La NIS2 è una direttiva europea che punta a rafforzare la sicurezza informatica nell’UE. La disciplina, entrata in vigore il 17 gennaio 2023, dovrà essere recepita dagli Stati membri entro il 17 ottobre 2024.
Cosa significa NIS 2
NIS 2 è l’abbreviazione della nuova direttiva europea sulla cybersecurity, la cui denominazione ufficiale è Direttiva sulle misure per un livello comune elevato di cibersicurezza in tutta l’Unione.
NIS è l’acronimo di “Network and Information Systems”, perché il provvedimento si propone di creare una strategia cyber comune a tutti gli stati membri, con l’obiettivo principale di aumentare i livelli di sicurezza delle reti e dei sistemi informativi in tutta l’area UE.
La Direttiva NIS 2 è una normativa dell’Unione Europea che interviene e cambia profondamente la precedente Direttiva NIS 1, che era stata approvata nel 2016 dall’UE (Direttiva UE 2016/1148) e recepita nel 2018 dall’Italia.
La Direttiva NIS 2 va ad integrarsi con le varie normative e linee guida Europee in tema di protezione dati e privacy, prima fra tutte il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (GDPR) ma, anche il Regolamento DORA, la Direttiva CER, il Cyber Resilience Act e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.
Il suo obiettivo principale è quello di rafforzare le misure cyber security soprattutto in quei settori critici che potrebbero seriamente compromettere intere nazioni come energia, trasporti e servizi finanziari.
Chi deve rispettare la Direttiva NIS 2?
La Direttiva NI 2 si applica a tutte le organizzazioni che operano in uno o più Stati membri dell’UE, e che rientrano in una delle seguenti categorie:
- Operatori di servizi essenziali (OSE): organizzazioni che forniscono servizi essenziali per la società, come l’energia, l’acqua, le comunicazioni, i trasporti e la finanza.
- Fornitori di servizi digitali (DSP): organizzazioni che forniscono servizi online che sono utilizzati da un numero significativo di utenti nell’UE, come i social media, i motori di ricerca e le piattaforme di e-commerce.
All’interno di questi settori la direttiva NIS 2 si applica a soggetti pubblici o privati di medie o grandi dimensioni.
Indipendentemente dalla loro dimensione, la NIS 2 si applica anche ai soggetti ritenuti critici per i settori citati, ai fornitori di servizi di registrazione di dominio e alle PA centrali e regionali.
Le imprese devono rispettare gli obblighi di gestione dei rischi di cyber sicurezza e di segnalazione, nel dettaglio:
- la valutazione dei rischi di cybersecurity
- la definizione di misure di sicurezza appropriate per mitigare i rischi identificati
- la gestione degli incidenti di sicurezza
- la notifica degli incidenti di sicurezza alle autorità competenti.
Contattaci per maggiori informazioni e per richiedere la consulenza di un nostro esperto.