La direttiva NIS2 istituisce un quadro giuridico unificato per sostenere la cibersicurezza in 18 settori critici in tutta l'UE.
La direttiva invita gli Stati membri a definire delle strategie nazionali di cibersicurezza e a collaborare con l'UE per la reazione e l'applicazione transfrontaliere.
Scopri di più sulla direttiva NIS2 continuando a leggere.
La direttiva invita gli Stati membri a definire delle strategie nazionali di cibersicurezza e a collaborare con l'UE per la reazione e l'applicazione transfrontaliere.
Scopri di più sulla direttiva NIS2 continuando a leggere.
EUROPEAN ACCESIBILITY ACT: DI COSA SI TRATTA?
La direttiva 2022/2555, NIS2, ha sostituito la precedente direttiva 2016/1148 o NIS1 aumentando il livello comune di ambizione dell’UE in materia di cibersicurezza, attraverso un ambito di applicazione più ampio, norme più chiare e strumenti di vigilanza più solidi.
La direttiva, infatti, impone a ciascuno Stato membro di adottare una strategia nazionale in materia di cibersicurezza, che comprenda politiche per la sicurezza della catena di approvvigionamento, la gestione delle vulnerabilità e l’educazione e la sensibilizzazione in materia di cibersicurezza.
È previsto poi che gli Stati membri redigano e aggiornino regolarmente un elenco di operatori di servizi essenziali, garantendo che tali soggetti rispettino i requisiti della direttiva.
Il NIS 2 introduce sostanzialmente un cambio di paradigma nella gestione della sicurezza digitale in Europa, poiché sposta l’attenzione dalla protezione dei dati personali alla continuità dei servizi essenziali in settori chiave al fine di garantire la salvaguardia delle reti e dei sistemi critici che ad oggi costituiscono lo scheletro del nostro mondo divenuto digitale.
Ecco il motivo per cui questa normativa si rivolge a settori strategici come la sanità, l’energia, i trasporti e le infrastrutture digitali, che non solo supportano le nostre vite quotidiane ma sono anche essenziali per la stabilità economica e sociale.
Questi settori, infatti, operando in un contesto sempre più interconnesso, sono soggetti ad una vulnerabilità o incidenti di rete che potrebbero quindi avere ripercussioni a catena su scala nazionale o europea.
La NIS 2 risponde a questa sfida introducendo requisiti stringenti e armonizzati per la gestione del rischio e la resilienza delle infrastrutture critiche.
Tra le misure fondamentali troviamo l’obbligo di effettuare delle valutazioni del rischio periodiche, l’implementazione di piani di continuità operativa e l’adozione di protocolli di sicurezza per proteggere sistemi e reti da minacce sempre più sofisticate.
Un elemento distintivo è certamente la visione sistemica della sicurezza, che non si limita a mitigare i rischi immediati, ma mira a costruire una resilienza a lungo termine.
DIRETTIVA NIS 2: QUALI SONO I SETTORI INTERESSATI
Le norme della direttiva NIS 2 si estendono oltre i settori già coperti dalla NIS 1, includendo non solo l’energia, i trasporti, l’assistenza sanitaria, la finanza, la gestione delle risorse idriche e le infrastrutture digitali, ma anche nuovi ambiti.
Tra questi rientrano i fornitori di servizi pubblici di comunicazione elettronica, le piattaforme sociali, la gestione delle acque reflue e dei rifiuti, la fabbricazione di prodotti critici, i servizi postali e di corriere, la pubblica amministrazione sia a livello centrale che regionale e il settore spaziale.
Le imprese di medie e grandi dimensioni che operano in questi settori dovranno adottare misure adeguate alla gestione dei rischi legati alla cibersicurezza e notificare tempestivamente alle autorità nazionali competenti eventuali incidenti significativi, ossia quegli eventi che potrebbero determinare interruzioni o danni rilevanti.
La direttiva introduce anche disposizioni per migliorare la vigilanza e l’applicazione delle normative, oltre a favorire valutazioni inter pares volontarie tra gli Stati membri, con l’obiettivo di rafforzare la fiducia reciproca e potenziare le capacità di difesa informatica in tutta l’Unione Europea.
