L’argomento di oggi è la Direttiva NIS 2, che mira a migliorare la cyber-resilienza di infrastrutture critiche e soggetti essenziali. NIS 2 ha tutta l’aria di diventare ciò che il GDPR è diventato per la privacy dei dati degli utenti nell’UE, ma in questo caso si tratta di sicurezza delle informazioni.
Non passerà molto tempo prima che la nuova direttiva venga recepita nel diritto nazionale. Se la vostra organizzazione non è ancora pronta, è arrivato il momento di agire.
Cos’è NIS 2?
La revisione della direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS 2) è la legislazione europea in materia di sicurezza informatica. NIS 2 aggiorna e integra la direttiva NIS (Network and Information Security) originale, adottata nel 2016, e crea un quadro giuridico per migliorare il livello generale della sicurezza informatica in tutta l’UE.
La direttiva NIS 2 aggiornata si concentra su tre aree principali:
- Ampliamento del campo di applicazione: nuovi settori vengono a integrare i sette già inseriti nella direttiva NIS originale
- Nuovi meccanismi per la segnalazione dei casi e la condivisione delle informazioni: NIS 2 impone la segnalazione tempestiva di casi significativi
- Applicazione più rigorosa della conformità: l’aggiornamento a NIS 2 introduce sanzioni specifiche per la mancata conformità, comprese ammende fino al 2% del fatturato annuo globale
A quali organizzazioni si applica NIS 2?
Come accennato in precedenza, la direttiva rivista amplia notevolmente l’ambito di applicazione rispetto alla versione originale del 2016. Inoltre, NIS 2 introduce una classificazione che divide i settori coperti in due categorie:
- Settori ad alta criticità (Allegato I):
- Energia (elettricità, teleriscaldamento e teleraffreddamento, gas, idrogeno, petrolio)
- Trasporti (aereo, ferroviario, marittimo, stradale)
- Settore bancario
- Infrastrutture del mercato finanziario
- Sanità
- Acqua potabile
- Acque reflue
- Infrastruttura digitale
- Gestione dei servizi ICT (MSP, MSSP)
- Enti di pubblica amministrazione
- Settore spaziale
- Altri settori critici (Allegato II):
- Servizi postali e di corriere
- Gestione dei rifiuti
- Fabbricazione, produzione e distribuzione di prodotti chimici
- Produzione, lavorazione e distribuzione di cibo
- Settore manifatturiero (dispositivi medici, computer, prodotti elettronici o ottici, apparecchiature elettriche, macchinari, veicoli a motore, altri mezzi di trasporto)
- Fornitori digitali
- Ricerca
Oltre a classificare i settori, NIS 2 introduce un’ulteriore classificazione di specifici soggetti. Anch’essa si compone di due categorie:
- Essenziale (Articolo 3.1):
- Grandi realtà (ricavo annuo superiore a 50 milioni di euro) in settori ad alta criticità
- Autorità di certificazione, registrar di domini di primo livello e provider DNS, indipendentemente dalle dimensioni dell’azienda
- Operatori di telecomunicazioni, da medie dimensioni in su (ricavi oltre 10 milioni di euro)
- Istituzioni di pubblica amministrazione
- Qualsiasi soggetto appartenente a un settore altamente critico o a un altro settore critico definito da uno Stato membro dell’UE come essenziale
- Soggetti definiti critici ai sensi della Direttiva (UE) 2022/2557
- Importante (Articolo 3.2):
- Soggetti di medie dimensioni (ricavo annuo di 10-50 milioni di euro) in settori ad alta criticità
- Medi e grandi soggetti in altri settori critici
- Qualsiasi soggetto definito come importante da uno Stato membro dell’UE
La categoria a cui appartiene un soggetto ha implicazioni pratiche significative. Le attività dei soggetti classificati come essenziali saranno sottoposte a una supervisione molto più rigorosa e proattiva, che includerà investigazioni inattese, speciali controlli di sicurezza e richieste di prove di conformità. In caso di non conformità con NIS 2, i soggetti essenziali possono incorrere in una multa fino a 10 milioni di euro o fino al 2% del fatturato annuo globale.
I soggetti classificati come importanti sentiranno meno il fiato sul collo: saranno interessati da controlli meno rigorosi. Per i soggetti importanti le sanzioni sono leggermente più contenute: fino a 7 milioni di euro o fino all’1,4% del fatturato globale annuo.
Tempistiche di NIS 2
Si noti che, a differenza del GDPR, NIS 2 è una direttiva dell’Unione Europea, non un regolamento. Ciò significa che gli Stati membri dell’UE sono tenuti per legge a modificare la propria legislazione nazionale entro il termine stabilito. Nel caso di NIS 2, la scadenza è fissata per il 17 ottobre 2024.
Inoltre, gli Stati membri dell’UE dovranno stilare gli elenchi dei soggetti essenziali e importanti interessati da NIS 2 entro il 17 aprile 2025.
Può essere utile rivisitare la cronologia delle fasi principali di NIS 2:
- 6 luglio 2016: adozione della Direttiva (UE) 2016/1148, l’originaria NIS
- 9 maggio 2018: termine per il recepimento della direttiva NIS negli Stati membri dell’UE
- 7 luglio 2020: avvio delle consultazioni della Commissione Europea (CE) sulla revisione del NIS
- 16 dicembre 2020: pubblicazione della proposta di NIS2 da parte della CE
- 13 maggio 2022: voto del parlamento europeo sull’adozione della direttiva NIS 2
- 10 novembre 2022: approvazione della Direttiva NIS 2 da parte del Consiglio dell’UE
- 14 dicembre 2022: pubblicazione della Direttiva NIS 2 nella Gazzetta Ufficiale dell’UE con il titolo Direttiva (UE) 2022/2555
- 16 gennaio 2023: entrata in vigore della Direttiva NIS 2
- 17 ottobre 2024: termine ultimo per gli Stati membri dell’UE per il recepimento della direttiva NIS 2 nelle rispettive legislazioni nazionali
- 17 aprile 2025: termine ultimo per gli Stati membri dell’UE per la compilazione degli elenchi dei soggetti essenziali e importanti. Questi elenchi dovranno poi essere aggiornati regolarmente almeno ogni due anni
- 17 ottobre 2027: revisione della direttiva NIS 2
Come prepararsi all’attuazione di NIS 2?
- Valutate se e in che misura i requisiti di NIS 2 si applicano alla vostra organizzazione
- Indagate in che modo la direttiva NIS è stata recepita nella legislazione nazionale nel vostro Stato membro dell’UE
- Seguite le raccomandazioni delle autorità nazionali per la sicurezza informatica
- Valutate e sviluppate misure tecniche, operative e organizzative per la gestione della rete e dei sistemi informativi; rischi per la sicurezza
Maggiori informazioni sulla Direttiva UE sulla sicurezza delle reti e dell’informazione e su come le organizzazioni possono prepararsi alla sua attuazione sono disponibili nel nostro sito dedicato a NIS 2.