La NIS 2 (Direttiva UE 2022/2555) è una direttiva dell’Unione Europea che ha introdotto nuove misure di cybersecurity per gli Stati membri. L’obiettivo della NIS 2 è creare un livello comune elevato di cibersicurezza e migliorare la resilienza e le capacità di risposta agli incidenti dell’UE.
L’acronimo NIS sta per “Network and Information Systems”. La direttiva, infatti, contiene misure per garantire un elevato livello comune di sicurezza delle reti e dei sistemi informativi nell’Unione.
La NIS 2 è entrata in vigore il 17 gennaio 2023. Da quel momento gli Stati membri hanno 21 mesi di tempo per recepire la direttiva nei loro ordinamenti nazionali. Il recepimento della NIS 2 nelle singole legislazioni nazionali dovrà avvenire, quindi, entro il 17 ottobre 2024. I soggetti interessati dalla nuova direttiva, invece, dovranno adottare tutti gli accorgimenti utili a rispettare nei tempi previsti gli obblighi introdotti dalla nuova normativa.
Differenze tra NIS 1 e NIS 2
La nuova direttiva NIS 2 sostituisce la precedente direttiva NIS 1 (Direttiva UE 2016/1148), approvata nel 2016 e recepita dall’Italia con il Decreto Legislativo n. 65 del 18 maggio 2018.
La direttiva NIS 1 aveva previsto, per la prima volta a livello europeo, azioni con cui gli Stati potevano aumentare in maniera coordinata il livello di sicurezza dei sistemi informativi e delle reti, migliorando la gestione degli incidenti cyber. Ma in poco tempo la NIS 1 si è rivelata inadeguata.
La nuova direttiva NIS 2 – che ha aggiornato dopo soli sei anni la precedente – si è resa necessaria per una serie di fattori. Il più importante è l’aumentata digitalizzazione delle società europee, fenomeno in parte fisiologico e in parte accelerato dalla pandemia. La crescita di soluzioni e servizi digitali ha portato anche a un aumento della superficie di attacco informatico, amplificando i rischi legati ad attacchi cibernetici.
Allo stesso tempo, la NIS 1 aveva lasciato troppa discrezionalità agli Stati membri in fase di recepimento, con il risultato di mancare l’obiettivo di armonizzazione.
Infine, la prima direttiva escludeva alcune categorie di soggetti che, invece, si sono rivelati importanti per il funzionamento del mercato europeo e che, quindi, avevano bisogno di essere disciplinati e tutelati.
Cosa prevede la direttiva NIS 2
Per aumentare la cibersicurezza nell’Unione e migliorare il mercato interno, la NIS 2 prevede:
– per gli Stati membri: adozione di strategie di cybersecurity nazionali, creazione di autorità nazionali di cibersicurezza, autorità di gestione delle crisi informatiche, punti di contatto unici in materia di sicurezza e team di risposta agli incidenti di sicurezza informatica (i CSIRT), obblighi in materia di vigilanza ed esecuzione.
– Per le imprese: obblighi di gestione dei rischi di cibersicurezza e di segnalazione.
– Per tutti i soggetti coinvolti: norme e obblighi di condivisione delle informazioni di cybersecurity.
La nuova direttiva punta a una maggiore armonizzazione tra gli Stati membri in tema di cibersicurezza. Per questo, fissa norme minime, ma non impedisce ai singoli Stati di avere norme nazionali che garantiscano un livello di cibersicurezza più alto.
Il testo, inoltre, contiene un elenco aggiornato dei settori e delle attività soggetti alla direttiva e prevede meccanismi di ricorso e sanzioni in caso di mancata applicazione.
La direttiva, inoltre, introduce:
– meccanismi di cooperazione tra le autorità nazionali di cybersecurity.
– EU-CyCLONe, rete europea delle organizzazioni di collegamento per le crisi informatiche, per la gestione coordinata degli incidenti e delle crisi di cibersicurezza.
– Un meccanismo di revisione tra pari degli aspetti di cibersicurezza dei singoli Stati. L’obiettivo è condividere le migliori esperienze, rafforzare la fiducia reciproca, raggiungere un livello comune elevato di cibersicurezza.
A chi si applica la direttiva NIS 2
Mentre la NIS 1 dava ai singoli Stati ampia discrezionalità nel decidere chi far rientrare negli obblighi previsti, la NIS 2 toglie tale discrezionalità. Si introduce il criterio della dimensione, distinguendo tra medie e grandi imprese, che appartengono ai settori o forniscono servizi e svolgono attività contemplati dalla direttiva. La NIS 2 si applica anche alle piccole e medie imprese, se hanno un ruolo chiave per la società o se operano in particolari settori.
Pertanto, la direttiva NIS 2 si applica a soggetti pubblici o privati di medie o grandi dimensioni dei seguenti settori:
• settori ad alta criticità: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestori di servici Tlc b2b, pubblica amministrazione e settore spazio;
• altri settori critici: servizi postali e di corriere; gestione dei rifiuti; fabbricazione, produzione e distribuzione di sostanze chimiche; produzione, trasformazione e distribuzione di alimenti; fabbricazione (in sei sottosettori: dispositivi medici e medico-diagnostici in vitro; computer e prodotti di elettronica e ottica; apparecchiature elettriche; macchinari e apparecchiature n.c.a.; autoveicoli, rimorchi e semirimorchi; altri mezzi di trasporto); fornitori di servizi digitale; ricerca.
Indipendentemente dalla dimensione, la NIS 2 si applica anche ai soggetti critici e ai fornitori di servizi di registrazione di dominio.
La direttiva si applica anche alle PA centrali e regionali, mentre è il singolo Stato a decidere se applicarla anche alle PA locali e, inoltre, agli istituti d’istruzione che svolgono attività di ricerca critiche.
I soggetti della direttiva sono classificati in due categorie, soggetti essenziali e importanti, in funzione della loro importanza per il settore o il tipo di servizi che forniscono, nonché delle loro dimensioni. Entro il 17 aprile 2025 gli Stati devono definire un elenco di tali soggetti e dei soggetti che forniscono servizi di registrazione dei nomi di dominio.
NIS 2, quando non si applica
La direttiva NIS 2 non si applica agli enti della PA che si occupano di sicurezza nazionale, pubblica sicurezza, difesa e attività di contrasto dei reati. Sono esclusi anche i soggetti del settore giudiziario, i parlamenti e le banche centrali.
In aggiunta a questi casi, i singoli Stati possono decidere di esentare altri soggetti dall’obbligo di rispettare la direttiva.
