NIS2 - Nuova legislazione europea

Nel 2016 è entrata in vigore la direttiva NIS1 come prima normativa dell'UE nel campo della sicurezza informatica. Successivamente, nel 2019, è stata recepita nella legislazione belga. La direttiva NIS1 richiede agli Stati membri di sviluppare strategie nazionali per la sicurezza informatica e di collaborare a livello transfrontaliero tramite il Gruppo di Cooperazione NIS e la rete CSIRT. Impone inoltre agli Stati membri di designare fornitori di servizi essenziali nei settori dell'energia, dei trasporti, del settore bancario, dei mercati finanziari, dell'assistenza sanitaria, dell'approvvigionamento idrico e delle infrastrutture digitali. Questi fornitori devono adottare misure di sicurezza minime e sono tenuti a segnalare incidenti gravi. Anche i fornitori di servizi digitali essenziali devono rispettare tali requisiti.

La Commissione europea ha esaminato l'efficacia della direttiva NIS1 dal suo ingresso in vigore nel 2016 e ha constatato che il suo ambito di applicazione è troppo limitato. Le minacce informatiche sono aumentate notevolmente negli ultimi anni, mentre la nostra interconnessione economica e sociale e la dipendenza dal mondo digitale sono cresciute. C'è una mancanza di chiarezza sull'ambito di applicazione e le competenze. Inoltre, ci sono grandi differenze tra gli approcci nazionali e c'è una generale mancanza di scambio di informazioni.

Per affrontare questi problemi, la Commissione ha proposto di estendere l'ambito di applicazione della direttiva NIS1 a più settori ed entità, in particolare per armonizzare le regole di identificazione e ampliare i requisiti di sicurezza. Queste modifiche sono incluse nella nuova direttiva NIS2.

La direttiva NIS2 è stata estesa e si applica ora a entità di medie e grandi dimensioni in una varietà di settori che sono di cruciale importanza per l'economia e la società. Questi includono, ad esempio, fornitori di servizi di comunicazione elettronica pubblica, servizi digitali, gestione delle acque reflue e dei rifiuti, produzione di prodotti critici, servizi postali e di corriere, aziende alimentari e aziende mediche.

Le aziende devono verificare autonomamente se rientrano nella direttiva. In generale, la direttiva si applica alle grandi e medie imprese con 50 o più dipendenti o un totale di bilancio di almeno 10 milioni di euro. Initeam consiglia anche alle piccole imprese di elaborare un piano di sicurezza informatica per proteggersi dalle crescenti minacce digitali.

La direttiva NIS2 ha l'obiettivo di aumentare la consapevolezza sulla sicurezza informatica in modo che i governi e le imprese siano meglio preparati alle crescenti minacce in questo campo. Oltre a promuovere la consapevolezza, la direttiva rivista si concentra anche sulla sicurezza delle catene di approvvigionamento e sulle relazioni tra i fornitori. Inoltre, viene introdotta una maggiore responsabilità del vertice dirigenziale per garantire il rispetto degli obblighi di sicurezza informatica.

Per garantire il rispetto della direttiva, vengono semplificate le obbligazioni di rendicontazione e vengono introdotte misure di vigilanza più rigorose per le autorità nazionali e i requisiti di applicazione. Vengono anche armonizzati i regimi di sanzioni nei paesi membri. Con ciò, la direttiva NIS2 intende promuovere un approccio efficace e uniforme alla sicurezza informatica all'interno dell'UE.