Contesto Geopolitico e Necessità della Direttiva

Il contesto geopolitico attuale presenta rischi elevati, inclusi quelli cyber, che richiedono una maggiore resilienza e capacità di risposta a livello europeo. La Direttiva NIS2 nasce dalla necessità di migliorare l'efficacia della precedente Direttiva NIS del 2016, che non è riuscita ad affrontare adeguatamente le sfide emergenti in materia di cybersicurezza.

Chi è Soggetto alla Direttiva NIS2

La NIS2 amplia significativamente il numero di settori coinvolti, abbandonando la distinzione tra Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD) a favore di Soggetti Essenziali e Soggetti Importanti. I settori interessati includono:

Energia

Energia elettrica (imprese elettriche, gestori del sistema di distribuzione e trasmissione, produttori, gestori del mercato elettrico, ecc.)

Teleriscaldamento e teleraffrescamento

Petrolio (gestori di oleodotti, impianti di produzione, raffinazione, trattamento, deposito e trasporto)

Gas (imprese fornitrici, gestori del sistema di distribuzione, trasporto, stoccaggio e impianti di raffinazione)

Idrogeno (gestori di impianti di produzione, stoccaggio e trasporto)

Trasporti

Trasporto aereo (vettori aerei, gestori aeroportuali, operatori di controllo del traffico aereo)

Trasporto ferroviario (gestori dell’infrastruttura, imprese ferroviarie)

Trasporto per vie d’acqua (compagnie di navigazione, organi di gestione dei porti, gestori di servizi di assistenza al traffico marittimo)

Trasporto su strada (autorità stradali, gestori di sistemi di trasporto intelligenti)

Settore bancario e infrastrutture dei mercati finanziari

Enti creditizi, gestori delle sedi di negoziazione, controparti centrali

Settore sanitario

Prestatori di assistenza sanitaria, laboratori di riferimento dell’UE, soggetti che svolgono attività di ricerca e sviluppo relative ai medicinali e dispositivi medici

Acqua potabile e acque reflue

Fornitori e distributori di acque destinate al consumo umano, imprese che raccolgono, smaltiscono o trattano acque reflue

Infrastrutture digitali

Fornitori di punti di interscambio internet, servizi DNS, registri dei nomi di dominio, servizi di cloud computing, data center, reti di distribuzione dei contenuti, servizi fiduciari, reti pubbliche di comunicazione, servizi di comunicazione elettronica accessibili al pubblico

Gestione dei servizi TIC (business-to-business)

Fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti

Pubblica amministrazione

Enti della pubblica amministrazione a livello centrale e regionale

Spazio

Operatori di infrastrutture terrestri per la fornitura di servizi spaziali

Altri settori critici

Servizi postali e di corriere, gestione dei rifiuti, fabbricazione e distribuzione di sostanze chimiche, produzione e distribuzione di alimenti, fabbricazione di dispositivi medici e elettronici, computer, apparecchiature elettriche, macchinari, autoveicoli, mezzi di trasporto, fornitori di servizi digitali (mercati online, motori di ricerca, piattaforme di social network), organizzazioni di ricerca.

Obiettivi e Obblighi della Direttiva

La NIS2 mira a rafforzare l'armonizzazione a livello europeo, limitando la possibilità per gli Stati Membri di escludere entità e aumentando la platea di soggetti coinvolti. Le entità in perimetro devono adottare misure di governance, valutare e gestire i rischi, garantire la sicurezza della catena di fornitura e segnalare tempestivamente gli incidenti.

Governance e Gestione dei Rischi

Le organizzazioni devono approvare e formare il personale sulle misure di gestione dei rischi, adottare misure tecniche e organizzative, e garantire la resilienza operativa. Devono inoltre segnalare gli incidenti ai CSIRT o alle autorità competenti entro 24 ore dal momento della conoscenza.

Controlli e Sanzioni

Le sanzioni per non conformità possono arrivare fino a 10 milioni di euro o al 2% del fatturato mondiale annuo per le entità essenziali, e fino a 7 milioni di euro o all'1,4% del fatturato per i soggetti importanti.