La Direttiva europea NIS2 per punti essenziali

La Direttiva NIS2 (Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 sulla sicurezza delle reti e delle informazioni, l’acronimo NIS sta per Network and Information Security) è entrata in vigore il 17 gennaio 2023, rappresentando un passo significativo nella definizione della strategia dell’UE per la cybersicurezza.

1. Contesto e motivazioni NIS2

Essa si inserisce nell’ambito della rapida trasformazione digitale e dell’interconnessione della società, riconoscendo che i sistemi informatici e di rete occupano una posizione centrale in questo processo e mira a rafforzare la cybersicurezza nell’UE attraverso un approccio più uniforme e aggiornato, rispondendo alle sfide emergenti e promuovendo una maggiore cooperazione. Riconosce che i cyber attacchi alle infrastrutture critiche possono causare impatti economici e sociali di massa, diventando armi potenti di interruzione di massa. Rispetto alla Direttiva precedente (NIS) del 2016, ha apportato significative revisioni, rilevando nella precedente normativa carenze intrinseche nella sua attuazione e nell’affrontare le sfide emergenti in materia di sicurezza informatica.

2. Uniformità e coordinamento

La NIS2 intende eliminare divergenze nell’attuazione della normativa tra gli Stati membri, promuovendo un quadro normativo più uniforme e coordinato. Aumenterà la cooperazione tra gli Stati membri e aggiornerà l’elenco dei settori soggetti agli obblighi in materia di cybersicurezza. Essa estende gli obblighi di sicurezza a un maggior numero di settori e servizi ritenuti vitali per le attività sociali ed economiche, superando la precedente distinzione tra operatori di servizi essenziali e fornitori di servizi essenziali. La Direttiva NIS2 entrerà in vigore nelle legislazioni nazionali entro il 18 ottobre 2024. Nel frattempo, gli operatori di servizi essenziali e digitali rimangono soggetti alla Direttiva NIS già in vigore dal 2016. Gli attori interessati dovranno prepararsi e allineare le loro organizzazioni e i loro processi ai nuovi obblighi di sicurezza.

3. A chi si applica la NIS2: superamento della categorizzazione precedente

La NIS 2 supera la categorizzazione precedente di “operatori di servizi essenziali” e “fornitori di servizi essenziali”. Introduce le nuove categorie di “soggetti essenziali” e “soggetti importanti” per una più semplice e coerente identificazione degli operatori.

Potrebbero interessarti anche:

• Legislazione CYBER SECURITY: il nuovo ordine esecutivo del Presidente americano Obama e la recente proposta di direttiva UE- Network and Information Security (NIS)
• Strategia europea per i dati: Data Governance Act dal 24 settembre

4. Settori essenziali e fornitori di servizi digitali

Si applica ai settori essenziali dell’energia, dei trasporti, delle banche, delle infrastrutture finanziarie, dell’acqua, della sanità e delle infrastrutture digitali. Includerà anche fornitori di servizi digitali nei settori dell’e-commerce, motori di ricerca, cloud computing, gestione dei servizi ICT, della pubblica amministrazione e dello spazio. La NIS 2 elenca “altri settori critici” che includono servizi postali, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, produzione di alimenti, fabbricazione di dispositivi medici, fabbricazione di computer ed elettronica, fabbricazione di apparecchiature elettriche, fabbricazione di macchinari, fabbricazione di autoveicoli, fornitori di servizi digitali, organizzazioni di ricerca. La NIS 2 si applica anche ai fornitori di reti di comunicazione, servizi di comunicazione elettronica, fornitori di servizi di registrazione dei nomi di dominio e alcune entità della pubblica amministrazione. Rientrano nel perimetro di applicazione anche i soggetti definiti “critici” dalla Direttiva CER (UE) 2022/2557.

5. Criterio dimensionale

Il criterio principale per la categorizzazione è la dimensione del soggetto, considerando “alta criticità” o “altri settori critici” quelli che prestano servizi o svolgono attività nell’Unione e sono considerati medie imprese o superano i massimali per le medie imprese.

6. Ruolo degli Stati membri

Spetterà agli Stati membri definire un elenco di soggetti essenziali e importanti entro il 17 aprile 2025. L’elenco dovrà essere riesaminato e aggiornato almeno ogni due anni per garantire uniformità nell’applicazione della Direttiva NIS 2.

7. Compliance come elemento chiave

La compliance non è considerata solo come documentazione formale, ma come un elemento chiave per l’efficace implementazione delle misure di sicurezza. La NIS 2 concede maggiori poteri alle autorità competenti, in particolare per quanto riguarda il monitoraggio delle entità essenziali soggette a vigilanza. L’autorità può esercitare vigilanza sia in modo preventivo (ex ante) che successivo all’incidente (ex post).

8. Le sanzioni

Le entità essenziali che non rispettano gli obblighi di sicurezza cibernetica possono essere sanzionate fino a un massimo di 10 milioni di euro o il 2% del fatturato, a seconda di quale importo risulti più elevato (articolo 34, punto 4). I soggetti considerati “importanti” possono essere soggetti a sanzioni fino a un massimo di 7 milioni di euro o l’1,4% del loro fatturato, a seconda di quale importo risulti più elevato (articolo 34, punto 5). Le sanzioni rappresentano uno strumento significativo per incentivare la conformità e la sicurezza cibernetica efficace. L’importo massimo delle sanzioni è proporzionato al fatturato dell’entità e serve come deterrente per garantire che le organizzazioni adottino misure adeguate per proteggere la sicurezza delle reti e delle informazioni. La NIS 2, in questo contesto, punta a rafforzare la responsabilità delle entità essenziali e importanti nel garantire una cybersicurezza adeguata.

Vuoi ricevere aggiornamenti costanti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!