La Direttiva NIS2, pubblicata sulla Gazzetta Ufficiale dell’UE a fine Dicembre 2022, abroga e sostituisce la precedente Direttiva NIS del 2016, nell’ottica di modernizzazione dell’attuale quadro europeo in tema di cybersecurity.
Al fine di rispondere al sempre più crescente numero di attacchi informatici e con lo scopo di armonizzare a livello europeo le modalità di gestione delle attività legate alla Cybersecurity di alcuni settori considerati critici e strategici, nel 2016 era stata emanata dal Parlamento Europeo la Direttiva NIS – Network and Information Security, avente lo scopo di innalzare le difese dei Paesi membri contro possibili attacchi informatici attraverso una serie di misure legislative che andavano ad unificare quanto più possibile, l’implementazione ed applicazione dei sistemi di sicurezza delle reti e dei sistemi informativi dei paesi UE.
La Direttiva ha l’intento di rafforzare il livello globale di cybersicurezza all’interno degli Stati membri, al fine di garantire, soprattutto per quel che concerne le società che sono considerate Operatori di Servizi Essenziali, l’adozione di misure tecniche ed organizzative adeguate contro i rischi cyber attraverso un aumento delle capacità di resilienza aziendale su tutto il processo di gestione di tali rischi, dalla capacità di prevenire alla capacità di minimizzare l’impatto che tali incidenti possono causare.
Pertanto anche il Governo Italiano dovrà, entro 21 mesi, procedere al recepimento della Direttiva a livello nazionale, ma ciò non toglie che le società rientranti nel nuovo perimetro definito dalla NIS2 debbano fin d’ora iniziare ad implementare ed adottare tali presidi tecnico-organizzativi e mappare e gestire i processi in oggetto, sia per tutelarsi da eventuali attacchi cyber sia per essere pronti quando tali stringenti misure entreranno definitivamente in vigore.
L’allargamento del perimetro degli Operatori di Servizi Essenziali ha permesso di aggiungere ai settori altamente critici previsti precedentemente, ovvero:
Trasporti (aerei, ferroviari, marittimi, stradali), Banche, Infrastrutture del mercato finanziario, Salute, Acque (da bere), Infrastruttura digitale
anche i settori delle Acque Reflue, della Gestione dei servizi ICT (business-to-business), della Pubblica Amministrazione, dell’ambito Spazio ed i fornitori digitali (mercati online, motori di ricerca online, piattaforme di servizi di social networking), i gestori di rifiuti, le aree di fabbricazione, produzione e distribuzione di prodotti chimici, quelle di produzione, trasformazione e distribuzione di alimenti, l’area manifatturiera, i servizi postali ed i Corrieri ed, infine, anche le Organizzazioni di Ricerca.
Inoltre è stato ampliato l’ambito delle Infrastrutture digitali e si è posta una particolare attenzione ai rischi che interessano la catena di fornitura, includendo un vero e proprio focus sulla compliance della supply chain, con un’attenzione specifica ai fornitori più critici.
La nuova direttiva è stata allineata con altre normative europee settoriali specifiche come la Direttiva sulla resilienza operativa digitale per il settore finanziario (DORA), cioè il Regolamento approvato in data 10/11/2022 avente lo scopo di incrementare le misure di sicurezza a favore della resilienza e della sicurezza informatica del settore finanziario attraverso l’attuazione di una serie di misure di sicurezza obbligatorie, volte a garantire l’integrità delle informazioni e la cybersicurezza dei servizi, e la Direttiva sulla resilienza delle entità critiche CER, volta a garantire chiarezza giuridica e coerenza tra le diverse direttive.
La Direttiva NIS2 si inserisce in un quadro normativo che a livello locale con la normativa sul perimetro di sicurezza nazionale italiana e l’equivalente di altre giurisdizioni e a livello internazionale con, tra gli altri, la direttiva NIS, con il Regolamento europeo DORA, anch’esso appena approvato, e con il Cyber Resilience Act stanno introducendo obblighi in materia di cybersecurity che vanno ben oltre il perimetro della compliance privacy.