Cybersicurezza in Europa: come la direttiva NIS2 cambia le regole del gioco

Durante il Consiglio dei Ministri del 10 giugno 2024, il Governo ha dato il via libera al Decreto di recepimento della Direttiva “NIS2” (UE) 2022/2555, con l’obiettivo di garantire un livello comune e avanzato di cybersicurezza in Europa.

Il termine per il recepimento delle nuove normative europee sulla sicurezza delle reti scade il 18 ottobre 2024. Le regole, formalmente in vigore dal 2023 ma operative dal 2024, saranno potenziate dalla Direttiva NIS2, che sostituirà il precedente pacchetto di norme del 2016, ormai superato dalle nuove minacce informatiche europee.

Cos’è la Direttiva NIS, cosa prevede e quali sono le principali novità rispetto alla precedente normativa? La Direttiva NIS2, Network & Information Security, ovvero la Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022, mira a rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi nell’UE.

Questa direttiva modifica il regolamento (UE) n. 910/2014 (sulle transazioni elettroniche) e la direttiva (UE) 2018/1972 (il Codice europeo delle comunicazioni elettroniche). A partire dal 18 ottobre 2024, abroga la precedente Direttiva NIS (1), ovvero la Dir. 2016/1148, sulla sicurezza delle reti e dei sistemi informativi nell’Unione. Dopo l’introduzione del primo pacchetto di regole sulla cybersicurezza in Europa nel 2016, l’UE ha aggiornato queste norme nel 2022 con la Direttiva NIS2, in vigore dal 2023, per adattarsi alla crescente digitalizzazione e al panorama delle minacce informatiche in evoluzione. L’obiettivo è migliorare la resilienza e la capacità di risposta agli incidenti di enti pubblici e privati, delle autorità competenti e dell’UE nel suo complesso. La direttiva impone agli Stati membri:

• l’identificazione delle imprese operatrici di servizi essenziali, che devono adottare misure di sicurezza adeguate e notificare alle autorità nazionali competenti gli incidenti gravi;
• l’istituzione di un team di risposta agli incidenti di sicurezza informatica (CSIRT) e di un’autorità nazionale competente in materia di reti e sistemi informativi (NIS);
• la cooperazione tra tutti gli Stati membri, attraverso un gruppo di cooperazione che faciliti la cooperazione strategica e lo scambio di informazioni.

La Direttiva NIS2 mira a promuovere una cultura della sicurezza in tutti i settori vitali per l’economia e la società, fortemente dipendenti dalle TIC, come energia, trasporti, acqua, infrastrutture bancarie e dei mercati finanziari, assistenza sanitaria e infrastrutture digitali. La direttiva riguarda anche i principali fornitori di servizi digitali, come motori di ricerca, servizi di cloud computing e mercati online, che devono rispettare obblighi di sicurezza e notifica. Rispetto alla precedente direttiva, NIS2 si applica a tutte le imprese di medie e grandi dimensioni e, in alcuni casi, a quelle di piccole dimensioni con un elevato profilo di rischio per la sicurezza.

Le principali novità della Direttiva NIS2 rispetto alla NIS1 includono:

• l’ampliamento dell’ambito di applicazione;
• la distinzione tra “soggetti essenziali” e “soggetti importanti” basata su criteri dimensionali;
• la razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria;
• l’adozione di un approccio “multirischio”;
• la regolamentazione della divulgazione coordinata delle vulnerabilità (CVD) e delle funzioni di coordinamento degli CSIRT nazionali;
• l’implementazione di misure di cooperazione per la gestione coordinata degli incidenti e delle crisi di cybersicurezza su vasta scala.

La nuova direttiva esclude dall’ambito di applicazione soggetti operanti in settori come sicurezza nazionale, pubblica sicurezza, difesa, prevenzione e perseguimento dei reati, Parlamenti e banche centrali, e organi costituzionali. Prevede un apparato sanzionatorio più severo e armonizzato a livello europeo, con sanzioni amministrative pecuniarie fino a 10.000.000 di euro, per garantire maggiore uniformità e deterrenza in tutta l’UE.