La direttiva NIS2 (EU) 2022/2555 rappresenta un passo significativo verso il rafforzamento della cybersecurity all’interno dell’Unione Europea. Questa nuova direttiva sostituisce la precedente NIS (EU) 2016/1148 e mira a creare un framework di cybersicurezza europeo che armonizzi e superi le discrasie applicative fra stati membri.
La Direttiva NIS2
La direttiva NIS2 introduce requisiti più stringenti per la gestione dei rischi e la segnalazione degli incidenti, ampliando il suo campo di applicazione a più settori e entità. A partire dal 18 ottobre 2024, tutti gli stati membri sono tenuti ad adottare nel proprio impianto legislativo provvedimenti che rispettino la direttiva.
Principali Novità
Fra le principali novità, si segnala:
- Gestione dei Rischi e Segnalazione degli Incidenti: La direttiva richiede l’adozione di strumenti di analisi e gestione dei rischi, la segnalazione tempestiva degli incidenti e l’implementazione di misure tecniche e organizzative adeguate. Gli incidenti significativi devono essere notificati entro 24 ore e seguiti da un rapporto completo entro 72 ore.
- Estensione del Campo di Applicazione: La NIS2 include settori critici come energia, trasporti, sanità e infrastrutture digitali, eliminando la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali.
- Allineamento con Altre Normative: La direttiva si allinea con altre regolamentazioni sulla protezione dei dati come il GDPR e l’Atto sulla Resilienza Cibernetica, introducendo misure di supervisione e applicazione più rigorose.
Recepimento nella Normativa Nazionale
In Italia, la Direttiva NIS2 sarà implementata attraverso la Legge 90/2024 e il disegno di legge presentato alle camere come Atto Governativo n. 164, che al momento della stesura di questo articolo è in fase di revisione. Questi provvedimenti legislativi mirano da una parte a delineare obblighi e approcci metodologici alla gestione della cybersicurezza per PA ed enti ed aziende erogatrici di servizi strategici, dall’altra a bilanciare la necessità di una maggiore sicurezza informatica con gli oneri finanziari e operativi per le organizzazioni, in particolare quelle più piccole.
Sfide e Opportunità
Fermo restando le necessità di superamento delle limitazioni della originaria direttiva NIS, è auspicabile che l’attuazione della nuova normativa possa portare un miglioramento grazie all’introduzione di misure che possano contribuire a superare il problema dell’insufficienza del livello di preparazione in materia di cybersicurezza negli stati membri, nonché portare alla riduzione dei costi nella gestione di incidenti.
Implementazione e Attuazione
Il recepimento della direttiva NIS 2 vedrà un ampliamento dell’ambito di applicazione a soggetti non considerati dalla precedente NIS (pubblica amministrazione ma anche piccole e micro imprese operanti in settori chiave, fornitori di servizi e reti di comunicazione elettronica etc., indipendentemente dalle loro dimensioni).
Carenza di Competenze
In molti Paesi europei si registra una significativa carenza di competenze nel settore della cybersicurezza, con una domanda di esperti che supera di gran lungo l’offerta. Questo potrebbe rappresentare un ostacolo significativo per l’effettiva implementazione delle nuove norme.
L’implementazione della direttiva NIS2 rappresenta un passo importante verso la creazione di un framework di cybersicurezza europeo più robusto e armonizzato. Tuttavia, è fondamentale affrontare le sfide legate alla carenza di competenze e alla necessità di una maggiore sicurezza informatica attraverso una formazione continua, una collaborazione interdisciplinare, l’implementazione di strumenti di gestione dei rischi avanzati e l’investimento nelle risorse umane e strumentali necessarie. Solo attraverso un approccio coordinato e integrato sarà possibile garantire un elevato livello di sicurezza e resilienza per le infrastrutture digitali europee.
