La Direttiva NIS2 dovrà essere recepita dai singoli stati membri dell’Unione Europea entro il 18 ottobre 2024. La normativa, che si riferisce alla Direttiva UE 2022/2555 del Parlamento Europeo e del Consiglio d’Europa del 14 dicembre 2022, riguarda la sicurezza delle reti e delle informazioni – NIS sta per Network and Information Security) - è entrata in vigore il 17 gennaio 2023. Ma, come sempre, l’Unione Europea fornisce una data per l’entrata in vigore e una successiva, questa volta a distanza di ben 21 mesi, per il recepimento da parte dei singoli Stati, per dare il tempo a tutti gli organismi coinvolti di adeguarsi. La NIS2 è un’evoluzione della precedente NIS - Direttiva UE 2016/1148 del 6 luglio 2016 attuata in Italia con D.lgs. n. 65 del 18 maggio 2018 – ed è considerata un passo significativo nella definizione di una strategia comune a tutti i Paesi europei in ambito cybersecurity. Rispetto alla prima NIS, la nuova direttiva risulta più aggiornata e adeguata a un contesto, quello della sicurezza informatica, che sappiamo essere in costante evoluzione. Tra le novità c’è l’invito a una maggiore cooperazione tra gli Stati membri, riferendosi a quanto le minacce per la sicurezza impattino direttamente sull’economia. In primo luogo, si estendono gli obblighi di sicurezza superando la distinzione tra operatori di servizi essenziali e fornitori di servizi essenziali, introducendo le nuove categorie di “servizi essenziali” e “soggetti importanti” per identificare meglio gli operatori coinvolti che, a loro volta, operano in settori ad alta criticità o in altri settori critici.
Le aziende altamente critiche
Il parametro di alta criticità è riferito alla dimensione delle aziende, tendenzialmente dai 50 dipendenti in su o con un fatturato annuo minimo di 10 milioni di euro, con ragione sociale europea. Si aggiungono anche alcune categorie specifiche di soggetti, anche piccole imprese, individuate dalla Direttiva. Spetterà comunque ai singoli Stati membri definire un elenco di soggetti essenziali e importanti entro il 17 aprile del 2025. La varietà dei settori essenziali a cui si applica è decisamente ampia. Non si pensa solo all’energia, ai trasporti, alle banche o alla sanità, tra gli altri, ma si coinvolgono anche i servizi di e-commerce, i motori di ricerca, i fornitori di servizi di gestione dei domini Internet e la gestione dei servizi Ict, per esempio. E, ancora, sono indicati come critici diversi settori produttivi e servizi di gestione, come quelli dei rifiuti ma anche le organizzazioni di ricerca. Insomma, il campo risulta talmente vasto che è più facile indicare chi, eventualmente, non debba essere in qualche modo coinvolto. E tra i nuovi settori è compresa la Pubblica Amministrazione, anche se si lascia agli Stati Membri la valutazione di quali PA locali siano essenziali. Gli stessi Paesi potranno arbitrariamente inserire determinate entità eventualmente escluse dalle tabelle costruite dall’UE, potranno anche definire requisiti più dettagliati ma, in ogni caso, non potranno escludere le entità considerate a livello europeo
Approfondisci la notizia sulla rivista
La Direttiva NIS2 dovrà essere recepita dai singoli stati membri dell’Unione Europea entro il 18 ottobre 2024. La normativa, che si riferisce alla Direttiva UE 2022/2555 del Parlamento Europeo e del Consiglio d’Europa del 14 dicembre 2022, riguarda la sicurezza delle reti e delle informazioni – NIS sta per Network and Information Security) - è entrata in vigore il 17 gennaio 2023. Ma, come sempre, l’Unione Europea fornisce una data per l’entrata in vigore e una successiva, questa volta a distanza di ben 21 mesi, per il recepimento da parte dei singoli Stati, per dare il tempo a tutti gli organismi coinvolti di adeguarsi. La NIS2 è un’evoluzione della precedente NIS - Direttiva UE 2016/1148 del 6 luglio 2016 attuata in Italia con D.lgs. n. 65 del 18 maggio 2018 – ed è considerata un passo significativo nella definizione di una strategia comune a tutti i Paesi europei in ambito cybersecurity. Rispetto alla prima NIS, la nuova direttiva risulta più aggiornata e adeguata a un contesto, quello della sicurezza informatica, che sappiamo essere in costante evoluzione. Tra le novità c’è l’invito a una maggiore cooperazione tra gli Stati membri, riferendosi a quanto le minacce per la sicurezza impattino direttamente sull’economia. In primo luogo, si estendono gli obblighi di sicurezza superando la distinzione tra operatori di servizi essenziali e fornitori di servizi essenziali, introducendo le nuove categorie di “servizi essenziali” e “soggetti importanti” per identificare meglio gli operatori coinvolti che, a loro volta, operano in settori ad alta criticità o in altri settori critici.
