NIS2: la resilienza dell’UE passa attraverso la cybersicurezza del Paese

L’utilizzo delle tecnologie ICT è sempre più ampio nella società e il loro impatto sulle attività economiche, sull’erogazione di servizi, e persino sull’esercizio dei diritti fondamentali, è tangibile e concreto. I recenti scenari di crisi globale, pandemica e geopolitica, hanno inoltre contribuito ad una crescente esigenza di sovranità digitale.

La Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, detta anche “Network and Information Security (NIS) 2”, sostituendone la sua prima versione datata 2016, si propone di raggiungere un elevato livello di cybersicurezza comune a tutti gli Stati appartenenti all’Unione Europea.

L’obiettivo è chiaro: garantire, con l’adozione di una normativa più matura e di applicazione omogenea, la resilienza dell’intero sistema UE a partire dall’innalzamento collettivo delle difese cibernetiche dei singoli Stati.

I soggetti coinvolti

Per attuare il progetto di una difesa cibernetica comune europea, la Direttiva individua (e tutela) tutti i soggetti pubblici e privati per i quali il verificarsi di un incidente cibernetico potrebbe porre a rischio la stabilità del sistema-Stato e, in ultima istanza, dell’intera Unione. L’elenco dei soggetti già coinvolti nell’applicazione della precedente norma – costituito in Italia dalle disposizioni del c.d. Perimetro di Sicurezza Nazionale Cibernetica (PSNC) – si allarga, rendendo applicabile la nuova disciplina a partire dalle medie imprese (così come definite dalla Raccomandazione 2003/361/CE), la cui attività si svolga all’interno dell’Unione Europea, rientranti nei seguenti settori:

• Alta criticità: energia, trasporti, banca e mercati finanziari, settore sanitario, acqua (potabile e acque reflue), infrastrutture digitali, Pubblica Amministrazione, spazio.
• Altri settori critici: servizi postali e di corriere, gestione dei rifiuti, settore chimico, settore alimentare, fabbricazione, servizi digitali, organizzazioni di ricerca.

Ciascuno Stato membro può inoltre decidere, a propria discrezione, di includere anche piccole o microimprese, operanti nei settori sopra indicati, che si rivelino critiche per la sicurezza nazionale.

Le misure previste

I soggetti NIS2 sono tenuti ad adottare «misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete […], nonché per prevenire o ridurre al minimo l'impatto degli incidenti per i destinatari dei loro servizi e per altri servizi». Accanto a tale principio, la Direttiva stabilisce i seguenti elementi:

• Implementazione di dieci misure di sicurezza minime (incident management, business continuity, supply chain security, uso della crittografia, ecc.);
• Fissazione di termini perentori per la segnalazione degli incidenti all’Autorità NIS competente (entro 24 ore il preallarme, entro 72 ore la notifica, entro 1 mese la redazione dell’incident report finale);
• Estensione delle tipologie di controlli da parte degli Stati membri per le verifiche sulla compliance dei soggetti;
• Inasprimento delle misure esecutive, in particolare delle sanzioni amministrative pecuniarie.

Nel caso di soggetti particolarmente critici (ad esclusione della P.A.), la responsabilità di garantire il rispetto della Direttiva è posta in capo ai legali rappresentanti, con la previsione di sanzioni specifiche in caso di inadempimento.

Il recepimento in Italia

La Direttiva, per poter essere concretamente attuata all’interno dell’ordinamento degli Stati, necessita di essere trasposta con uno specifico atto legislativo entro il termine del 17 ottobre 2024.

In Italia, lo schema del Decreto legislativo di recepimento che contiene la declinazione della NIS2 a livello nazionale è stato recentemente approvato dal Consiglio dei Ministri – con parere favorevole del Parlamento – ed è in attesa di essere pubblicato nella Gazzetta Ufficiale della Repubblica.

La norma, oltre a designare l’Agenzia per la Cybersicurezza Nazionale (ACN) e il Ministero della Difesa quali Autorità nazionali di gestione delle crisi cibernetiche, prevede l’introduzione di criteri di gradualità temporale e di proporzionalità degli obblighi – in base all’analisi del rischio – ai quali enti privati e pubbliche amministrazioni dovranno conformarsi.

Si prevede, infine, l’attivazione di una piattaforma digitale attraverso cui i soggetti NIS2 saranno tenuti a registrarsi indicando le informazioni richieste da ACN per consentire l’aggiornamento e la redazione (entro il 31 marzo di ogni anno) dell’elenco definitivo dei soggetti a perimetro.

La sicurezza a misura di impresa

Mashfrog, adottando un approccio olistico in grado di coniugare Tech Law e Cybersecurity, unisce alla profonda comprensione dei requisiti normativi, dei framework internazionali e degli standard di settore, le competenze all’avanguardia nella realizzazione di soluzioni tecnologiche su misura che considerano il contesto operativo, le dimensioni e i rischi cibernetici specifici dell’organizzazione, consentendo il raggiungimento di un equilibrio ottimale tra protezione e costi.

Mettendo al centro l’unicità del business di ogni cliente.

Per ulteriori informazioni su come Mashfrog può affiancarti nell'applicare la direttiva NIS2 contattaci cliccando qui.