Negli ultimi anni l’UE ha sviluppato una serie di normative volte a modernizzare la gestione e la sicurezza anche in ottica di cybersicurezza in modo da stare al passo con una realtà sempre più digitalizzata e, conseguentemente, sempre più esposta a rischi informatici.
Quindi, al fine di tutelare settori particolarmente importanti, il 18 ottobre 2024 è entrata in vigore il D.Lgs. 138/2024 che ha recepito la Direttiva (UE) 2022/2555, nota come NIS2, che stabilisce misure per garantire un livello comune elevato di sicurezza informatica nell’Unione Europea. La normativa mira a rafforzare la resilienza delle reti e dei sistemi informativi, migliorare la gestione dei rischi cibernetici e promuovere una maggiore cooperazione tra Stati membri.
La normativa si applica a soggetti pubblici e privati che operano in settori ritenuti fondamentali per la sicurezza nazionale ed europea. A tal proposito è necessario anche valutare la dimensione aziendale, poiché la NIS2, nella maggior parte dei casi, si applica a partire dalle medie imprese in su.
- Settori ad alta criticità:
- Energia (elettricità, gas, petrolio, idrogeno).
- Trasporti (aereo, ferroviario, stradale, vie d’acqua).
- Settore sanitario (produttori di dispositivi medici critici, ricerca e sviluppo farmaceutica).
- Acqua potabile e acque reflue.
- Infrastrutture digitali (reti pubbliche, servizi DNS, cloud, data center, prestatori di servizi fiduciari qualificati, gestori di registri di nomi di dominio di primo livello).
- Pubblica amministrazione (centrale e regionale).
- Settori critici:
- Servizi postali e di corriere.
- Gestione dei rifiuti.
- Produzione alimentare e chimica.
- Ricerca.
- Fornitori di servizi digitali.
Tra le misure obbligatorie previste da questa nuova normativa, ci sono:
- Gestione dei rischi: implementazione di sistemi di sicurezza e audit periodici.
- Notifica degli incidenti: comunicazione tempestiva di violazioni e attacchi alle autorità competenti.
- Cooperazione: condivisione di informazioni su minacce e vulnerabilità tramite reti come EU-CyCLONe e CSIRT.
- Comunicazione di dati come IP pubblici, domini e responsabili della sicurezza.
A tal proposito dal 1° dicembre 2024 al 28 febbraio 2025, è possibile registrarsi su una piattaforma fornita dall’Agenzia per cybersicurezza nazionale (ACN) ed entro il 31 marzo 2025 verrà comunicato se l’azienda o ente è soggetto o meno alla normativa. Questa procedura dovrà essere poi seguita ogni anno.
Le sanzioni per il mancato rispetto delle disposizioni variano in base alla gravità delle violazioni e all’impatto sulla sicurezza nazionale o europea e possono arrivare fino 10 milioni di euro o al 2% del fatturato mondiale annuo se tale importo è superiore ai 10 milioni di euro.
FAQ:
Cos’è la normativa NIS2 e qual è il suo scopo?
La NIS2 è una direttiva UE per garantire un elevato livello di sicurezza informatica, rafforzando la resilienza di reti e sistemi informativi e promuovendo la cooperazione tra Stati membri.
Chi è soggetto alla normativa NIS2?
Si applica a soggetti pubblici e privati che operano in settori fondamentali come energia, trasporti, sanità, infrastrutture digitali e pubblica amministrazione, soprattutto se di dimensioni medio-grandi.
Quali sono gli obblighi principali previsti dalla NIS2?
Gli obblighi includono la gestione dei rischi con audit periodici, la notifica tempestiva di incidenti alle autorità competenti, la cooperazione tra soggetti interessati e la condivisione di dati come IP pubblici e domini.
Quali sono le sanzioni per il mancato rispetto della NIS2?
Le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato mondiale annuo, a seconda della gravità delle violazioni e del loro impatto sulla sicurezza nazionale o europea.