Lo scorso 27 dicembre 2022 è stata pubblicata, in Gazzetta Ufficiale dell’Unione europea, la Direttiva (UE) n. 2022/2555, denominata Direttiva NIS2, la quale sostituirà e abrogherà, a partire dal 18 ottobre 2024, l’originaria direttiva sulla sicurezza delle reti e dei sistemi informativi, la Direttiva (UE) 2016/1148 (c.d. Direttiva NIS). La Direttiva NIS2 entrerà in vigore il 16 gennaio 2023, il ventesimo giorno successivo alla sua pubblicazione nella Gazzetta Ufficiale dell’Unione europea. L’obiettivo della direttiva è quello di stabilire misure volte a garantire un livello comune elevato di cybersicurezza nell’Unione europea, armonizzandone gli obblighi in materia, in modo da migliorare il funzionamento del mercato interno. A tal fine, la direttiva stabilisce obblighi che impongono agli Stati membri di adottare strategie nazionali in materia di cybersicurezza e di designare o creare autorità nazionali competenti, autorità di gestione delle crisi informatiche, istituendo meccanismi per una cooperazione efficace tra le autorità competenti di ciascun Stato membro. Inoltre, la direttiva aggiorna l’elenco dei settori e delle attività soggetti agli obblighi in materia di cybersicurezza e prevede altresì mezzi di ricorso e sanzioni per garantirne l’applicazione. L’ampliamento dell’ambito di applicazione rispetto all’originaria Direttiva NIS prevede che i nuovi obblighi si applichino ad ulteriori soggetti quali, a titolo esemplificativo, i soggetti che forniscono servizi critici quali, a titolo esemplificativo e non esaustivo, la fabbricazione di dispositivi medici, di computer e prodotti di elettronica, nonché i fornitori di servizi digitali e i soggetti che si occupano della grande distribuzione alimentare. Inoltre, mentre la precedente Direttiva NIS prevedeva, in capo agli Stati membri, la responsabilità di determinare i soggetti rientranti negli operativi di servizi essenziali, la Direttiva NIS2 introduce, quale regola generale per individuare i soggetti regolamentati, una soglia dimensionale. Infatti, tutti i soggetti di medie e grandi dimensioni che operano nei settori o forniscono i servizi contemplati dalla direttiva rientreranno nel suo ambito di applicazione. I principali obblighi della Direttiva NIS2 Seppur la direttiva preveda che gli Stati membri siano obbligati a recepirla entro e non oltre il 17 ottobre 2024, la stessa prevede già oggi che gli operatori inclusi nel suo campo di applicazione saranno tenuti ad adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi connessi alla sicurezza dei sistemi informatici e delle reti. Altre modifiche introdotte con la direttiva concernono le misure di gestione del rischio di cybersicurezza e gli obblighi di segnalazione. In particolare, si evidenzia che: La Direttiva NIS2 stabilisce altresì che gli Stati membri debbano provvedere affinché le proprie autorità competenti monitorino efficacemente e adottino le misure necessarie a garantire il rispetto della direttiva, anche attraverso il conferimento alle autorità competenti di specifici compiti di vigilanza nei confronti di specifici soggetti (ad es. ispezioni in loco e vigilanza a distanza, compresi controlli casuali effettuati da professionisti formati; audit sulla sicurezza periodici e mirati effettuati da organismi indipendenti o da un’autorità competente; audit ad hoc, ivi incluso in casi giustificati da un incidente significativo o da una violazione della direttiva da parte del soggetto essenziale; richieste di accesso a dati, documenti e altre informazioni necessari allo svolgimento dei compiti di vigilanza; richieste di dati che dimostrino l'attuazione di politiche di cybersicurezza; etc.). Attualmente, la normativa di riferimento in Italia che ha recepito la Direttiva NIS è la legge n. 109/2021. Occorrerà ora aspettare che il legislatore italiano recepisca la Direttiva NIS2. La Direttiva NIS2 pubblicata in Gazzetta Ufficiale UE è disponibile qui. [1] I CSIRT sono team di risposta agli incidenti di sicurezza informatica che saranno designati o istituiti da ogni Stato membro.
