Cos’è la Direttiva NIS2?

La Direttiva NIS 2 è un aggiornamento della normativa europea per la cibersicurezza, originariamente realizzata nella versione 1 (NISD). L’obiettivo della NIS2 è quello di potenziare la sicurezza informatica, semplificare le segnalazioni e creare regole e sanzioni coerenti in tutta l’UE.

Ampliando il suo campo di applicazione, la direttiva NIS2 impone a un maggior numero di imprese e settori di adottare misure di sicurezza informatica, con l’obiettivo finale di migliorare la sicurezza informatica dell’Europa nel lungo periodo.
Con regole più severe per superare le limitazioni precedenti, la NIS2 avrà un impatto su una gamma più ampia di settori. Le entità che rientrano nella NIS2 sono
classificate come essenziali o importanti, e la direttiva delinea i requisiti di sicurezza e un processo per la segnalazione degli incidenti.

Le novità principali della NIS2

Le due principali novità rispetto la NIS originaria sono:

  • Notevole ampliamento delle aziende che saranno coinvolte;
  • Coinvolgimento della supply chain

Tempistiche di applicazione della direttiva NIS2

  • 16 gennaio 2023 -> entrata in vigore
  • 17 Ottobre 2024 -> Termine ultimo per gli Stati Europei per adottare e pubblicare le misure per confermarsi alla NIS 2
  • 17 Gennaio 2025 -> La rete dei CSIRT valuta i progressi compiuti per quanto riguarda la cooperazione operativa
  • 17 Aprile 2025 -> Gli Stati membri stabiliscono l’elenco di entità “essenziali” e “importanti”
  • 17 Ottobre 2027 -> Revisione della Direttiva

Perché una nuova Direttiva ?

Diversi fattori hanno reso necessaria la sostituzione della precedente Direttiva sulla sicurezza delle reti e delle informazioni (NISD) da parte dei legislatori con la nuova NIS2. Principalmente:

  • Necessità di una legislazione più rigorosa
  • Necessità di un maggior livello di uniformità nell’attuazione in tutti gli Stati membri.

Questa situazione è dovuta a:

  • Insufficienti investimenti in cybersicurezza nell’UE: Uno studio del 2020 dell’ENISA ha rilevato che le organizzazioni dell’UE hanno destinato alla sicurezza informatica il 41% in meno rispetto alle loro controparti statunitensi. Questo nonostante il fatto che la NISD sia in vigore da quattro anni.
  • Aspettative poco chiare dalla NISD: n e l l o stesso studio, il 35% degli intervistati che hanno applicato la NISD ha dichiarato di avere aspettative poco chiare. Ciò ha portato a un’applicazione incoerente della direttiva nei vari Stati dell’UE.
  • Aumento dei cyberattacchi: Le infrastrutture dell’UE sono state sempre più colpite da ransomware e altri tipi di attacchi informatici. Alcune infrastrutture mancavano di protezioni di base, come la segmentazione dell’interfaccia IT/OT. Inoltre, è stata percepita una mancanza di trasparenza nella segnalazione dei cyberattacchi.

Ambito di applicazione della Direttiva

La norma si applica principalmente ai soggetti pubblici o privati inseriti nell’allegato I e II della Direttiva, che abbiano le seguenti caratteristiche:

  1. medie imprese con meno di 250 dipendenti e più di 10 milioni di fatturato annuo o
  2. imprese più grandi che superano i massimali delle medie imprese (ovvero hanno più di 250 dipendenti o più di 50 milioni di fatturato.

La norma si applica anche ad un’altra serie di soggetti come meglio specificato dall’art. 2 seguente.

Novità del NIS 2

Ambito di applicazione ampliato e chiarito

La nuova Direttiva NIS2 prevede l’incorporazione di ulteriori entità nella categoria “essenziale” e creando una nuova categoria denominata “importante”.

  • Regola del tetto dimensionale:

Nella precedente direttiva NIS, gli Stati membri avevano la responsabilità di determinare quali entità soddisfacessero i criteri per qualificarsi come operatori di servizi essenziali. La NIS2 introduce una regola di dimensionamento che rende oggettiva l’individuazione. Questa regola si applica alle entità di dimensioni medio-grandi (quelle con più di 50 dipendenti e un fatturato annuo superiore a 10 milioni di euro) all’interno dei settori rilevanti, facendole rientrare nel campo di applicazione della NIS2.

