La Direttiva UE 2022/2555, nota come NIS 2, segna un cambiamento significativo nel panorama della cybersicurezza europea. Questa normativa mira a stabilire un livello comune di cybersicurezza tra gli Stati Membri, imponendo rigorosi obblighi alle organizzazioni operanti in settori considerati critici.
Obiettivi della Direttiva NIS 2
L’obiettivo principale della NIS 2 è di garantire un’adeguata protezione dei dati e delle infrastrutture digitali. Questo approccio riduce significativamente i rischi di incidenti informatici e rafforza la risposta a violazioni di sicurezza, con l’intento primario di tutelare l’integrità dei servizi essenziali europei.
Scadenze e requisiti per adeguarsi alla Direttiva UE 2022/2555
La Direttiva NIS 2 sarà applicabile dal 17 ottobre 2024, data entro la quale gli Stati Membri dovranno recepire la normativa nel loro diritto nazionale. È probabile che durante questo processo di recepimento vengano stabilite tempistiche per l’adeguamento delle organizzazioni. Tuttavia, è essenziale che le organizzazioni interessate inizino il processo di adeguamento quanto prima per garantire la piena conformità entro la data stabilita.
Chi è coinvolto? Applicazione e criteri della Direttiva NIS 2
La Direttiva NIS 2 prevede tre parametri principali che definiscono chi deve aderire alle nuove regolamentazioni e che guidano le entità nel processo di compliance:
- Criterio del settore merceologico: classifica le organizzazioni in due categorie principali:
- Soggetti essenziali: organizzazioni pubbliche e private operanti in settori quali energia, trasporto, sanità, infrastrutture digitali, e altri settori critici.
- Soggetti importanti: organizzazioni che forniscono servizi postali, gestiscono rifiuti, producono sostanze chimiche, alimenti, fornitori di servizi digitali, e altri.
- Criterio della Territorialità: si applica alle organizzazioni che operano all’interno dell’Unione Europea.
- Criterio del Dimensionamento: limita l’applicazione della direttiva alle medie e grandi imprese. Tuttavia, sono previste eccezioni che includono anche organizzazioni di dimensioni minori in determinate circostanze.
È importante sottolineare che non solo i soggetti inclusi nelle categorie precedentemente esaminate saranno interessati dall’ambito di applicazione della NIS 2, ma anche tutti gli altri attori coinvolti lungo la catena di approvvigionamento. Le organizzazioni soggette alla NIS 2 potrebbero, infatti, scegliere di escludere dalla propria catena di fornitura le PMI non conformi per evitare conseguenze gravi in caso di violazioni dei dati e dei relativi sistemi informatici.
Sul nostro sito è presente un elenco completo delle specifiche categorie di organizzazioni soggette alla normativa.
Obblighi derivanti dalla NIS 2
La Direttiva NIS 2 impone agli organi di gestione delle organizzazioni di adottare specifiche misure per la gestione dei rischi, fornendo formazione periodica sulla cybersicurezza ai dipendenti e seguendo protocolli di sicurezza rigorosi. Inoltre, è previsto un obbligo di valutazione dei rischi e di implementazione di misure tecniche e organizzative, come l’autenticazione a più fattori e la crittografia.
Le organizzazioni sono tenute a garantire la continuità operativa attraverso pratiche di backup, disaster recovery e gestione delle crisi, con l’obiettivo di minimizzare l’impatto di eventuali interruzioni dei servizi. Le organizzazioni soggette alla direttiva sono tenute inoltre a segnalare all’autorità competente ogni incidente che influisce in modo significativo sulla continuità dei loro servizi. Devono anche presidiare la sicurezza della catena di approvvigionamento (supply-chain), considerando le vulnerabilità specifiche dei fornitori e monitorando la qualità dei prodotti e dei protocolli.
Cosa succede a chi non si adegua alla Direttiva UE 2022/2555?
La Direttiva UE 2022/2555 NIS 2, in caso di inadempienza, prevede che i “Soggetti essenziali” saranno soggetti a sanzioni fino a un massimo di almeno 10.000.000 € o al 2% del fatturato annuo globale, mentre per gli altri soggetti le sanzioni possono arrivare fino a 7.000.000 € o all’1,4% del loro fatturato annuo mondiale. Anche se non vi sono differenze nei requisiti di sicurezza tra “Soggetti essenziali” e “Soggetti importanti”, le entità essenziali saranno soggette a controlli e multe più severe, evidenziando l’importanza della conformità normativa per tutte le organizzazioni coinvolte.
