Il 18 ottobre 2024 rappresenterà una data importante per la sicurezza informatica nell’Unione Europea e, in modo particolare, per le sue aziende.

Entro il 18 ottobre, infatti, dovrà essere recepita dagli Stati membri la Direttiva NIS 2 – Network and Information Security che punta a garantire la continuità di servizi essenziali in caso di incidenti (o attacchi) alle reti informatiche o a strutture chiave per la gestione di dati e informazioni.

Direttiva NIS 2: i settori impattati dai nuovi obblighi

La Direttiva NIS 2 segue la precedente Direttiva NIS del 2016 e prevede una maggiore cooperazione tra gli Stati dell’Unione e l’aggiornamento dell’elenco dei settori e delle attività soggetti agli obblighi in materia di cybersecurity.

Caratteristica principale della NIS 2 è l’introduzione di alcuni criteri per una più semplice e coerente identificazione degli operatori: i soggetti pubblici e privati saranno inclusi in due nuove categorie, denominate “soggetti essenziali” e “soggetti importanti”.

I settori essenziali: inclusi anche alcuni servizi digitali

Oltre agli operatori e gestori dei settori ritenuti essenziali dall’Unione Europea, quali energia, trasporti, banche, infrastrutture ICT dei mercati finanziari, acqua potabile, sanità e infrastrutture digitali, la NIS 2 si applicherà anche ai fornitori di servizi digitali che operano nei seguenti settori:

• e-commerce;
• motori di ricerca;
• cloud computing;
• gestione dei servizi ICT, della Pubblica Amministrazione e del settore spaziale.

I settori importanti: dai servizi postali alla produzione di apparecchiature elettroniche

La Direttiva NIS 2 considera “settori importanti” le organizzazioni di ricerca, i servizi postali e corrieri, la gestione dei rifiuti, la fabbricazione, produzione e distribuzione di sostanze chimiche, la produzione, trasformazione e distribuzione di alimenti, la fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro, di computer e prodotti di elettronica e ottica, di apparecchiature elettriche, di macchinari e apparecchiature n.c.a. (“non classificato altrove”, secondo la definizione ATECO) di autoveicoli, rimorchi e semirimorchi, di altri specifici mezzi di trasporto e i fornitori di servizi digitali (non compresi nell’elenco precedente).

NIS 2: obblighi soprattutto per le grandi o medie organizzazioni

Per la categorizzazione degli operatori ritenuti essenziali o importanti, viene adottato anche il criterio della dimensione: la NIS 2, infatti, si applicherà a tutti quei soggetti grandi o medie organizzazioni pubbliche o private operanti all’interno della UE. Sono escluse le organizzazioni con meno di 50 dipendenti o un fatturato annuo inferiore a 10 milioni di euro, a meno che non siano ritenute di importanza critica.

Ulteriori soggetti interessati: dai fornitori di reti di comunicazione ai soggetti “critici”

La NIS 2 si applicherà inoltre anche ad altre tipologie di soggetti come i fornitori di reti di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico, quelli che forniscono servizi di registrazione dei nomi di dominio e anche alcuni enti della Pubblica Amministrazione. Rientreranno nel perimetro di applicazione della direttiva anche i soggetti definiti critici dalla Direttiva CER – Critical Entities Resilience, che si occupa della resilienza di entità critiche o estremamente critiche per rafforzarne il livello di preparazione di fronte a una serie di minacce, tra cui quelle terroristiche, i rischi naturali e le emergenze sanitarie.

17 aprile 2025: definizione dell’elenco dei soggetti da parte degli Stati UE

Entro il 17 aprile 2025 ciascun stato membro dovrà definire l’elenco dei soggetti considerati essenziali o importanti, che saranno chiamati a fornire le necessarie informazioni sul loro livello di applicazione della NIS 2. Gli stati dovranno inoltre dare vita a una o più autorità nazionali che siano responsabili della cybersecurity e che esercitino un ruolo di supervisione.

Le sanzioni previste dalla Direttiva NIS 2

La Direttiva NIS 2 pone particolare attenzione ai rischi riguardanti le supply chain e richiede ai soggetti di elaborare politiche per l’analisi dei rischi e la gestione efficace degli incidenti, ad esempio i casi di data breach, notificando alle autorità competenti le problematiche rilevate. Le entità essenziali saranno soggette a vigilanza ex ante ed ex post e potranno essere sanzionate fino a 10 milioni di euro, o 2% del fatturato. La sanzione potrà arrivare fino a 7 milioni di euro, o al 1.4% del fatturato, per i soggetti classificati come importanti.

Sono previste anche sanzioni penali, da determinare a seconda dei diversi ordinamenti giudiziari vigenti nei Paesi dell’Unione.

Tra obblighi e opportunità

Se la NIS 2 impone degli obblighi alle aziende (ma anche ai loro fornitori e sub-appaltatori, che hanno un ruolo essenziale nel garantirne l’operatività e la resilienza), allo stesso tempo deve essere considerata un’opportunità per introdurre nelle aziende la cultura della cybersecurity nonché best-practice tecniche e organizzative.