La proposta di nuova Direttiva NIS ha concluso il suo iter ed è stata pubblicata nella Gazzetta Ufficiale della UE. Abrogata la direttiva NIS1 (Direttiva 2016/1148).
Si conferma così il nuovo impianto “difensivo” europeo sulla cybersicurezza delle imprese.
Tra le principali novità ricordiamo:
- rideterminazione con ampliamento dell’ambito di applicazione
- potenziamento degli organi e delle attività di supervisione di livello comunitario
- obbligo per gli Stati membri di adottare una Strategia nazionale di cybersicurezza, designando Autorità nazionali competenti e CSIRT (l’Italia lo ha fatto)
- razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria degli incidenti informatici. Gli Stati membri devono provvedere a che i soggetti essenziali e importanti adottino misure tecniche e organizzative adeguate e proporzionate ai rischi
- estensione dei concetti di gestione del rischio e di valutazione della vulnerabilità a tutta la supply chain (catena di approvvigionamento).
Coinvolti vari settori, che rientrano nel novero dei soggetti (sia pubblici che privati) considerati “essenziali” e “importanti”:
- infrastrutture digitali e digital provider
- finanza
- salute
- reti idriche
- energia
- oil & gas
- trasporti
- P.A.
- reti e servizi per comunicazione elettronica pubblica
- servizi postali
- aerospace
- prodotti medicali, prodotti chimici, prodotti farmaceutici, Dispositivi Medicali
- rifiuti
- filiera agroalimentare
- Data center, social network.
Escluse le microimprese e le piccole imprese, ad eccezione quelle che sono fornitori di reti e di servizi di comunicazione elettronica, prestatori servizi fiduciari, registri di nomi a dominio.
La Direttiva impone di garantire Requisiti minimi di cybersicurezza stabiliti dalla norma europea (art. 21).
Gli Stati membri hanno tempo sino al 17 ottobre 2024 per recepirla e implementarla, a quel punto le disposizioni saranno vincolanti per le imprese e le organizzazioni, con abrogazione o modifica delle norme nazionali di recepimento della NIS1 (per l’Italia è il D.Lgs. 65/2018).
Fonti: Direttiva (UE) 2022/2555 pubblicata nella GUUE L 333 del 27/12/2022
Per maggiori informazioni o contatti – Servizio Privacy e Cyber Security
