Nis 2

DIRETTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2)

Come affrontare la sicurezza delle infrastrutture

La Direttiva NIS 2 (Network and Information Security) è un importante processo verso la piena definizione della strategia per la cyber sicurezza dell’Unione Europea dove i sistemi informatici e di rete usati da operatori pubblici e privati che verranno inclusi nelle due nuove categorie di “soggetti essenziali” e di “soggetti importanti” per fornire servizi essenziali in settori chiave, avranno sempre più un ruolo fondamentale.

La Direttiva NIS2 nella sua applicazione, aumenta il livello di resilienza informatica nel settore pubblico e privato e migliora il livello di consapevolezza delle minacce informatiche al fine di sviluppare una maggiore capacità di prevenzione, gestione e risposta agli incidenti.

Contesto di riferimento

La Direttiva NIS 2 ha un perimetro di azione ben definito, che si basa su tre pilastri:

Capacità degli Stati membri in termini di architettura istituzionale, strategia nazionale e giani di gestione delle crisi cibernetiche
Gestione del rischio da parte degli operatori, con misure di sicurezza adeguate e un sistema di notifica degli incidenti che sia efficace e reattivo
Cooperazione e condivisione delle informazioni, attraverso diverse modalità di scambio, a livello europeo e nazionale

Si estende il campo di applicazione (vengono incluse la PA e le piccole e microimprese se operano in settori chiave per la società)
Si prende in considerazione anche la sicurezza fisica delle infrastrutture ICT

Le tappe temporali e le scadenze

La Direttiva NIS 2 entra in vigore

17 gennaio 2023

Recepimento nelle legislazioni nazionali degli Stati membri dell’UE

18 ottobre 2024

Definizione degli Stati membri dell’UE di un elenco dei soggetti essenziali e importanti che saranno chiamati a fornire le necessarie informazioni.

17 Aprile 2025

Soggetti interessati

Energia – Trasporti – Settore bancario – Infrastrutture dei mercati finanziari
Settore Sanitario – Acqua potabile – Acque reflue

Infrastrutture digitali

Fornitori di punti di interscambio internet
Fornitori di servizi DNS, esclusi gli operatori dei server dei nomi radice
Registri dei nomi di dominio di primo livello (TLD)
Fornitori di servizi di cloud computing
Fornitori di servizi di data center
Fornitori di reti di distribuzione dei contenuti (content delivery network)
Fornitori di servizi fiduciari
Fornitori di reti pubbliche di comunicazione
Fornitori di servizi di comunicazione elettronica accessibili al pubblico

Gestione dei servizi TIC (business-to-business)

Fornitori di servizi gestiti
Fornitori di servizi di sicurezza gestiti

Pubblica amministrazione

Soggetti importanti interessati

Servizi postali e di corriere – Gestione dei rifiuti –

Fabbricazione, produzione e distribuzione di sostanze chimiche –

Produzione, trasformazione e distribuzione di alimenti

Fornitori di servizi digitali

Fornitori di mercati online
Fornitori di motori di ricerca online
Fornitori di piattaforme di servizi di social network

Ricerca

Se la Direttiva NIS2 come si evince dall’ ART.3 si rivolge alle imprese che rientrano in servizi «essenziali» e «importanti», come considerare, nel contesto della Direttiva, le piccole e microimprese?

Piccole e medie imprese

E’ opportuno stabilire un criterio uniforme che determini quali soggetti rientrano nell’ambito di applicazione della presente direttiva. Tale criterio dovrebbe consistere nell’applicazione di una regola della soglia di dimensione, in base alla quale si considerano medie imprese ai sensi dell’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE della Commissione(5), o superano i massimali per le medie imprese di cui al paragrafo 1 di tale articolo, e che operano nei settori e forniscono le tipologie di servizi o svolgono le attività contemplati dalla presente direttiva.

Gli Stati membri dovrebbero inoltre prevedere che determinate piccole imprese e microimprese, quali definite all’articolo 2, paragrafi 2 e 3, di tale allegato, che soddisfano criteri specifici che indicano un ruolo chiave per la società, l’economia o per particolari settori o tipi di servizi rientrino nell’ambito di applicazione della presente direttiva.

Data l’intensificazione e la crescente sofisticazione delle minacce informatiche, gli Stati membri dovrebbero adoperarsi per garantire che i soggetti esclusi dall’ambito di applicazione della presente direttiva raggiungano un livello elevato di cibersicurezza e sostengano l’attuazione di misure equivalenti di gestione dei rischi di cibersicurezza, che riflettano la natura sensibile di tali soggetti.

NIS 2 per le P:M.I.

Gli Stati membri dovrebbero, nelle loro strategie nazionali per la cibersicurezza, rispondere alle esigenze specifiche in materia di cibersicurezza delle piccole e medie imprese. Le piccole e medie imprese rappresentano nell’Unione, un’ampia percentuale del mercato industriale e commerciale e spesso faticano ad adattarsi alle nuove pratiche commerciali in un mondo sempre più connesso e all’ambiente digitale, con dipendenti che lavorano da casa e imprese che sono gestite in misura crescente online. Alcune piccole e medie imprese si confrontano con sfide specifiche in materia di cibersicurezza, come la scarsa consapevolezza informatica, la mancanza di sicurezza informatica a distanza, l’elevato costo delle soluzioni di cibersicurezza e l’aumento del livello di minaccia, dovuto ad esempio ai ransomware, aspetti in relazione ai quali dovrebbero ricevere linee guida e assistenza. Le piccole e medie imprese stanno diventando sempre di più il bersaglio di attacchi nella catena di approvvigionamento a causa delle loro misure meno rigorose di gestione del rischio di cibersicurezza e di gestione degli attacchi, nonché della limitata disponibilità di risorse destinate alla sicurezza