Di seguito riportiamo una serie di domande frequenti sulla Direttiva NIS2.
Cosa prevede la Direttiva NIS2?
La Direttiva NIS2 (Direttiva UE 2022/2555) rappresenta un passo significativo per la cybersecurity nell’UE, con l’obiettivo di eliminare divergenze nell’attuazione della normativa tra gli Stati membri, promuovendo un quadro normativo più uniforme e coordinato, anche grazie a una maggiore cooperazione e all’aggiornamento dei settori e delle attività soggette.
La NIS2 detta disposizioni di rilevante impatto per le imprese in merito all’adozione di misure per gestire i rischi connessi alla sicurezza dei sistemi informatici e delle reti. La Direttiva NIS 2 pone un accento sull’aspetto della governance, imponendo agli enti pubblici e alle imprese soggette di adottare misure di sicurezza specifiche, di notificare gli incidenti e di collaborare con le autorità competenti.
Quando è entrata in vigore la NIS2 in Italia?
La Direttiva NIS2 è stata recepita dall’ordinamento italiano con il D.Lgs. n. 138/2024, pubblicato sulla Gazzetta Ufficiale del 1° ottobre 2024. La direttiva è entrata in vigore in Italia il 16 ottobre 2024
Prima del 16 ottobre 2024, in Italia era già in vigore una legge sulla cybersecurity derivante da una precedente direttiva europea (la NIS Directive (EU) 2016/1148). Questa legge si applicava specificamente agli operatori di servizi essenziali e digitali.
La NIS2 è subentrata a questa precedente normativa, ampliando e aggiornando gli obblighi e l’ambito di applicazione.
Quali aziende devono adeguarsi alla NIS2?
La NIS2 si applica innanzitutto alle organizzazioni di mede e grandi dimensioni ovvero le organizzazioni che superano i massimali per le piccole imprese (meno di 50 dipendenti o un fatturato annuo inferiore a 10 milioni di euro).
A seconda del livello di criticità e del rischio informatico, i soggetti sono distinti tra “essenziali” e “importanti”. Questa distinzione è rilevante per l’applicazione proporzionale degli obblighi e per l’esercizio dei poteri ispettivi e sanzionatori dell’Autorità nazionale competente NIS. I soggetti essenziali operano in settori considerati critici per il funzionamento della società e dell’economia, la cui interruzione avrebbe un impatto significativo. L’Autorità nazionale competente NIS ha la facoltà di individuare anche piccole e micro-imprese come soggetti importanti o essenziali, notificandolo al loro domicilio digitale.
In Italia, il “Decreto NIS”, indica gli ambiti di applicazione prioritari, includendo soggetti pubblici e privati negli allegati I, II, III e IV.
- L’allegato I elenca i settori altamente critici.
- L’allegato II elenca gli altri settori critici.
- L’allegato III elenca le categorie di pubbliche amministrazioni a cui si applica il decreto.
- L’allegato IV elenca le ulteriori tipologie di soggetti a cui si applica il decreto a seguito di identificazione governativa.
Soggetti identificati come critici ai sensi della direttiva (UE) 2022/2557 (CER)
- Fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico.
- Prestatori di servizi fiduciari.
- Gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio.
- Fornitori di servizi di registrazione dei nomi di dominio.
- Pubbliche amministrazioni centrali di cui all’allegato III, comma 1, lettera a).
- Fornitori di servizi di cloud computing, data center, reti di distribuzione dei contenuti, servizi gestiti, servizi di sicurezza gestiti, mercati online, motori di ricerca online e piattaforme di social network.
Sono escluse:
- Le imprese con meno di 50 dipendenti o fatturato annuo <10 mln di euro
Tuttavia, questi possono comunque essere soggetti potenzialmente interessati se
- Le loro attività sono riconducibili a quelle dei soggetti identificati come critici
- Sono individuati dall’ACN come soggetti importanti o essenziali
- Operano in settore o sotto-settori indicati dagli allegati I,II,III e IV del Decreto NIS.
Soggetti indiretti ma comunque interessati sono le aziende presenti nella catena di approvvigionamento di soggetti essenziali e importanti, che dovranno garantire livelli di sicurezza adeguati.
Per sapere se la propria organizzazione è coinvolta direttamente o indirettamente dall’applicazione della Direttiva NIS2 dovrà svolgere un assessment mirato a comprendere la propria posizione rispetto alla normativa vigente.
Ricordiamo che la NIS2 impone un obbligo formativo per la popolazione aziendale e i soggetti dirigenziali sui temi della sicurezza informatica. Il D.Lgs. 4 settembre 2024 n.138 all’art.23 comma 1 recita:
“1. Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti:
a) approvano le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica adottate da tali soggetti ai sensi dell’articolo 24 (Obblighi in materia di misure di gestione dei rischi per la sicurezza informatica);
b) sovrintendono all’implementazione degli obblighi di cui al presente capo e di cui all’articolo 7;
c) sono responsabili delle violazioni di cui al presente decreto.”
Inoltre nell’art.2 viene specificato che:
“2. Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti:
- sono tenuti a seguire una formazione in materia di sicurezza informatica;
Lisa Servizi organizza un corso specifico sulla NIS2 e sulla sicurezza informatica dal punto di vista della governance. Per saperne di più vai al corso e iscriviti.