  • Ampliamento delle entità essenziali

Il NIS2 include altri settori considerati “essenziali”, come lo spazio, le acque reflue, le amministrazioni pubbliche (con alcune eccezioni), i fornitori di servizi di data center, i fornitori di servizi fiduciari, le reti di distribuzione di contenuti e le reti e i servizi pubblici di comunicazione elettronica. Anche altri settori critici, tra cui i servizi postali, i prodotti chimici e la fabbricazione di prodotti chiave, sono tenuti a rispettare le norme.

  • Definizione di entità “importanti”

Ai sensi della NIS2, anche i settori OT come la produzione alimentare, la manifattura e la gestione dei rifiuti sono tenuti ad aderire alla direttiva in quanto entità “importanti”. I regimi di vigilanza e di applicazione per tali entità devono essere differenziati per ridurre l’onere degli obblighi e dei requisiti amministrativi, pur rimanendo mirati agli ampi requisiti della direttiva.

Maggiore responsabilità e obblighi di rendicontazione

Nel NISD mancava la chiarezza su cosa dovesse essere segnalato, in quale arco di tempo, chi fosse responsabile di un attacco informatico e quali fossero le sanzioni finali. Questo aspetto viene chiarito nel NIS2.

  • Responsabilità

La NIS2 impone obblighi diretti agli organi di gestione per quanto riguarda l’attuazione e la supervisione della conformità della loro organizzazione alla legislazione. Le conseguenze della mancata conformità potrebbero essere sanzioni pecuniarie, ma anche l’interdizione temporanea dalle mansioni manageriali dell’organizzazione per i singoli individui ritenuti responsabili di non aver rispettato gli standard di cybersecurity richiesti.

  • Segnalazione

Le organizzazioni sono tenute a segnalare le minacce e gli incidenti informatici significativi alle autorità competenti o ai Computer Security Incident Response Teams (CSIRT). Inoltre, le entità classificate come “essenziali” o “importanti” devono produrre e implementare un piano di risposta agli incidenti e devono riferire annualmente sui suoi progressi. La nuova direttiva introduce obblighi di notifica graduali, tra cui una prima notifica entro 24 ore dal momento in cui si viene a conoscenza di determinati incidenti o minacce informatiche. Si tratta di una modifica rispetto all’attuale obbligo di notifica “senza indebito ritardo” previsto dalla direttiva NIS. Dopo la notifica iniziale, vi sono obblighi di notifica “intermedi” e “finali”.

Ambito di applicazione della Direttiva

La norma si applica principalmente ai soggetti pubblici o privati inseriti nell’allegato I e II della Direttiva, che abbiano le seguenti caratteristiche:

  1. medie imprese con meno di 250 dipendenti e più di 10 milioni di fatturato annuo o
  2. imprese più grandi che superano i massimali delle medie imprese (ovvero hanno più di 250 dipendenti o più di 50 milioni di fatturato.

La norma si applica anche ad un’altra serie di soggetti come meglio specificato dall’art. 2 della direttiva stessa.

Soggetti “essenziali” ed “importanti”

La Direttiva distingue due principali soggetti:

  • I soggetti “essenziali” sostanzialmente contenuti nell’allegato I, più altri definiti nel seguente art. 3.1
  • I soggetti “importanti”, sostanzialmente contenuti nell’Allegato II, più altri definiti nel seguente art. 3.2

Gli incidenti informatici nella direttiva NIS

Vengono individuate dalla Direttiva diverse tipologie di incidenti:

«quasi incidente»: un evento che avrebbe potuto compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informatici e di rete o accessibili attraverso di essi, ma che è stato efficacemente evitato o non si è verificato;

«incidente»: un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informatici e di rete o accessibili attraverso di essi;

«incidente di cibersicurezza su vasta scala»: un incidente che causa un livello di perturbazione superiore alla capacità di uno Stato membro di rispondervi o che ha un impatto significativo su almeno due Stati membri;

Sanzioni Pecuniarie NIS2

Sono previste anche sanzioni pecuniarie che dipendono dai soggetti interessati:

  • Per i soggetti essenziali: massimo di almeno 10.000.000 EUR o a un massimo di almeno il 2 % del totale del fatturato mondiale annuo
  • Per i soggetti importanti: un massimo di almeno 7.000.000 EUR o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo