La NIS2 fornirà il quadro per le misure di gestione dei rischi per la sicurezza informatica e gli obblighi di comunicazione in settori specifici, quali energia, trasporti, sanità e infrastrutture digitali. Inoltre, la NIS2 cerca di armonizzare i requisiti di sicurezza informatica e l’attuazione delle misure di sicurezza informatica in ciascun Stato membro. A tal fine, la direttiva stabilisce un nucleo di regole minime e meccanismi per un’efficace cooperazione tra le autorità competenti degli Stati membri. NIS2 estende anche l’elenco dei settori e delle attività soggetti agli obblighi di sicurezza informatica e prevede rimedi e sanzioni per salvaguardare l’attuazione. Rispetto alla precedente direttiva NIS, le nuove norme della NIS2 istituiscono ufficialmente la rete europea di organizzazione di collegamento per le crisi informatiche ( EU-CyCLONE ), che fornirà una gestione coordinata di incidenti e crisi di sicurezza informatica su larga scala.
Punti chiave della direttiva NIS2
- Ambito di applicazione personale esteso della direttiva NIS2
Le disposizioni della NIS2 si applicano a tutte le organizzazioni che forniscono servizi o svolgono attività nell’UE corrispondenti alla descrizione di “ essenziale ” o di “ importante ” in un elenco dei settori. (La direttiva precedente distingueva tra “fornitori di servizi essenziali” e “fornitori di servizi digitali”).
Queste organizzazioni sono divise in settori ad alta criticità ( ad es. energia, sanità, infrastrutture dei mercati finanziari ) e altri settori critici ( ad es. servizi postali, fornitori digitali e produzione e distribuzione di prodotti chimici ). Importanti esenzioni includono limiti di dimensione, il che significa che le piccole e microimprese sono escluse in diversi casi e inoltre vi è la possibilità per gli Stati membri di esentare organizzazioni specifiche coinvolte nella sicurezza nazionale, pubblica sicurezza, difesa o forze dell’ordine.
- Obblighi di segnalazione
In caso di eventi significativi, le organizzazioni devono informare il team di risposta agli incidenti di sicurezza informatica ( CSIRT ) o, se del caso, le autorità competenti. L’organizzazione interessata deve prima inviare una notifica anticipata al CSIRT o all’autorità senza indugio e non oltre 24 ore dopo essere venuta a conoscenza dell’evento. Senza indugio, ma in ogni caso entro 72 ore dalla rilevazione dell’evento significativo, deve essere presentata una notifica di incidente, che deve includere una valutazione iniziale, contenente gravità e impatto e, ove possibile, dovrebbe specificare gli indicatori. Inoltre, la direttiva NIS2 richiede che sia presentata una relazione finale entro un mese dalla presentazione della notifica dell’incidente.
- Richiedere ulteriori misure di gestione dei rischi e di sicurezza informatica
Sia le organizzazioni essenziali che quelle importanti dovrebbero attuare ulteriori misure di gestione commisurate al livello di rischio per la sicurezza informatica, come l’analisi dei rischi e le politiche di sicurezza delle informazioni, la continuità aziendale ( ad es. gestione del backup e ripristino di emergenza ) e gestione delle crisi, sicurezza della catena di approvvigionamento ( compresa la sicurezza relativa alle relazioni tra ciascuna organizzazione e i suoi fornitori diretti o fornitori di servizi ), garantendo buone prassi e attività di formazione sulla sicurezza informatica.
- La responsabilità aggiuntiva della gestione
La nuova direttiva aumenta le responsabilità in materia di sicurezza informatica per la gestione di organizzazioni importanti ed essenziali richiedendo loro di approvare le misure di sicurezza di cui al paragrafo precedente e di sorvegliarne l’attuazione. La direzione può essere ritenuta responsabile se l’organizzazione non è conforme ai requisiti di sicurezza informatica stabiliti nella Direttiva NIS2 ( o nella legislazione nazionale che la attua ).
- Regole di supervisione più rigorose
Ai sensi della direttiva NIS2, norme diverse si applicano alle organizzazioni essenziali in caso di violazione della sicurezza informatica. Ai sensi delle disposizioni che disciplinano le organizzazioni essenziali, le società sono soggette a sanzioni di 10 milioni di euro o, se superiore, del 2% del fatturato globale annuo totale. Le organizzazioni importanti sono soggette invece a una sanzione amministrativa massima di 7 milioni di euro o, se superiore, dell’1,4% del fatturato globale annuo totale dell’impresa nell’esercizio precedente. Le organizzazioni essenziali possono anche essere soggette a rigorosi audit, comprese le ispezioni in loco e la supervisione fuori sede; audit di sicurezza regolari e mirati effettuati dall’autorità; e audit specifici se giustificati da un evento significativo o da una violazione fondamentale delle disposizioni della direttiva NIS2.
- Obblighi di registrazione
Alcune organizzazioni ( tra cui fornitori di servizi DNS, registri di nomi TLD, entità che forniscono servizi di registrazione dei nomi di dominio, fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione di contenuti, fornitori di mercati online, i motori di ricerca online e le piattaforme di social media ) saranno tenuti a fornire determinate informazioni su di sé all’autorità competente dello Stato membro affinché l’Agenzia dell’Unione europea per la sicurezza informatica ( ENISA ) istituisca un registro di queste entità.
- Cooperazione europea rafforzata
La NIS2 istituisce inoltre l’EU-CyCLONE per la gestione coordinata di incidenti su larga scala di sicurezza informatica ( ad es. quelli che incidono in modo significativo su almeno due Stati membri dell’UE o superano la capacità di risposta di uno Stato membro ) a livello dell’UE e la condivisione regolare delle informazioni tra Stati membri e organi dell’UE.
Prossimi passi
La direttiva NIS2 è stata pubblicata il 27 dicembre 2022 ed entrerà in vigore il 16 gennaio 2023. Gli Stati membri dell’UE hanno tempo fino al 17 ottobre 2024 per adottare e pubblicare le disposizioni necessarie per conformarsi alla direttiva fino al 17 ottobre 2024.