La Direttiva NIS2, nota anche come Direttiva UE 2022/2555, è un aggiornamento della precedente Direttiva NIS (Direttiva UE 2016/1148) sulla sicurezza delle reti e delle informazioni. Entrata in vigore il 16 gennaio 2023, la NIS2 ha l’obiettivo di rafforzare la resilienza e la capacità di risposta agli incidenti di cibersicurezza degli Stati membri dell’UE, delle autorità competenti e delle entità pubbliche e private.
Ambito di Applicazione
La NIS2 amplia l’ambito di applicazione rispetto alla precedente direttiva, includendo un maggior numero di settori e entità. Essa distingue tra:
– Soggetti Essenziali: Operano in settori ad alta criticità come energia, trasporti, sanità, infrastrutture digitali, pubblica amministrazione, ecc.
– Soggetti Importanti: Operano in altri settori critici come servizi postali e di corriere, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, alimenti, ecc.
Obblighi Principali
- Governance della Cybersicurezza
- Gli organi di gestione devono approvare e supervisionare le misure di gestione dei rischi cyber.
- Formazione periodica su tematiche di cybersicurezza per i membri degli organi di gestione e i dipendenti.
- Misure di Gestione dei Rischi
- Valutazione dei rischi e attuazione di misure tecniche e organizzative, come autenticazione a più fattori, crittografia, e pratiche di igiene informatica.
- Gestione della catena di fornitura, garantendo la sicurezza dei rapporti con i fornitori.
- Garanzia della continuità operativa con piani di backup, ripristino e gestione delle crisi.
- Obblighi di Segnalazione
- Notifica degli incidenti significativi ai CSIRT o alle autorità competenti entro 24 ore dal momento in cui ne vengono a conoscenza.
- Presentazione di una relazione finale entro un mese dalla notifica dell’incidente
- Sanzioni
- Sanzioni pecuniarie per le violazioni degli obblighi di gestione dei rischi e di segnalazione degli incidenti.
- Per i soggetti essenziali: fino a 10 milioni di euro o il 2% del fatturato mondiale annuo.
- Per i soggetti importanti: fino a 7 milioni di euro o l’1,4% del fatturato mondiale annuo.
Tempistiche
-
- La Direttiva NIS2 dovrà essere recepita nel diritto nazionale degli Stati Membri entro il 17 ottobre 2024. Gli obblighi diverranno applicabili dal giorno successivo alla data stabilita per il recepimento.
Ieri il governo ha approvato il testo della legge delega.
In sintesi, la Direttiva NIS2 rappresenta un passo avanti significativo nella governance della cibersicurezza nell’UE, con un’attenzione particolare alla gestione dei rischi, alla formazione e alla responsabilizzazione degli organi di gestione aziendale.
Lo studio sta approntando in collaborazione con delle società di Sw uno strumento volto a garantire il rispetto della Norma.
Si resta a disposizione per chiarimenti ed approfondimenti