menu close EventiNewsContatti search close
Global Site close
  • Americas
  • Asia Pacific
  • Europe
  • Middle East and Africa
ArgentinaArubaBahamasBarbadosBoliviaBrazilCanadaCayman IslandsChileColombiaCosta RicaCuracaoDominican RepublicEcuadorEl SalvadorGuatemalaHondurasMexicoPanamaParaguayPeruPuerto RicoSaint MartinSurinameUnited StatesUruguayVenezuela
AfghanistanAustraliaCambodiaChinaHawaiiHong KongIndiaIndonesiaJapanMacauMalaysiaMaldivesMongoliaMyanmarNepalNew ZealandPakistanPhilippinesSingaporeSouth KoreaSri LankaTaiwanThailandVietnam
AlbaniaAndorraArmeniaAustriaAzerbaijanBelgiumBulgariaCroatiaCyprusCzech RepublicDenmarkEstoniaFinlandFranceGeorgiaGermanyGreeceHungaryIrelandItalyKazakhstanLatviaLiechtensteinLithuaniaLuxembourgMaltaMoldovaNetherlandsNorwayPolandPortugalRomaniaSerbiaSlovakiaSloveniaSpainSwedenSwitzerlandTajikistanTurkeyUkraineUnited KingdomUzbekistan
AlgeriaAngolaBahrainCôte d’IvoireEgyptGhanaIraqJordanKenyaKuwaitLebanonLiberiaMaliMauritiusMoroccoMozambiqueNigeriaOmanQatarSaudi ArabiaSenegalSierra LeoneSouth AfricaTanzaniaTogoTunisiaUnited Arab EmiratesYemenZimbabwe
Italian
Italian
Servizi
close Servizi
M&A
Servizi
Industries
close Industries
Industries
Insights
Chi siamo
close Chi siamo
Chi siamo
Opportunità di carriera
close Opportunità di carriera
Opportunità di carriera
EventiNewsContatti
search close
NIS2

Direttiva NIS 2:

Novità e stato del recepimento

Autore: Gabriele Neve
27/06/2024
NIS2

La Direttiva NIS (Direttiva UE 2022/2555) supera e rafforza l’impianto normativo della precedente Direttiva NIS (Direttiva UE 2016/1148) facendo tesoro dell’esperienza acquisita nella sua applicazione, in relazione ai seguenti ambiti:

  • introduzione del meccanismo di identificazione dei soggetti in entità molto importanti o essenziali, per mezzo di un criterio omogeneo di identificazione basato sulla dimensione (c.d. sizecap rule), che estende l’applicazione della Direttiva a tutte le medie e grandi imprese che operano nei settori identificati della stessa. Inoltre, vengono ricomprese la Pubblica Amministrazione centrale (lasciando discrezionalità agli Stati membri su quella locale) e, indipendentemente dalle dimensioni, alcune specifiche categorie di soggetti individuati dalla Direttiva;
  • allargamento dell’ambito di applicazione, con un aumento significativo dei settori di applicazione e l’introduzione di un approccio «all-hazards» alla cybersicurezza, con l’inclusione di profili di sicurezza fisica delle infrastrutture ICT;
  • rafforzamento dei poteri di supervisione, con indicazione più dettagliate per la definizione delle misure di sicurezza e l’inasprimento delle sanzioni;
  • estensione delle funzioni CSIRT nazionali, che fungeranno, tra l’altro, da intermediari di fiducia tra i soggetti segnalanti e i fornitori di prodotti e servizi ICT nell’ambito del quadro per la divulgazione coordinata di vulnerabilità;
  • gestione delle crisi, con la previsione di quadri nazionali in materia e l’istituzionalizzazione di EU-CyCLONe, per la gestione coordinata a livello operativo degli incidenti e delle crisi di cybersicurezza su vasta scala.

Con la Direttiva NIS 2 (Direttiva UE 2022/2555) l’Unione Europea ha fatto un ulteriore passo in avanti in merito alla regolazione del tema della cybersecurity, grazie ad un quadro giuridico ridefinito per sopperire alle problematiche non risolte con la precedente Direttiva NIS.

Il recepimento delle nuove normative deve essere compiuto entro il 18 Ottobre 2024, giorno in cui verrà abrogata la Direttiva precedente, da parte di tutti i Paesi appartenenti all’UE.
Al fine di supportare il recepimento della Direttiva, l’Agenzia per la Cybersicurezza Nazionale ha elaborato il “Disegno di legge di delegazione europea 2022-23”, il cui, l’art. 3 definisce criteri e principi di delega che dovranno guidare la redazione della disciplina attuativa della Direttiva NIS 2, ed in particolare per:

  • individuare i parametri secondo cui un ente pubblico viene considerato PA;
  • confermare la distinzione tra ACN e autorità di settore;
  • confermare le disposizioni della D.lgs. n 65/2018 (CSIRT Italia) e rafforzare la collaborazione tra gli enti pubblici con funzioni CERT;
  • assicurare il recepimento della Direttiva in merito alla Divulgazione Coordinata della Vulnerabilità (CVD);
  • rivedere e garantire sanzioni effettive e proporzionate rispetto al livello di violazione compiuta.


Inoltre, il rapporto tra le amministrazioni centrali e le autorità di settore NIS è stato rafforzato, in modo da consentire una gestione coordinata delle funzioni precedentemente ripartite tra ACN e i Ministeri competenti (Autorità di settore NIS).
L’ACN ha quindi disposto strumenti di supporto alla comprensione della nuova Direttiva, in particolare a causa dei nuovi soggetti rientranti nel perimetro di applicazione, garantendo inoltre un monitoraggio dello stato di attuazione e la valutazione nelle fasi successive della regolamentazione.

Le novità principali della Direttiva NIS 2

1. Governance
L’art. 20 stabilisce che gli Stati membri devono garantire che i dirigenti dei soggetti rilevanti approvino e supervisionino l'attuazione delle misure di sicurezza informatica adottate, e che possano essere considerati responsabili se tali soggetti violano l'articolo 21. Devono svolgere attività quali:

  • approvare le misure da adottare relative al rischio di cybersicurezza;
  • verificare l’implementazione di tali misure;
  • formazione in ambito di cybersicurezza per il personale interno e collaboratori.

2. Valutazioni coordinate e obblighi di segnalazione

Con gli artt. 22 e 23 vengono consolidate le valutazioni dei rischi e la tempestività delle segnalazioni:

  • gli Stati membri dovranno valutare i rischi attraverso un gruppo di cooperazione;
  • le segnalazioni di eventuali incident informatici dovranno essere notificate entro 24h (“Early warning”);

3. Sanzioni
A differenza della precedente Direttiva NIS, dove le sanzioni venivano disciplinate dai singoli Stati membri
richiamando il principio di proporzionalità e finalità, il nuovo art.34 le definisce puntualmente in relazione alla violazione degli artt. 21 e 23, prevedendo inoltre differenti sanzioni per soggetti essenziali e soggetti importanti.
In definitiva, le principali novità sottolineano l’importanza di una collaborazione condivisa a tutti i livelli organizzativi, necessaria, non solo per aumentare i livelli di sicurezza informativa ed informatica, ma diffondere una cultura di gestione basata sull’impegno collettivo nella lotta contro le cyber minacce.

Contattaci