NIS 2

La Direttiva NIS 2 è una norma UE, entrata in vigore il 17 gennaio 2023, che ha l'obiettivo di unificare le strategie sulla cyber security dei Paesi membri, focalizzandosi in particolare sulla sicurezza di settori particolarmente critici, che in caso di attacchi possono portare a crisi molto ampie e serie per gli Stati, come la finanza, l'energie o i trasporti.

La Direttiva NIS 2, inoltre, aggiunge un quarto pilastro fondamentale per la gestione della cyber security, oltre a riservatezza, integrità e disponibilità, la cosiddetta triade RID. Si introduce il concetto di autenticità: la proprietà per cui un’entità è ciò che afferma di essere.

Aziende e Pubbliche Amministrazioni hanno 18 mesi per essere compliant. Le prime scadenze: entro il 28 febbraio 2025 va effettuata la registrazione dei soggetti su portale ACN mentre per aprile serve la conferma dei soggetti obbligati. Queste attività sono annuali.
A gennaio 2026 scatta l'obbligo di notifica di incidente mentre per ottobre 2026 è necessaria l'implementazione progressiva delle misure di sicurezza per la compliance. 

Quali sono le finalità della NIS 2?

• Amplia la precedente NIS 1 del 2016
• Prima misura legislativa europea per la sicurezza cibernetica
• Migliora la cooperazione tra Stati membri 
• Impone misure di sicurezza agli operatori di servizi essenziali e ai fornitori di servizi digitali.
• Estende il perimetro di applicazione a molti settori industriali e dei servizi.
• Responsabilizza gli organi di controllo delle aziende e degli enti pubblici sul presidio dei rischi cyber e sulla comunicazione degli incidenti.
• Rafforza gli obblighi di cybersecurity
• Introduce il concetto di sicurezza e resilienza della supply chain
• Adotta 3 criteri: proporzionale, settoriale, dimensionale

Quali sono i principali adempimenti della NIS 2?

• Governance: approvazione delle misure per la gestione dei rischi da parte del Top Management; formazione periodica sulla cyber security per il Top Management e per il personale.
• Gestione del Rischio: valutazione dei rischi di sicurezza dei sistemi e delle reti; adozione di misure tecniche e organizzative adeguate e proporzionate per prevenire o ridurre al minimo l'impatto degli incidenti; comunicazione immediata degli incidenti all’Autorità.
• Continuità Operativa: implementazione di soluzioni adeguate e proporzionate per prevenire o ridurre al minimo l'impatto di eventuali interruzioni.
• Catena di Fornitura: valutazione delle vulnerabilità specifiche di ogni diretto fornitore e la qualità complessiva dei prodotti e delle pratiche di cybersecurity dei propri fornitori, non solo per i fornitori ICT ma anche per tutti i fornitori “critici”.
   

Chi sono i soggetti interessati dalla NIS 2?
 

Tra le organizzazioni pubbliche e private coinvolte, troviamo quelle che operano sui servizi essenziali, come i grandi operatori di settori quali:

• Energia (elettricità, petrolio, gas, calore, idrogeno)
• Sanità (servizi, laboratori, R&S, prodotti farmaceutici)
• Trasporti (aerei, ferroviari, idrici, stradali)
• Banche e mercati finanziari
• Imprese e fornitori di acqua potabile e/o di acque reflue
• Digitale (Internet Exchange Points (IXP), fornitori di servizi DNS, registri di nomi TLD, servizi di data center, fornitori di servizi di cloud computing, reti di distribuzione di contenuti, servizi fiduciari)
• Gestione dei servizi ICT
• Spazio

Grandi e medie imprese in settori importanti e medie imprese dei settori essenziali:

• Servizi postali
• Servizi di corriere
• Gestione dei rifiuti
• Produzione e distribuzione di sostanze chimiche
• Produzione, trasformazione e distribuzione di alimentari
• Industria (dispositivi medici e diagnostici; computer, elettronica e ottica; macchinari/apparecchiature n.c.a.; autoveicoli, rimorchi e altri mezzi)
• Servizi digitali (mercati online, motori di ricerca, social network)
• Istituti di Ricerca

Pubbliche amministrazioni centrali, regionali, provinciali ed altri soggetti pubblici:

• Amministrazioni centrali (organi costituzionali e di rilievo costituzionale, Presidenza del Consiglio dei ministri e ministeri; agenzie fiscali, autorità amministrative indipendenti)
• Amministrazioni regionali (regioni e province autonome)
• Amministrazioni locali (città metropolitane, comuni > 100.000 abitanti, comuni capoluoghi di regione, Aziende Sanitarie Locali)
• Altri soggetti pubblici (enti di regolazione dell’attività economica, enti produttori di servizi economici, enti a struttura associativa, enti produttori di servizi assistenziali, ricreativi e culturali, enti e Istituzioni di ricerca, istituti zooprofilattici sperimentali)
• Ulteriori tipologie (servizi di trasporto pubblico locale, istituti di istruzione che svolgono attività di ricerca, attività di interesse culturale, società in house, società partecipate e società a controllo pubblico)
   

Le sanzioni amministrative
 

Per la prima volta, il Top Management delle aziende private e delle PA viene responsabilizzato personalmente e direttamente in materia di cyber security. 

Per tutti: 

• Obbligo di rendere pubbliche le violazioni alla direttiva e/o al Dlgs 138
• Obbligo di informare il pubblico sugli incidenti occorsi

Solo per i Soggetti Essenziali:

• Interdizione temporanea degli organi di amministrazione, degli organi direttivi e delle funzioni dirigenziali (AD / rappresentante legale)    
• Sospensione delle certificazioni e delle autorizzazioni per i servizi o le attività forniti

Solo per le Pubbliche Amministrazioni (anche tramite Legge 90/2024)

• Responsabilità diretta dei soggetti fisici degli organi di amministrazione, degli organi direttivi e delle funzioni dirigenziali

Con il supporto di Howden, gli obblighi della Direttiva NIS possono diventare opportunità: investire nella sicurezza digitale significa conquistare fiducia dei clienti, rafforzare la resilienza aziendale e garantire continuità operativa in un contesto di crescenti sfide.