Le aziende altamente critiche
Il parametro di alta criticità è riferito alla dimensione delle aziende, tendenzialmente dai 50 dipendenti in su o con un fatturato annuo minimo di 10 milioni di euro, con ragione sociale europea. Si aggiungono anche alcune categorie specifiche di soggetti, anche piccole imprese, individuate dalla Direttiva. Spetterà comunque ai singoli Stati membri definire un elenco di soggetti essenziali e importanti entro il 17 aprile del 2025. La varietà dei settori essenziali a cui si applica è decisamente ampia. Non si pensa solo all’energia, ai trasporti, alle banche o alla sanità, tra gli altri, ma si coinvolgono anche i servizi di e-commerce, i motori di ricerca, i fornitori di servizi di gestione dei domini Internet e la gestione dei servizi Ict, per esempio. E, ancora, sono indicati come critici diversi settori produttivi e servizi di gestione, come quelli dei rifiuti ma anche le organizzazioni di ricerca. Insomma, il campo risulta talmente vasto che è più facile indicare chi, eventualmente, non debba essere in qualche modo coinvolto. E tra i nuovi settori è compresa la Pubblica Amministrazione, anche se si lascia agli Stati Membri la valutazione di quali PA locali siano essenziali. Gli stessi Paesi potranno arbitrariamente inserire determinate entità eventualmente escluse dalle tabelle costruite dall’UE, potranno anche definire requisiti più dettagliati ma, in ogni caso, non potranno escludere le entità considerate a livello europeo
La Direttiva NIS2 dovrà essere recepita dai singoli stati membri dell’Unione Europea entro il 18 ottobre 2024. La normativa, che si riferisce alla Direttiva UE 2022/2555 del Parlamento Europeo e del Consiglio d’Europa del 14 dicembre 2022, riguarda la sicurezza delle reti e delle informazioni – NIS sta per Network and Information Security) - è entrata in vigore il 17 gennaio 2023. Ma, come sempre, l’Unione Europea fornisce una data per l’entrata in vigore e una successiva, questa volta a distanza di ben 21 mesi, per il recepimento da parte dei singoli Stati, per dare il tempo a tutti gli organismi coinvolti di adeguarsi. La NIS2 è un’evoluzione della precedente NIS - Direttiva UE 2016/1148 del 6 luglio 2016 attuata in Italia con D.lgs. n. 65 del 18 maggio 2018 – ed è considerata un passo significativo nella definizione di una strategia comune a tutti i Paesi europei in ambito cybersecurity. Rispetto alla prima NIS, la nuova direttiva risulta più aggiornata e adeguata a un contesto, quello della sicurezza informatica, che sappiamo essere in costante evoluzione. Tra le novità c’è l’invito a una maggiore cooperazione tra gli Stati membri, riferendosi a quanto le minacce per la sicurezza impattino direttamente sull’economia. In primo luogo, si estendono gli obblighi di sicurezza superando la distinzione tra operatori di servizi essenziali e fornitori di servizi essenziali, introducendo le nuove categorie di “servizi essenziali” e “soggetti importanti” per identificare meglio gli operatori coinvolti che, a loro volta, operano in settori ad alta criticità o in altri settori critici.
Le aziende altamente critiche
Il parametro di alta criticità è riferito alla dimensione delle aziende, tendenzialmente dai 50 dipendenti in su o con un fatturato annuo minimo di 10 milioni di euro, con ragione sociale europea. Si aggiungono anche alcune categorie specifiche di soggetti, anche piccole imprese, individuate dalla Direttiva. Spetterà comunque ai singoli Stati membri definire un elenco di soggetti essenziali e importanti entro il 17 aprile del 2025. La varietà dei settori essenziali a cui si applica è decisamente ampia. Non si pensa solo all’energia, ai trasporti, alle banche o alla sanità, tra gli altri, ma si coinvolgono anche i servizi di e-commerce, i motori di ricerca, i fornitori di servizi di gestione dei domini Internet e la gestione dei servizi Ict, per esempio. E, ancora, sono indicati come critici diversi settori produttivi e servizi di gestione, come quelli dei rifiuti ma anche le organizzazioni di ricerca. Insomma, il campo risulta talmente vasto che è più facile indicare chi, eventualmente, non debba essere in qualche modo coinvolto. E tra i nuovi settori è compresa la Pubblica Amministrazione, anche se si lascia agli Stati Membri la valutazione di quali PA locali siano essenziali. Gli stessi Paesi potranno arbitrariamente inserire determinate entità eventualmente escluse dalle tabelle costruite dall’UE, potranno anche definire requisiti più dettagliati ma, in ogni caso, non potranno escludere le entità considerate a livello europeo
