Direttiva NIS 2: nuove norme sulla cibersicurezza delle reti e dei sistemi informativi

La sicurezza informatica comporta la protezione delle reti e dei sistemi informativi (NIS), dei loro utenti e di altre persone interessate da incidenti e minacce informatiche. Per rispondere alla maggiore esposizione dell'Europa alle minacce informatiche, la direttiva 2022/2555, nota anche come NIS2, ha sostituito la precedente direttiva 2016/1148 o NIS1. La direttiva NIS2 innalza il livello comune di ambizione dell'UE in materia di cibersicurezza, attraverso un ambito di applicazione più ampio, norme più chiare e strumenti di vigilanza più solidi. Essa impone agli Stati membri di rafforzare le loro capacità in materia di cibersicurezza, introducendo nel contempo misure di gestione dei rischi e obblighi di segnalazione a soggetti di più settori e stabilendo norme per la cooperazione, la condivisione delle informazioni, la vigilanza e l'applicazione delle misure di cibersicurezza.

La direttiva impone a ciascuno Stato membro di adottare una strategia nazionale in materia di cibersicurezza, che comprenda politiche per la sicurezza della catena di approvvigionamento, la gestione delle vulnerabilità e l'educazione e la sensibilizzazione in materia di cibersicurezza. Gli Stati membri devono inoltre redigere e aggiornare regolarmente un elenco di operatori di servizi essenziali, garantendo che tali soggetti rispettino i requisiti della direttiva. 

Oltre ai settori già contemplati dalla direttiva NIS 1, quali l'energia, i trasporti, l'assistenza sanitaria, la finanza, la gestione delle risorse idriche e le infrastrutture digitali, tali norme si applicano ai fornitori di servizi pubblici di comunicazione elettronica, a un maggior numero di servizi digitali quali le piattaforme sociali, la gestione delle acque reflue e dei rifiuti, la fabbricazione di prodotti critici, i servizi postali e di corriere, la pubblica amministrazione, sia a livello centrale che regionale o lo spazio. Di norma, i soggetti di medie e grandi dimensioni in questi settori critici dovranno adottare adeguate misure di gestione dei rischi di cibersicurezza e notificare gli incidenti significativi alle autorità nazionali competenti. Si tratta di incidenti che potrebbero causare interruzioni o danni significativi. 

La direttiva comprende anche disposizioni in materia di vigilanza, applicazione e valutazioni inter pares volontarie per rafforzare la fiducia reciproca e le capacità di cibersicurezza in tutta l'UE. Introduce inoltre la responsabilità dell'alta dirigenza per il mancato rispetto delle misure di gestione dei rischi di cibersicurezza, portando così la cibersicurezza all'attenzione del consiglio di amministrazione.

La direttiva istituisce una rete di gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) per scambiare informazioni sulle minacce informatiche e rispondere agli incidenti. Queste squadre sono fondamentali per mantenere la consapevolezza situazionale e offrire assistenza. Per gestire gli incidenti o le crisi di cibersicurezza su vasta scala, la direttiva istituisce la rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe). Tale rete sostiene una gestione coordinata e garantisce uno scambio regolare di informazioni tra gli Stati membri e le istituzioni dell'UE in caso di incidenti e crisi su vasta scala. 

Parallelamente, il gruppo di cooperazione NIS è una piattaforma istituita dalla direttiva NIS per facilitare la cooperazione strategica e lo scambio di informazioni tra gli Stati membri dell'UE, la Commissione europea e l'Agenzia dell'UE per la cibersicurezza (ENISA). Il gruppo pubblica orientamenti e raccomandazioni non vincolanti a sostegno dell'attuazione della direttiva NIS.

Contesto

La direttiva NIS 1 (direttiva 2016/1148) è stata la prima normativa globale dell'UE volta a rafforzare la cibersicurezza delle reti e dei sistemi informativi per salvaguardare i servizi vitali per l'economia e la società dell'UE. Nel dicembre 2020 la Commissione ha proposto la revisione della direttiva NIS 1, che ha portato all'adozione della direttiva NIS 2, entrata in vigore nel gennaio 2023. Gli Stati membri avevano tempo fino al 17 ottobre 2024 per recepire la direttiva NIS2 nel diritto nazionale. NIS 2 ha abrogato NIS1 a decorrere dal 18 ottobre 2024.

La Commissione ha avviato procedure di infrazione inviando lettere di costituzione in mora a 23 Stati membri per non aver recepito pienamente la direttiva NIS2 nel diritto nazionale entro il termine del 17 ottobre 2024. Gli Stati membri devono rispondere e completare il recepimento della direttiva. In caso contrario, la Commissione può emettere un parere motivato, che costituisce una richiesta formale di conformità al diritto dell'UE. Il persistere dell'inosservanza potrebbe portare a deferire il caso alla Corte di giustizia dell'Unione europea, che può imporre sanzioni pecuniarie.