La direttiva europea NIS 2 in tema di cybersicurezza sarà attuata entro l’autunno del 2024 e, basandosi sulla direttiva NIS1, rappresenta un notevole progresso nell’approccio dell’Unione Europea alla sicurezza informatica. L’obiettivo principale della NIS2 è quello di armonizzare le interpretazioni degli obblighi di gestione e rendicontazione del rischio di cybersicurezza. Incarica i membri dell’UE di attuare strategie nazionali di cybersecurity e di istituire organi di vigilanza adeguati. Quale sarà l’impatto sulle imprese private e quali organizzazioni dovranno prepararsi ai nuovi obblighi?
Dimensione
Secondo l’attuale modello di sicurezza informatica, i membri dell’UE hanno l’autorità di determinare quali entità si qualificano come operatori di servizi essenziali. La NIS2 non solo amplia l’elenco dei settori sensibili, ma introduce anche un limite di dimensioni uniformi per identificare le entità che rientrano nel suo campo di applicazione, rivolgendosi alle imprese di medie e grandi dimensioni che operano nei settori rilevanti. Gli Stati dell’UE potranno fare alcune eccezioni a questa regola generale, consentendo loro di includere o escludere le entità a seconda dell’importanza delle loro operazioni nei settori sensibili.
Settori
Secondo la direttiva, questi settori sono divisi in due. La prima categoria, oggetto dell’Allegato I, amplia i settori strategici coperti dalla NIS1 (energia, trasporti, istituzioni finanziarie, sanità, TIC). La differenza sostanziale con la NIS2 è l’aggiunta della nuova categoria di settori dell’Allegato II, che comprende un’ampia gamma di industrie come la gestione dei rifiuti, i prodotti chimici, la produzione alimentare e vari tipi di manifattura.
Essenziale o importante
In linea di principio, le grandi imprese che operano nell’Allegato I saranno classificate come essenziali, mentre le entità di medie dimensioni e/o attive nell’Allegato II saranno considerate importanti. Questa differenziazione porta all’istituzione di regimi di vigilanza diversi per le entità essenziali e importanti, trovando un equilibrio tra la necessità di controllo e gli oneri amministrativi aggiuntivi per le entità e le autorità. Le entità essenziali sono soggette a una vigilanza più completa, mentre le entità importanti sono soggette a un controllo più leggero, basato su una valutazione ex post in caso di incidenti.
Catena di distribuzione
La portata della NIS2 si estende oltre le entità essenziali e importanti direttamente interessate dalle sue disposizioni. L’articolo sottolinea l’importanza della resilienza della cybersecurity lungo tutta la catena di approvvigionamento. Di conseguenza, le entità non direttamente disciplinate dalla NIS2 possono trovarsi soggette a nuovi obblighi di cybersecurity attraverso accordi contrattuali con partner conformi alla NIS2.
Attuazione
La NIS2 stabilisce solo un quadro di regole fondamentali; le specifiche saranno determinate da ogni Stato membro. Data l’ampia applicabilità di queste nuove norme di cybersecurity, le aziende e i loro consulenti dovrebbero monitorare le proposte governative relative all’attuazione della NIS2 e le misure da adottare in ciascun Paese.