati e le aziende coinvolte sono obbligati a condividere le informazioni rilevanti per la cibersicurezza.
La Direttiva prevede inoltre una serie di azioni per aumentare il livello di cibersicurezza nel mercato europeo, suddivise tra azioni che devono essere intraprese dai singoli Stati e azioni rivolte alle aziende.
Gli Stati membri devono adottare strategie nazionali di cibersicurezza, creare autorità nazionali di cibersicurezza, autorità di gestione delle crisi informatiche, punti di contatto unici per la sicurezza e team di risposta agli incidenti di sicurezza informatica (i cosiddetti CSIRT); rispettare gli obblighi di supervisione e attuazione.
Le aziende devono rispettare gli obblighi di gestione dei rischi di cibersicurezza e di segnalazione. Tra gli obblighi che le aziende devono rispettare secondo la Direttiva NIS 2 c’è anche l’uso di soluzioni di autenticazione multi-fattore o di autenticazione continua.
VUOI PORTARE LA TUA AZIENDA NEL FUTURO ADERENDO ALLA DIRETTIVA NIS2?