Direttiva NIS 2

• Introduzione
• Quando è entrata in vigore?
• Cosa rappresentava la direttiva Nis?

La Direttiva NIS 2, che nasce da una profonda revisione della NIS, segna un altro importante passo verso la piena definizione della strategia cyber dell’Unione Europea, predisponendo adeguate risposte coordinate e innovative da parte di tutti gli Stati membri per garantire la continuità dei servizi digitali in caso di incidenti di sicurezza.

Quando è entrata in vigore?

Lo scorso 17 gennaio 2023, è entrata in vigore la Direttiva NIS 2 (Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 sulla sicurezza delle reti e delle informazioni) segna un altro importante passo verso la piena definizione della strategia per la cyber sicurezza dell’Unione Europea, nella quale la Direttiva stessa si inserisce a pieno titolo partendo dal presupposto secondo il quale, ormai, i sistemi informatici e di rete usati per fornire servizi essenziali in settori chiave, occupano una pozione centrale nel percorso sempre più rapido di trasformazione digitale e di interconnessione della società (ricordiamo che NIS è, per l’appunto, l’acronimo di Network and Information Security).

Vero è, infatti, che i cyber attacchi alle infrastrutture critiche possono causare impatti economici e sociali di massa. Non esistono strategie migliori dei cyber attacchi per causare ansia e instabilità, soprattutto quando a essere presi di mira sono i sistemi e le reti che consentono le nostre attività quotidiane. I cyber attacchi perpetrati contro le infrastrutture critiche, quindi, sono diventati un’altra potentissima arma di interruzione di massa.

Tutto questo, insieme alla sempre più stringente necessità di gestire in sicurezza e in piena conformità normativa gli scambi transfrontalieri di dati di fronte a un’espansione delle minacce informatiche, ha spinto il legislatore europeo a trovare nuove e più adeguate risposte coordinate e innovative, da parte di tutti gli Stati membri, per garantire la continuità dei servizi digitali in caso di incidenti di sicurezza.

Ecco, dunque, che la Direttiva NIS 2 nasce in seguito a una profonda revisione della precedente Direttiva NIS (la Direttiva UE 2016/1148 del 6 luglio 2016 attuata in Italia con D.lgs. n. 65 del 18 maggio 2018) che, sebbene abbia consentito di sviluppare le capacità di cyber sicurezza di tutta l’Unione, contribuendo al funzionamento efficace della sua economia e della società, ha rivelato alcune carenze intrinseche che di fatto hanno impedito di affrontare efficacemente le sfide attuali ed emergenti in materia di sicurezza informatica.

Quali sono gli ambiti di applicazione?

• servizi digitali, ad esempio piattaforme di cloud computing, data centre, content delivery network provider, servizi di comunicazione elettronica e di reti di comunicazione elettronica;
• servizi sanitari, quali – tra gli altri – società farmaceutiche, produttori di dispositivi medici ed healthcare provider;
• servizi di produzione, trasformazione e distribuzione di cibo, ivi comprese le imprese della grande distribuzione.

Che obblighi comporta?

La Direttiva NIS2 prevede che gli Stati Membri debbano fare in modo che le società rientranti nel suo ambito di applicazione debbano “adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza dei sistemi di rete e di informazione che tali soggetti utilizzano per le loro operazioni o per la fornitura dei loro servizi e per prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi e su altri servizi.

Quali sono le sanzioni per chi non adempie?

La Direttiva prevede diverse sanzioni in funzione del fatto che un operatore sia qualificato come essenziale o come importante.
Nel merito i soggetti essenziali saranno sottoposti a sanzioni pecuniarie amministrative pari a un massimo di Euro 10.000.000 o a un massimo del 2% del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore. Per i soggetti importanti, invece, potranno essere comminate sanzioni pari a un massimo di Euro 7.000.000 o a un massimo di almeno l’1,4% del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore.

Pertanto, è opportuno che gli operatori coinvolti nell’applicazione della Direttiva NIS 2 inizino quanto prima a predisporre un piano di adeguamento che tenga conto di tutti gli adempimenti richiesti in materia di cybersecurity dal legislatore europeo e nazionale.