È noto il fatto che la Direttiva NIS2 si trovi attualmente ad introdurre nuove disposizioni in materia di sicurezza informatica per un vasto numero di imprese, con l’obiettivo di assicurare un elevato livello comune di protezione contro gli attacchi cibernetici. La normativa impone rigorosi requisiti di governance, gestione dei rischi e segnalazione degli incidenti. Essa rappresenta una “linea” volta a potenziare la sicurezza informatica nell’Unione Europea. Questo regolamento, che è entrato in vigore il 17 gennaio 2023, richiede il suo recepimento da parte degli Stati membri entro il 17 ottobre 2024.
Nello specifico, il termine “NIS 2” è un’abbreviazione riferita alla nuova direttiva europea sulla cybersicurezza, ufficialmente nota come Direttiva sulle misure per un livello comune elevato di cybersicurezza in tutta l’Unione. “NIS” è un acronimo di “Network and Information Systems”, evidenziando l’intenzione di creare una strategia comune per la cybersecurity tra tutti gli stati membri dell’Unione Europea, con l’obiettivo principale di migliorare i livelli di sicurezza delle reti e dei sistemi informativi nell’intera area UE. La Direttiva NIS2 rappresenta un cambiamento significativo rispetto alla precedente Direttiva NIS1, approvata nel 2016 dall’Unione Europea (Direttiva UE 2016/1148) e recepita in Italia nel 2018. Questa nuova direttiva si integra con varie normative e linee guida europee in materia di protezione dei dati e privacy, compreso il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (GDPR), il Regolamento DORA, la Direttiva CER, il Cyber Resilience Act e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.
Il suo obiettivo principale è quello di potenziare le misure di sicurezza informatica, specialmente nei settori critici come energia, trasporti e servizi finanziari, che potrebbero avere impatti significativi su intere nazioni. La Direttiva NIS2 si applica a tutte le organizzazioni che operano in uno o più Stati membri dell’UE e rientrano nelle categorie di Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (DSP). Queste categorie includono organizzazioni che forniscono servizi essenziali per la società, come energia, acqua, comunicazioni, trasporti e finanza, nonché organizzazioni che forniscono servizi online ampiamente utilizzati nell’UE, come social media, motori di ricerca e piattaforme di e-commerce.
Indipendentemente dalle dimensioni, la NIS2 si applica anche ai soggetti ritenuti critici per i settori menzionati, ai fornitori di servizi di registrazione di dominio e alle pubbliche amministrazioni centrali e regionali. Le imprese coinvolte devono rispettare obblighi specifici riguardanti la gestione dei rischi di cybersicurezza e la segnalazione degli incidenti, compresa la valutazione dei rischi, l’implementazione di misure di sicurezza adeguate, la gestione degli incidenti di sicurezza e la notifica tempestiva delle violazioni alle autorità competenti.
Nel complesso, la crescente digitalizzazione e interconnessione della società hanno aumentato l’esposizione di istituzioni, imprese e cittadini alle minacce informatiche. Gli attacchi hanno registrato un notevole aumento in termini di frequenza e gravità, come evidenziato dal rapporto Clusit 2023. Le conseguenze sociali ed economiche degli attacchi cyber sono diventate sempre più gravi, con l’80% degli attacchi nel 2022 che ha causato impatti gravi o molto gravi, rispetto al 52% di cinque anni fa. Il contesto geopolitico attuale presenta un rischio senza precedenti, includendo le minacce cyber come un nuovo elemento di elevata rischiosità. L’Unione Europea ha riconosciuto la necessità di aumentare la resilienza e la risposta ai rischi cyber, coinvolgendo sia l’Unione che gli Stati Membri, le imprese e le pubbliche amministrazioni.
Dunque la direttiva amplia significativamente il perimetro di applicazione, includendo sia grandi che medie imprese in settori critici, con criteri specifici per l’individuazione delle pubbliche amministrazioni coinvolte. Si stima che circa 110.000 entità saranno direttamente coinvolte, con implicazioni significative sulla catena di approvvigionamento. Le entità soggette alla NIS2 devono adottare misure di governance, gestione dei rischi, sicurezza della catena di fornitura e segnalazione degli incidenti. La conformità è essenziale, con sanzioni più severe per le entità essenziali rispetto a quelle importanti: le imprese devono valutare il proprio livello di conformità e prepararsi in anticipo per adempiere agli obblighi della direttiva.
In conclusione, la suddetta Direttiva NIS2 rappresenta uno strumento cruciale per guidare le organizzazioni verso una maggiore resilienza contro le sfide del panorama cyber attuale e gli attori coinvolti devono prepararsi tempestivamente ed efficacemente per gestire i rischi emergenti nei prossimi anni, seguendo gli insegnamenti del passato, come è avvenuto con il GDPR dal 2016 al 2020.
Scrivi un commento
Devi accedere, per commentare.