La Direttiva NIS e la sua evoluzione, NIS 2, rappresentano un passo fondamentale per migliorare la sicurezza informatica nell’Unione Europea. Queste normative mirano a garantire un alto livello di protezione delle reti e dei sistemi informatici, specialmente in un contesto in cui le minacce informatiche sono in costante aumento.
La Direttiva NIS (Network and Information Systems) è stata introdotta nel 2016 con l’obiettivo di rafforzare la sicurezza delle reti e dei sistemi informativi nell’UE. Essa si applicava inizialmente a operatori di servizi essenziali e fornitori di servizi digitali, imponendo loro requisiti minimi di sicurezza e obblighi di segnalazione degli incidenti.
La NIS 2 è entrata in vigore il 17 gennaio 2023 per ampliare e aggiornare il quadro normativo precedente. Gli Stati membri hanno tempo fino al 17 ottobre 2024 per recepirla nelle loro legislazioni nazionali. Questa nuova direttiva è stata motivata da eventi recenti, che hanno accelerato la digitalizzazione e, allo stesso tempo, esposto le vulnerabilità delle infrastrutture critiche.
Gli obiettivi della direttiva NIS 2
- Espansione dell’ambito di applicabilità: include una gamma più ampia di settori e servizi, eliminando la distinzione tra operatori essenziali e fornitori di servizi digitali.
- Rafforzamento della cooperazione: stabilisce norme minime per il funzionamento delle autorità nazionali competenti e promuove la cooperazione tra gli Stati membri.
- Obblighi di segnalazione: le aziende devono notificare incidenti significativi entro 24 ore dalla loro scoperta e presentare una relazione dettagliata entro trenta giorni.
- Misure di gestione dei rischi: le organizzazioni sono tenute a condurre analisi dei rischi e implementare misure adeguate per mitigare le vulnerabilità.
Quale sarà l’impatto della direttiva NIS 2?
La Direttiva NIS 2 avrà un impatto significativo sulle aziende, specialmente quelle che operano in settori critici come energia, trasporti e sanità. Queste organizzazioni dovranno adottare misure di sicurezza più rigorose e sviluppare piani nazionali per garantire la compliance.
Le aziende che non si conformano alla NIS 2 possono affrontare sanzioni severe. La direttiva prevede anche meccanismi per il monitoraggio della conformità e per l’applicazione delle norme.
La Direttiva NIS 2 rappresenta un passo cruciale verso una maggiore sicurezza informatica nell’Unione Europea. Con l’espansione del suo ambito di applicabilità e l’introduzione di requisiti più severi, le aziende sono chiamate a migliorare le loro pratiche di cybersecurity per proteggere non solo i propri dati ma anche quelli dei loro clienti e partner.
La compliance a questa normativa non è solo un obbligo legale ma anche un’opportunità per rafforzare la fiducia nel mercato digitale europeo.
Di seguito riportiamo uno schema per facilitare l’indagine circa l’idoneità della propria azienda ad essere qualificata soggetto importante o essenziale.
| PICCOLE IMPRESE: meno di 50 dipendenti e meno di 10 mln di fatturato oppure meno di 10 mln di totale bilancio annuo MEDIE IMPRESE: meno di 250 dipendenti e meno di 50 mln di fatturato oppure meno di 43 mln di totale bilancio annuo GRANDI IMPRESE: tutte le altre |
| Imprese appartenenti ai settori ad alta criticità di cui all’allegato I (energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestione servizi TIC, spazio): – se PICCOLE imprese, NON si applica la normativa – se MEDIE imprese, sono SOGGETTI IMPORTANTI – se GRANDI imprese, sono SOGGETTI ESSENZIALI Imprese appartenenti ai settori ad altri settori critici di cui all’allegato II (servizi postali e di corriere, gestione dei rifiuti, fabbricazione/produzione/distribuzione di sostanze chimiche, produzione/trasformazione e distribuzione di alimenti, fabbricazione, fornitori di servizi digitali, ricerca): – se PICCOLE imprese, NON si applica la normativa |
| Amministrazioni centrali, regionali, locali e di altro tipo di cui all’allegato III (PA): – a prescindere dalle proprie dimensioni, sono SOGGETTI ESSENZIALI |
| Ulteriori tipologie di soggetti di cui all’allegato IV (trasporto pubblico locale, ricerca, attività di interesse culturale, società a controllo pubblico): – a prescindere dalle proprie dimensioni, sono SOGGETTI IMPORTANTI |
| Soggetti identificati come critici nel d. lgs. 134 del 4 settembre 2024, di recepimento della direttiva 2022/2557 (circa la resilienza fisica, non informatica, dei soggetti critici): – se PICCOLE, MEDIE, GRANDI imprese, sono sempre SOGGETTI ESSENZIALI |
| Imprese collegate a soggetto essenziale o importante: – se PICCOLE, MEDIE, GRANDI imprese, sono sempre SOGGETTI IMPORTANTI, salvo che l’autorità nazionale competente NIS le indichi come SOGGETTI ESSENZIALI |
| Per i soggetti indicati all’art. 5, comma 3, del decreto legislativo di recepimento (fornitori di reti/servizi di comunicazione, prestatori di servizi fiduciari, gestori registri dei nomi di dominio): – se PICCOLE o GRANDI imprese, sono SOGGETTI IMPORTANTI – se GRANDI imprese, sono SOGGETTI ESSENZIALI |
Contatta Officina Consulting per una consulenza personalizzata.
