f66f5bd9-b51b-4f11-ae9e-fd4b24bf0c43.jpeg
3fbb93ad-04c1-4ada-bc51-0f538a02ff89

© Home

LA MISSION

Abilitare il Management delle PMI ad estendere l'azione di direzione e controllo alla gestione del Cyber Risk

b10b58da-f8fd-4420-bac6-dede508ab474.jpeg
3fbb93ad-04c1-4ada-bc51-0f538a02ff89

DALLA NIS ALLA NIS 2

 

L'evoluzione della normativa dal punto di vista delle organizzazioni soggette

La direttiva NIS 2 abroga, con effetto dal 18 ottobre 2024, la precedente direttiva EU 2016/1148 (direttiva NIS), che si era posta per prima l'obiettivo di sviluppare le capacità di cybersecurity in tutta l'Unione, al fine di garantire il funzionamento efficace della sua economia e della sua società, mitigando le minacce ai sistemi informatici e di rete (in inglese: Network and Information Systems) utilizzati per fornire servizi essenziali in settori chiave e garantendo la continuità di tali servizi in caso di incidenti.

Quali motivi hanno spinto all'approvazione della direttiva NIS 2?

I limiti della NIS

Le principali aree di divergenza

Pur riconoscendo i progressi significativi compiuti a seguito dell'adozione della direttiva NIS, in sede di revisione sono state rilevate importanti carenze, derivanti dalla grande discrezionalità lasciata agli Stati membri, che ha portato a notevoli divergenze nella sua attuazione.

 

Si è quindi assistito a una frammentazione del mercato interno, con potenziali effetti pregiudizievoli, quali ripercussioni sulla fornitura transfrontaliera di servizi e sul livello di ciberresilienza complessivo (dove una maggiore vulnerabilità di taluni Stati membri alle minacce informatiche avrebbe potuto dar luogo a ricadute sull'intera Unione).

  • l'ambito di applicazione;

  • gli obblighi in materia di sicurezza e segnalazione degli incidenti;

  • le disposizioni in materia di vigilanza ed esecuzione.

Gli obiettivi della NIS 2

La direttiva NIS 2 è stata dunque concepita per eliminare i suddetti limiti, in particolare:

  • definendo criteri precisi per individuare le organizzazioni soggette agli obblighi in materia di cybersecurity;

  • stabilendo in dettaglio dei requisiti minimi, atti a garantire un quadro normativo coordinato fra tutti gli Stati membri;

  • istituendo meccanismi per una cooperazione efficace tra le autorità responsabili in ciascuno Stato membro;

  • prevedendo rimedi e misure attuative efficaci, fondamentali per l'effettiva applicazione dei suddetti obblighi.

Quali le principali novità di interesse per le organizzazioni soggette?

Al fine di perseguire gli obiettivi delineati, la direttiva NIS 2 ha introdotto significative novità per le organizzazioni ad essa soggette, in particolare nelle seguenti aree:

  • l'elenco dei settori, sottosettori, servizi / attività e i criteri per individuare i soggetti che rientrano nell'ambito di applicazione;

  • le responsabilità dei loro organi di gestione, le misure di gestione dei rischi di cybersecurity e la sicurezza delle supply chain;

  • la classificazione dei soggetti in perimetro;

  • gli obblighi di segnalazione;

  • la condivisione delle informazioni di cybersecurity e le notifiche volontarie;

  • le misure di vigilanza ed esecutive ad opera delle autorità competenti e l'entità delle possibili sanzioni amministrative pecuniarie.

Nello specifico, per quanto riguarda l'ambito di applicazione, è stato valutato che:

  • Non è più sufficiente raggiungere un livello elevato di cybersecurity nelle sole infrastrutture critiche, operate da grandi entità che erogano servizi essenziali in alcuni settori chiave, quali gli Operatori di Servizi Essenziali (OSE) e i Fornitori di Servizi Digitali (FSD) definiti nella direttiva NIS;

  • Molti altri settori sono rilevanti per l'economia dell'Unione ed esistono forti interdipendenze tra soggetti appartenenti anche a settori diversi;

  • Occorre quindi dare un'indicazione chiara sulla direzione da seguire, cominciando ad alzare l'asticella e spingendo affinchè un adeguato livello di cybersecurity sia raggiunto da un maggior numero di organizzazioni.

© Home