cybersecurity

NIS 2 approvata: gli effetti su aziende e PA

La Direttiva NIS 2 amplia la portata della Nis 1, introducendo attività e vincoli soprattutto in tema di risposta agli incidenti, sicurezza della catena di approvvigionamento, crittografia, divulgazione delle vulnerabilità software e certificazione di prodotto per la cybersecurity. Obiettivi e applicazione

Pubblicato il 21 Nov 2022

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

Security Solutions - Global Security - Online Security - House Security

Il nuovo quadro comune in ambito di cybersecurity è stato approvato dal Parlamento europeo. Con 577 voti favorevoli, i deputati europei hanno approvato la nuova normativa NIS 2 in materia di cybersecurity, che andrà a sostituire la NIS 1 del 2016, recepita in Italia senza sostanziali modifiche con il D. Lgs. N. 65/2018.

Il relatore del testo Bart Groothuis ha dichiarato che “Il ransomware e le altre minacce informatiche hanno predato l’Europa per troppo tempo. Dobbiamo agire per rendere le nostre imprese, i nostri governi e la nostra società più resistenti alle operazioni informatiche ostili”.

Obiettivi e applicazione della direttiva NIS2

La NIS 1 (direttiva UE 2016/1148) è stato il primo strumento normativo con lo scopo di costruire un alto livello di cybersecurity tra i diversi Stati membri dell’Unione Europea. Sebbene la direttiva NIS si sia rivelata uno strumento funzionale al progressivo innalzamento delle misure di cyber-resilienza, la sua attuazione è stata eterogenea, dato il livello di discrezionalità conferito agli Stati membri.

La Direttiva NIS 2 arricchisce e amplia la portata rispetto alla precedente, allargando quali-quantitativamente il perimetro di azione ed introducendo una serie di attività e vincoli in capo ai destinatari, soprattutto in tema di risposta agli incidenti, sicurezza della catena di approvvigionamento, crittografia, divulgazione delle vulnerabilità software e certificazione di prodotto per la cybersecurity.

La nuova direttiva individua due categorie di settori ai quali si applica: settori altamente critici e settori critici. Nei primi abbiamo energia, trasporti, banche e mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione di servici ICT, Pubblica Amministrazione, spazio. Nei secondi abbiamo: fornitori di servizi postali, compresi i servizi di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, manifatture, fornitori di servizi digitali, ricerca.

Direttiva NIS2 approvata: i nuovi obblighi di cyber sicurezza per le aziende

In particolare, la presente direttiva mira a superare le carenze della differenziazione tra gli operatori di servizi essenziali e i fornitori di servizi digitali, ritenuta obsoleta in quanto non riflette l’effettiva importanza dei settori o dei servizi per le attività sociali ed economiche nel mercato interno.

Oltre all’estensione dei soggetti per comparto, il testo opera un’armonizzazione dei parametri per l’individuazione dei soggetti sottoposti agli obblighi della NIS 2 tramite l’introduzione di un criterio relativo alle dimensioni aziendali (Raccomandazione 2003/361/CE, artt. 1 e 2) che fissa i criteri per individuare medie e grandi imprese. Tutte le aziende a partire dalle medie operanti nei citati settori sono oggetto di applicazione della direttiva.

A ogni modo le disposizioni potrebbero essere applicate anche alle imprese di piccole dimensioni qualora siano ritenute essenziali per la vita economico-sociale di uno Stato membro.

Cybersecurity, perché è ormai una priorità per l’Italia: tre fattori che cambiano tutto

Gli effetti delle nuove disposizioni sulla PA

Per quanto concerne la PA le disposizioni producono effetti sull’interezza dell’amministrazione centrale dello Stato e sulle amministrazioni regionali i cui servizi sono ritenuti fondamentali in attività sociali o economiche critiche. Discrezionalmente i singoli Stati nazionali possono estendere l’applicazione della Direttiva anche alle amministrazioni locali e agli istituti di ricerca, specialmente se svolgono attività di ricerca considerate “critiche”. Tuttavia, la NIS 2 non è applicabile alle articolazioni statali che hanno compiti di sicurezza nazionale e pubblica, della difesa e del perseguimento dei reati.

Nell’opera di omogeneizzazione e unificazione degli standard è lasciata facoltà ai singoli Stati membri, secondo il criterio di “armonizzazione minima”, di mantenere o optare per dei livelli più elevati di cybersecurity, fermo restando la coerenza con gli obblighi stabiliti dalla normativa dell’Unione.

Cosa deve prevedere una strategia nazionale per la cybersecurity

Di fatto, la norma prevede che ogni Stato membro adotti una strategia nazionale per la cybersecurity (entro tre mesi dall’adozione della normativa) che preveda:

  • gli obiettivi e le priorità della strategia per la cybersecurity dello Stato membro, che riguardano in particolare i settori ad “alta criticità” e “critici”;
  • un quadro di governance che chiarisca i ruoli e le responsabilità dei pertinenti portatori di interessi a livello nazionale;
  • un quadro strategico per il rafforzamento del coordinamento tra le autorità competenti a norma della presente direttiva e le autorità competenti a norma della direttiva (UE);
  • un piano, comprendente le misure necessarie, per aumentare il livello generale di consapevolezza dei cittadini in materia di cybersecurity.

L’ENISA e la Commissione fungono anche da punto di collegamento con il punto di contatto unico nazionale designato tra le autorità competenti e responsabili della cybersecurity e dei compiti di vigilanza di ogni Stato Membro.

Gli obblighi di notifica e segnalazione

Per quanto concerne gli obblighi di notifica e segnalazione, l’articolo 23 evidenzia che ciascuno Stato membro provvederà affinché i soggetti altamente critici e critici notifichino gli incidenti significativi, senza indebito ritardo, al proprio CSIRT o, se opportuno, alla propria autorità competente e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente. Inoltre, viene introdotto il termine delle 72 ore entro le quali inviare una notifica dell’incidente che, se opportuno, aggiorni le informazioni della prima segnalazione e indichi una valutazione iniziale dell’incidente, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, degli indicatori di compromissione.

La nuova normativa applica delle modifiche anche alle condizioni generali per l’imposizione delle sanzioni amministrative pecuniarie ai soggetti interessati.

Infine, secondo quanto previsto dall’articolo 41, entro 21 mesi dalla data di entrata in vigore della presente direttiva, gli Stati membri sono obbligati ad adottare e pubblicare le misure necessarie per conformarsi alla presente norma.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati