Cybersicurezza: l’Europa pubblica la nuova direttiva NIS

La proposta di nuova Direttiva NIS ha concluso il suo iter ed è stata pubblicata nella Gazzetta Ufficiale della UE. Abrogata la direttiva NIS1 (Direttiva 2016/1148).
Si conferma così il nuovo impianto “difensivo” europeo sulla cybersicurezza delle imprese.
Tra le principali novità ricordiamo:

  • rideterminazione con ampliamento dell’ambito di applicazione
  • potenziamento degli organi e delle attività di supervisione di livello comunitario
  • obbligo per gli Stati membri di adottare una Strategia nazionale di cybersicurezza, designando Autorità nazionali competenti e CSIRT (l’Italia lo ha fatto)
  • razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria degli incidenti informatici. Gli Stati membri devono provvedere a che i soggetti essenziali e importanti adottino misure tecniche e organizzative adeguate e proporzionate ai rischi
  • estensione dei concetti di gestione del rischio e di valutazione della vulnerabilità a tutta la supply chain (catena di approvvigionamento).

Coinvolti vari settori, che rientrano nel novero dei soggetti (sia pubblici che privati) considerati “essenziali” e “importanti”:

  • infrastrutture digitali e digital provider
  • finanza
  • salute
  • reti idriche
  • energia
  • oil & gas
  • trasporti
  • P.A.
  • reti e servizi per comunicazione elettronica pubblica
  • servizi postali
  • aerospace
  • prodotti medicali, prodotti chimici, prodotti farmaceutici, Dispositivi Medicali
  • rifiuti
  • filiera agroalimentare
  • Data center, social network.

Escluse le microimprese e le piccole imprese, ad eccezione quelle che sono fornitori di reti e di servizi di comunicazione elettronica, prestatori servizi fiduciari, registri di nomi a dominio.

La Direttiva impone di garantire Requisiti minimi di cybersicurezza stabiliti dalla norma europea (art. 21).
Gli Stati membri hanno tempo sino al 17 ottobre 2024 per recepirla e implementarla, a quel punto le disposizioni saranno vincolanti per le imprese e le organizzazioni, con abrogazione o modifica delle norme nazionali di recepimento della NIS1 (per l’Italia è il D.Lgs. 65/2018).

Fonti: Direttiva (UE) 2022/2555 pubblicata nella GUUE L 333 del 27/12/2022

Per maggiori informazioni o contatti – Servizio Privacy e Cyber Security

Potrebbe interessarti anche

ASSOCIATI