Nis 2

DIRETTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2)

Come affrontare la sicurezza delle infrastrutture

Accompagniamo e supportiamo le aziende sull’adeguamento alla normativa Nis 2 per la sicurezza dei sistemi informatici dell’Unione Europea

La Direttiva NIS 2 (Network and Information Security) è un importante processo verso la piena definizione della strategia per la cyber sicurezza dell’Unione Europea dove i sistemi informatici e di rete usati da operatori pubblici e privati che verranno inclusi nelle due nuove categorie di “soggetti essenziali” e di “soggetti importanti” per fornire servizi essenziali in settori chiave, avranno sempre più un ruolo fondamentale.

La Direttiva NIS2 nella sua applicazione, aumenta il livello di resilienza informatica nel settore pubblico e privato e migliora il livello di consapevolezza delle minacce informatiche al fine di sviluppare una maggiore capacità di prevenzione, gestione e risposta agli incidenti.

Contesto di riferimento

La Direttiva NIS 2 ha un perimetro di azione ben definito, che si basa su tre pilastri:

  • Capacità degli Stati membri in termini di architettura istituzionale, strategia nazionale e giani di gestione delle crisi cibernetiche
  • Gestione del rischio da parte degli operatori, con misure di sicurezza adeguate e un sistema di notifica degli incidenti che sia efficace e reattivo
  • Cooperazione e condivisione delle informazioni, attraverso diverse modalità di scambio, a livello europeo e nazionale

Si estende il campo di applicazione (vengono incluse la PA e le piccole e microimprese se operano in settori chiave per la società)
Si prende in considerazione anche la sicurezza fisica delle infrastrutture ICT

Le tappe temporali e le scadenze

La Direttiva NIS 2 entra in vigore

17 gennaio 2023

Recepimento nelle legislazioni nazionali degli Stati membri dell’UE

18 ottobre 2024

Definizione degli Stati membri dell’UE di un elenco dei soggetti essenziali e importanti che saranno chiamati a fornire le necessarie informazioni.

17 Aprile 2025

Soggetti interessati

Energia – Trasporti – Settore bancario – Infrastrutture dei mercati finanziari
Settore Sanitario – Acqua potabile – Acque reflue

Infrastrutture digitali

  • Fornitori di punti di interscambio internet
  • Fornitori di servizi DNS, esclusi gli operatori dei server dei nomi radice
  • Registri dei nomi di dominio di primo livello (TLD)
  • Fornitori di servizi di cloud computing
  • Fornitori di servizi di data center
  • Fornitori di reti di distribuzione dei contenuti (content delivery network)
  • Fornitori di servizi fiduciari
  • Fornitori di reti pubbliche di comunicazione
  • Fornitori di servizi di comunicazione elettronica accessibili al pubblico

Gestione dei servizi TIC (business-to-business)

  • Fornitori di servizi gestiti
  • Fornitori di servizi di sicurezza gestiti

Pubblica amministrazione

Soggetti importanti interessati

Servizi postali e di corriere – Gestione dei rifiuti – 
Fabbricazione, produzione e distribuzione di sostanze chimiche – 
Produzione, trasformazione e distribuzione di alimenti
 
Fornitori di servizi digitali
  • Fornitori di mercati online
  • Fornitori di motori di ricerca online
  • Fornitori di piattaforme di servizi di social network

Se la Direttiva NIS2 come si evince dall’ ART.3 si rivolge alle imprese che rientrano in servizi «essenziali» e «importanti», come considerare, nel contesto della Direttiva, le piccole e microimprese?

Piccole e medie imprese

E’ opportuno stabilire un criterio uniforme che determini quali soggetti rientrano nell’ambito di applicazione della presente direttiva. Tale criterio dovrebbe consistere nell’applicazione di una regola della soglia di dimensione, in base alla quale si considerano medie imprese ai sensi dell’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE della Commissione(5), o superano i massimali per le medie imprese di cui al paragrafo 1 di tale articolo, e che operano nei settori e forniscono le tipologie di servizi o svolgono le attività contemplati dalla presente direttiva.

Gli Stati membri dovrebbero inoltre prevedere che determinate piccole imprese e microimprese, quali definite all’articolo 2, paragrafi 2 e 3, di tale allegato, che soddisfano criteri specifici che indicano un ruolo chiave per la società, l’economia o per particolari settori o tipi di servizi rientrino nell’ambito di applicazione della presente direttiva.

Data l’intensificazione e la crescente sofisticazione delle minacce informatiche, gli Stati membri dovrebbero adoperarsi per garantire che i soggetti esclusi dall’ambito di applicazione della presente direttiva raggiungano un livello elevato di cibersicurezza e sostengano l’attuazione di misure equivalenti di gestione dei rischi di cibersicurezza, che riflettano la natura sensibile di tali soggetti.

NIS 2 per le P:M.I.

Gli Stati membri dovrebbero, nelle loro strategie nazionali per la cibersicurezza, rispondere alle esigenze specifiche in materia di cibersicurezza delle piccole e medie imprese. Le piccole e medie imprese rappresentano nell’Unione, un’ampia percentuale del mercato industriale e commerciale e spesso faticano ad adattarsi alle nuove pratiche commerciali in un mondo sempre più connesso e all’ambiente digitale, con dipendenti che lavorano da casa e imprese che sono gestite in misura crescente online. Alcune piccole e medie imprese si confrontano con sfide specifiche in materia di cibersicurezza, come la scarsa consapevolezza informatica, la mancanza di sicurezza informatica a distanza, l’elevato costo delle soluzioni di cibersicurezza e l’aumento del livello di minaccia, dovuto ad esempio ai ransomware, aspetti in relazione ai quali dovrebbero ricevere linee guida e assistenza. Le piccole e medie imprese stanno diventando sempre di più il bersaglio di attacchi nella catena di approvvigionamento a causa delle loro misure meno rigorose di gestione del rischio di cibersicurezza e di gestione degli attacchi, nonché della limitata disponibilità di risorse destinate alla sicurezza

Per informazioni