La Direttiva NIS 2 - Network and Information Security è la normativa del Parlamento Europeo e del Consiglio relativa a misure per un livello comune di cybersicurezza nell’Unione Europea, che è entrata in vigore il 17 gennaio 2023. Questa, che abroga la precedente Direttiva NIS 1, ha l’obiettivo di creare uno standard di Cyber Security elevato in tutti gli Stati membri dell’UE. 

La NIS 2 si applica a una gamma più ampia di settori rispetto alla precedente direttiva NIS 1. Fra questi, ad esempio, aziende dei settori Energia, Trasporti, Telecomunicazioni, Cloud e ICT Service Provider, Finanziario, Pubblica Amministrazione, Spazio e Acque reflue, nonché Gestione dei Rifiuti, Fabbricazione, Aziende Alimentari, Grande Distribuzione, Servizi Postali e di Corriere, e altri.

L’iter normativo della Direttiva NIS 2 prevede, a valle dell’entrata in vigore della stessa a gennaio 2023, il recepimento da parte di tutti gli Stati membri in una Legge nazionale entro il 17 ottobre 2024. Inoltre, verrà indicata una data entro cui ciascuna azienda dovrà registrarsi come soggetto essenziale/importante, a seconda della dimensione e del settore in cui opera. 

La nuova Direttiva NIS 2 rappresenta un passo significativo verso un ecosistema digitale più sicuro all’interno dell’Unione Europea. In primo luogo, le organizzazioni dovranno implementare misure di gestione del rischio cyber più rigorose, con riferimento a tutti gli asset aziendali, sia in ambito IT che OT (Operational technology): dalla sicurezza della catena di approvvigionamento alla continuità operativa, nonché alla gestione degli incidenti e alle strategie per valutare l’efficacia delle misure di gestione del rischio cyber. Ai soggetti cui si applica la Direttiva viene richiesto, pertanto, non solo di ridefinire le priorità e gli sforzi per garantire la compliance alla normativa, bensì anche di valutare la criticità degli asset aziendali, al fine di implementare misure di gestione del rischio cyber secondo una modalità risk-based. 

Inoltre, la Direttiva NIS 2 prevede che gli organi di gestione dei soggetti – che rientrano nell’ambito di applicazione della stessa – ricoprano un ruolo attivo, in particolare nella definizione della strategia di gestione del rischio cyber per adattare, evolvere e migliorare la sicurezza e la resilienza dell’organizzazione in quest’ambito. Qualora le suddette misure non venissero adottate entro il termine stabilito, le autorità nazionali potrebbero vietare temporaneamente – a qualsiasi persona che svolga funzioni dirigenziali a livello di amministratore delegato o rappresentante legale per il soggetto essenziale – di svolgere tali funzioni all’interno del soggetto.

Anche il tema della sicurezza lungo tutta la supply chain ricopre un ruolo fondamentale all’interno della Direttiva: le aziende dovranno introdurre processi per verificare l’adeguatezza dei fornitori e delle relative forniture, da un punto di vista cyber, nonché garantire un monitoraggio continuo di tali rischi che una terza parte può veicolare nel corso del contratto, ad esempio eseguendo audit periodici.

In aggiunta, la Direttiva prevede obblighi più stringenti in materia di segnalazione e gestione degli incidenti informatici: i soggetti devono provvedere a inviare un preallarme entro 24 ore dal momento in cui vengono a conoscenza di un incidente significativo, ed entro 72 ore una notifica dell’incidente che aggiorni le informazioni già trasmesse; entro un mese, i soggetti sono tenuti a inviare un report finale con l’analisi dell’incidente. 

Da ultimo la Direttiva prevede un regime di supervisione, che in Italia sarà in capo all’Agenzia per la Cybersicurezza Nazionale. L’Agenzia agirà come autorità NIS e sarà responsabile per le attività di vigilanza sulle imprese e sanzioni. La mancata compliance potrebbe infatti comportare, eventualmente in situazioni dolose, sanzioni che possono arrivare a 10 milioni di euro o 2% del fatturato annuo globale dell’organizzazione per i soggetti essenziali, e 7 milioni di euro o 1,4% del fatturato annuo globale dell’organizzazione per i soggetti importanti.

La Direttiva NIS 2 si propone lo scopo di migliorare e armonizzare complessivamente il posizionamento della Cyber Security all’interno dell’UE, richiedendo misure più rigorose alle infrastrutture critiche e alle aziende vitali dell’Unione. Sarà fondamentale per le imprese, in vista del prossimo recepimento nel nostro ordinamento, comprendere lo stato dell’arte in relazione alla Cyber Security aziendale, e identificare le potenziali sfide e gli interventi che la Direttiva richiede per indirizzare il proprio obiettivo.