La NIS2 è una direttiva europea che punta a rafforzare la sicurezza informatica nell’UE.  La disciplina, entrata in vigore il 17 gennaio 2023, dovrà essere recepita dagli Stati membri entro il 17 ottobre 2024.


Cosa significa NIS 2

NIS 2 è l’abbreviazione della nuova direttiva europea sulla cybersecurity, la cui denominazione ufficiale è Direttiva sulle misure per un livello comune elevato di cibersicurezza in tutta l’Unione.

NIS è l’acronimo di “Network and Information Systems”, perché il provvedimento si propone di creare una strategia cyber comune a tutti gli stati membri, con l’obiettivo principale di aumentare i livelli di sicurezza delle reti e dei sistemi informativi in tutta l’area UE.

La Direttiva NIS 2 è una normativa dell’Unione Europea che interviene e cambia profondamente la precedente Direttiva NIS 1, che era stata approvata nel 2016 dall’UE (Direttiva UE 2016/1148) e recepita nel 2018 dall’Italia.

La Direttiva NIS 2 va ad integrarsi con le varie normative e linee guida Europee in tema di protezione dati e privacy, prima fra tutte il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (GDPR) ma, anche il Regolamento DORA, la Direttiva CER, il Cyber Resilience Act e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.

Il suo obiettivo principale è quello di rafforzare le misure cyber security soprattutto in quei settori critici che potrebbero seriamente compromettere intere nazioni come energia, trasporti e servizi finanziari.


Chi deve rispettare la Direttiva NIS 2?

La Direttiva NI 2 si applica a tutte le organizzazioni che operano in uno o più Stati membri dell’UE, e che rientrano in una delle seguenti categorie:

  • Operatori di servizi essenziali (OSE): organizzazioni che forniscono servizi essenziali per la società, come l’energia, l’acqua, le comunicazioni, i trasporti e la finanza.
  • Fornitori di servizi digitali (DSP): organizzazioni che forniscono servizi online che sono utilizzati da un numero significativo di utenti nell’UE, come i social media, i motori di ricerca e le piattaforme di e-commerce.

All’interno di questi settori la direttiva NIS 2 si applica a soggetti pubblici o privati di medie o grandi dimensioni.

Indipendentemente dalla loro dimensione, la NIS 2 si applica anche ai soggetti ritenuti critici per i settori citati, ai fornitori di servizi di registrazione di dominio e alle PA centrali e regionali.

Le imprese devono rispettare gli obblighi di gestione dei rischi di cyber sicurezza e di segnalazione, nel dettaglio:

  • la valutazione dei rischi di cybersecurity
  • la definizione di misure di sicurezza appropriate per mitigare i rischi identificati
  • la gestione degli incidenti di sicurezza
  • la notifica degli incidenti di sicurezza alle autorità competenti.

Contattaci per maggiori informazioni e per richiedere la consulenza di un nostro esperto.