NIS2
(Network and Information Security Directive 2)

Il Decreto Legislativo n. 138 che recepisce la direttiva (UE) 2022/2555, meglio nota come Direttiva NIS2, è stato pubblicato in Gazzetta Ufficiale il primo ottobre 2024. Secondo il normale iter, il decreto legislativo entra in vigore dopo 15 giorni dalla pubblicazione; pertanto, il nuovo decreto NIS2 entra ufficialmente in vigore il 16 ottobre 2024.
Nell'era digitale attuale, in cui le minacce informatiche si evolvono con una rapidità sorprendente, la cybersecurity è diventata un imperativo per ogni organizzazione. La direttiva NIS2 rappresenta un significativo passo avanti nella legislazione europea e ha l’obiettivo di rafforzare il livello di sicurezza informatica all'interno dell'Unione Europea, grazie anche all'effetto combinato a quello di altre direttive.
La conformità alla NIS2 non si limita a soddisfare un obbligo legale, ma si configura come una pietra miliare strategica per le organizzazioni che cercano di proteggere i loro asset digitali e fisici, rafforzare la fiducia dei consumatori e migliorare la loro competitività sul mercato. 

La nuova direttiva NIS2 mira a stabilire una strategia comune di cybersecurity per tutti gli Stati membri, elevando i livelli di sicurezza dei servizi digitali su scala europea. Si integra con altre normative e linee guida sulla protezione dei dati e della privacy, come il GDPR, il Regolamento DORA, e il Cyber Resilience Act, per affrontare le minacce informatiche sempre più sofisticate e invasive, che hanno visto un incremento significativo negli ultimi anni.

Differenze rispetto alla direttiva NIS

La direttiva NIS 2 amplia la precedente direttiva NIS con una serie di cambiamenti significativi. In primo luogo, elimina la distinzione tra gli operatori di servizi essenziali (OSE) e i fornitori di servizi digitali (DSP), introducendo nuove categorie di operatori basate sull'importanza del servizio offerto.
Inoltre, estende gli obblighi di cybersecurity a un numero maggiore di settori e servizi considerati critici per il funzionamento socioeconomico dell'UE. Questi includono, oltre ai settori già coperti, piattaforme di cloud computing, data center e servizi sanitari.
La direttiva stabilisce anche un quadro più dettagliato per le misure di sicurezza, richiedendo un approccio multirischio e la segnalazione tempestiva di incidenti significativi alle autorità competenti.

A chi si applica

La direttiva NIS 2 ha ampliato l'ambito di applicazione rispetto alla precedente direttiva NIS, includendo una vasta gamma di settori e organizzazioni, sia pubbliche che private, con l'obiettivo di rafforzare la sicurezza informatica all'interno dell'Unione Europea.

Settori ad alta criticità: questi settori sono considerati vitali per il funzionamento socioeconomico dell'UE e, di conseguenza, le organizzazioni che operano in questi settori sono soggette a requisiti rigorosi in termini di sicurezza informatica.
Altri settori critici: in aggiunta, la NIS 2 identifica "altri settori critici", di cui fa parte un ulteriore gruppo di organizzazioni tenute a rispettare i requisiti di sicurezza imposti dalla direttiva.

Requisiti principali della NIS2

La direttiva NIS 2 stabilisce una serie di requisiti principali che le organizzazioni devono soddisfare per garantire un elevato livello di sicurezza informatica. Questi requisiti includono:
- Politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
- Gestione degli incidenti;
- Continuità operativa;
- Sicurezza della catena di approvvigionamento;
- Sicurezza dell’acquisizione, sviluppo e manutenzione dei sistemi informatici e di rete;
- Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersecurity;
- Pratiche di igiene digitale di base e formazione in materia di cybersicurezza;
- Politiche e procedure relative all’uso della crittografia;
- Sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi (hardware, software, dati);
- Uso di soluzioni di autenticazione a più fattori o di autenticazione continua.
Questi requisiti sono progettati per garantire che le organizzazioni siano in grado di identificare, prevenire e rispondere efficacemente alle minacce informatiche, proteggendo così le infrastrutture critiche e i dati sensibili.