Inoltre, attribuisce una specifica responsabilità all’alta dirigenza in caso di mancato rispetto delle misure di gestione dei rischi, portando così la questione della cibersicurezza all’attenzione dei Consigli di amministrazione.
DIRETTIVA NIS 2: SINERGIE CON IL GDPR
Se da una parte il GDPR garantisce il rispetto dei diritti fondamentali delle persone attraverso la protezione dei dati personali, la Direttiva NIS2 si focalizza sulla sicurezza delle infrastrutture critiche che abilitano tale protezione.
I due regimi normativi, GDPR e NIS 2, non solo condividono obiettivi comuni, ma si intrecciano per rafforzare un concetto di sicurezza digitale che va oltre i confini tradizionali.
La protezione dei dati personali e la sicurezza delle infrastrutture critiche si fondono in un approccio integrato, dove ogni elemento contribuisce a rafforzare l’altro.
E così Il GDPR è finalizzato alla protezione dei trattamenti dei dati, mentre la NIS 2 si concentra al garantire la continuità dei servizi assicurando la sicurezza delle reti e dei sistemi attraverso cui i dati transitano.
Entrambe le norme mirano a garantire che i dati conservino le proprietà della riservatezza, integrità e disponibilità.
Inoltre, la NIS 2 impone anche la salvaguardia dell’autenticità dei dati.
Di conseguenza, entrambe richiedono, basandosi sull’analisi dei rischi, l’adozione di strumenti in parte simili.
Ad esempio, un aspetto essenziale è quello dell’accountability, un principio cardine del GDPR che è stato adottato e ampliato dalla NIS 2 e dal relativo decreto di recepimento.
La responsabilità dei vertici aziendali è esplicitata in modo da sottolineare che la sicurezza non può essere delegata esclusivamente ai team tecnici, ma deve essere integrata nella strategia di governance.
I dirigenti hanno il dovere di garantire che le loro organizzazioni adottino misure efficaci per la protezione sia dei dati personali che delle infrastrutture critiche, creando un ecosistema resiliente e conforme.
La sinergia tra GDPR e NIS 2 emerge anche nella loro visione preventiva/proattiva.
Entrambi i regimi incoraggiano le organizzazioni a implementare misure di sicurezza basate sulla valutazione del rischio, promuovendo una cultura della sicurezza che va oltre la mera conformità normativa.
DIRETTIVA NIS 2: QUALI LE SANZIONI PREVISTE
La direttiva NIS 2 introduce sanzioni rilevanti per le organizzazioni che non rispettano i requisiti di sicurezza, sottolineando così l’importanza della responsabilità ai massimi livelli dirigenziali.
Questo principio rafforza l’idea che la sicurezza delle infrastrutture critiche non sia solo una questione tecnica, ma rappresenti un elemento essenziale della governance e della strategia aziendale.
Attraverso la NIS 2 e il relativo decreto di recepimento, vengono poste le basi per un ecosistema digitale più sicuro e resiliente, in cui la protezione delle infrastrutture critiche diventa un requisito imprescindibile per garantire la tutela dei dati personali e la stabilità economica e sociale.
Gli Stati membri avevano tempo fino al 17 ottobre 2024 per recepire la direttiva nel diritto nazionale.
Tuttavia, la Commissione europea ha già avviato procedure di infrazione nei confronti di 23 Stati membri, inviando lettere di costituzione in mora per il mancato recepimento completo della normativa.
Ora spetta agli Stati rispondere e completare il processo di attuazione.
In caso contrario, la Commissione può emettere un parere motivato, un atto formale con cui richiede la conformità alle norme dell’UE.
Se l’inadempienza dovesse persistere, la questione potrebbe essere deferita alla Corte di giustizia dell’Unione europea, che ha il potere di imporre sanzioni pecuniarie.
Se vuoi avere altre informazioni contattaci subito.
Scrivici all’indirizzo info@abinnovationconsulting.com, oppure compila il modulo che trovi di seguito.
