La Direttiva NIS2 e il suo recepimento nella normativa nazionale: un nuovo standard per la cybersecurity in Europa

A tal fine, introduce requisiti più stringenti per la gestione dei rischi e la segnalazione degli incidenti, ampliando il suo campo di applicazione a più settori e entità. A partire dal prossimo 18 ottobre, tutti gli stati membri sono tenuti ad adottare nel proprio impianto legislativo provvedimenti che rispettino la direttiva.

La Direttiva NIS2: un nuovo standard per la cybersecurity in Europa - Fra le principali novità, si segnala una estensione del campo di applicazione della direttiva ma anche l’enfasi sugli aspetti metodologici e procedurali che i destinatari sono obbligati a mettere in atto:

Gestione dei Rischi e Segnalazione degli Incidenti: La direttiva richiede l’adozione di strumenti di analisi e gestione dei rischi, la segnalazione tempestiva degli incidenti e l’implementazione di misure tecniche e organizzative adeguate. Gli incidenti significativi devono essere notificati entro 24 ore e seguiti da un rapporto completo entro 72 ore.
Estensione del Campo di Applicazione: La NIS2 include settori critici come energia, trasporti, sanità e infrastrutture digitali, eliminando la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali.
Allineamento con altre normative: La direttiva si allinea con altre regolamentazioni sulla protezione dei dati come il GDPR e l’Atto sulla Resilienza Cibernetica, introducendo misure di supervisione e applicazione più rigorose.

Recepimento nella normativa nazionale - In Italia, la Direttiva NIS2 sarà implementata attraverso la Legge 90/2024 e il disegno di legge presentato alle camere come Atto Governativo n. 164, che al momento della stesura di questo articolo è in fase di revisione. Questi provvedimenti legislativi mirano da una parte a delineare obblighi e approcci metodologici alla gestione della cybersicurezza per PA ed enti ed aziende erogatrici di servizi strategici, dall’altra a bilanciare la necessità di una maggiore sicurezza informatica con gli oneri finanziari e operativi per le organizzazioni, in particolare quelle più piccole.

• Ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN): L’ACN avrà il compito di supervisionare la conformità e fornire linee guida alle entità coinvolte. Attraverso il CSIRT (Computer Security Incident Response Team) Italia essa provvede a monitorare, analizzare ed intervenire in risposta alle minacce cyber.
• Obblighi per le entità destinatarie: Le organizzazioni dovranno adottare misure tecniche, operative e organizzative per gestire i rischi di cybersecurity, sviluppare piani di continuità e all’ACN promuovere la formazione e la consapevolezza sulla cybersecurity e utilizzare metodi di comunicazione sicuri.

Sfide e opportunità - Fermo restando le necessità di superamento delle limitazioni della originaria direttiva NIS, è auspicabile che l’attuazione della nuova normativa possa portare un miglioramento grazie all’introduzione di misure che possano contribuire a superare il problema dell’insufficienza del livello di preparazione in materia di cybersicurezza negli stati membri, nonché portare alla riduzione dei costi nella gestione di incidenti.

Il recepimento della direttiva NIS 2 vedrà un ampliamento dell’ambito di applicazione a soggetti non considerati dalla precedente NIS (pubblica amministrazione ma anche piccole e micro imprese operanti in settori chiave, fornitori di servizi e reti di comunicazione elettronica etc., indipendentemente dalle loro dimensioni).

Per proseguire la lettura di questa interessante analisi di Italo Lisi - Chief of Information Officer (CIO) e Responsabile per la Transizione al Digitale della Scuola Superiore Sant’Anna di Pisa - questo è il link