La Direttiva NIS 2 costituisce un passo decisivo nell’evoluzione delle politiche di cybersicurezza dell’Unione Europea. In un contesto sempre più digitalizzato e interconnesso, il nuovo quadro normativo si propone di rafforzare la resilienza delle infrastrutture critiche e delle organizzazioni.
La nuova Direttiva NIS, recepita in Italia con il decreto legislativo n. 138/2024, rappresenta un’importante evoluzione nel quadro normativo della sicurezza informatica europea. Questo decreto, che abroga il precedente d.lgs. n. 65/2018, punta ad aumentare il livello di sicurezza cibernetica attraverso regole più armonizzate tra gli Stati membri e standard di protezione rafforzati per operatori e infrastrutture critiche.
Tra le principali novità, spicca l’estensione degli ambiti di applicazione: la normativa ora copre oltre 80 categorie di soggetti suddivisi in 18 settori, con un focus su 11 settori altamente critici (rispetto agli 8 precedenti) e 7 settori critici aggiuntivi. Viene inoltre ampliata la portata alle infrastrutture ICT nel loro complesso, superando il precedente limite ai soli sistemi che supportavano servizi essenziali.
La nuova normativa distingue tra soggetti essenziali e importanti, applicando un meccanismo di identificazione automatica per le imprese medie e grandi. È prevista anche la possibilità di inclusione governativa, su segnalazione delle autorità competenti, per garantire che nessun operatore rilevante venga escluso.
Tra le altre innovazioni, si segnalano obblighi rafforzati per la gestione dei rischi, che richiedono misure di sicurezza su almeno 10 ambiti specifici, un sistema di notifica degli incidenti più dettagliato e un allineamento delle sanzioni al GDPR. Nuovi strumenti come la divulgazione coordinata delle vulnerabilità (CVD) e il rafforzamento delle capacità di gestione delle crisi completano il quadro, garantendo una maggiore capacità di risposta e resilienza contro le minacce informatiche.
Con il recepimento in Italia, l’attenzione si concentra su governance, obblighi e sanzioni, oltre a una strategia che punta a favorire la cooperazione tra autorità e soggetti coinvolti.
La centralità della governance spetta all’Agenzia per la Cybersicurezza Nazionale (ACN). Questo ente, già protagonista nel rafforzamento della sicurezza informatica nazionale, continuerà a ricoprire un ruolo guida, valorizzando gli investimenti già realizzati. Tuttavia, il Ministero della Difesa assumerà un ruolo specifico nella gestione delle crisi informatiche legate alla sicurezza militare, evidenziando l’importanza crescente delle minacce di cyberwar. Un’altra novità è l’istituzione di un Tavolo permanente per l’attuazione della disciplina NIS, che riunirà diversi stakeholder per formulare proposte e linee guida.
In particolare le Autorità di settore NIS:
Uno degli aspetti operativi chiave riguarda l’identificazione e la gestione dei soggetti essenziali e importanti. Queste entità devono adottare misure di sicurezza più stringenti e garantire la continuità operativa per proteggere contro le minacce informatiche.
La NIS 2 si applica a una vasta gamma di soggetti, suddivisi principalmente in due categorie: operatori di servizi essenziali e fornitori di servizi digitali.
Questi includono organizzazioni che operano in settori chiave come:
Cosa sono obbligate a fare queste organizzazioni?
Tali organizzazioni, elencate dettagliatamente negli allegati alla norma, devono registrarsi annualmente su una piattaforma dedicata, fornendo informazioni come indirizzi IP e nomi di dominio. Questa uniformità nei processi di recepimento tra i vari Stati membri faciliterà l’adeguamento per le aziende che operano in più Paesi.
Il sistema sanzionatorio italiano recepisce integralmente i poteri previsti dalla Direttiva. Tra le misure più incisive, spicca l’incapacità temporanea a svolgere funzioni dirigenziali per i vertici aziendali in caso di violazioni. Questa norma rappresenta un forte deterrente e si applica sia ai soggetti essenziali che a quelli importanti, ampliando l’ambito rispetto al testo della Direttiva.
La Direttiva pone l’accento sulla responsabilità che ricade direttamente sugli organi di gestione, chiamati ad approvare le modalità di gestione dei rischi. È richiesta una formazione specifica per acquisire competenze in materia di valutazione dei rischi, un elemento essenziale per garantire che le decisioni strategiche siano allineate agli obiettivi di cybersicurezza.
Per quanto riguarda le pubbliche amministrazioni, le sanzioni per la mancata segnalazione di incidenti si applicano solo in caso di reiterazione. Questa scelta sembra riconoscere le difficoltà organizzative della PA.
La strategia nazionale prevista dal decreto prevede anche interventi per rafforzare la resilienza delle piccole e medie imprese escluse dal perimetro NIS 2. Questi sforzi evidenziano la consapevolezza che una maggiore sicurezza informatica è fondamentale non solo per i soggetti essenziali, ma per l’intero ecosistema economico e sociale.
La NIS 2 rappresenta un passo avanti significativo verso un’Europa più sicura dal punto di vista digitale. Tuttavia, la sua efficacia dipenderà dalla capacità di tradurre i principi normativi in azioni concrete, supportate da risorse adeguate e da un coordinamento efficace tra tutte le parti coinvolte.
Vuoi una guida competente nel percorso di adeguamento? Per prima cosa, verifica il tuo livello di adeguamento scaricando la checklist gratuita.