• News Legislative>
  • Normativa>
  • La Direttiva NIS2: Direttiva (UE) 2022/2555 in materia di cybersicurezza

La Direttiva NIS2: Direttiva (UE) 2022/2555 in materia di cybersicurezza

09/12/2024

La Direttiva (UE) 2022 2555 NIS2, come recepita dal D.Lgs. 4 settembre 2024, n. 138 e relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, aggiorna e sostituisce la precedente Direttiva NIS (Direttiva (UE) 2016/1148).

L'acronimo NIS sta per Network and Information Security, ovvero sicurezza delle reti e dei sistemi informativi.

La Direttiva NIS (adottata nel 2016) e la successiva Direttiva NIS2 mirano a stabilire standard elevati di sicurezza informatica all'interno dell'Unione Europea, proteggendo le infrastrutture critiche e migliorando la resilienza delle reti e dei sistemi informativi essenziali per la società e l'economia.
Estende l’elenco dei settori considerati critici dal punto di vista della sicurezza informatica e include nuove categorie di operatori negli ambiti dell'energia, dei trasporti, delle banche, delle infrastrutture del mercato finanziario, della sanità, della fornitura di acqua potabile, delle infrastrutture digitali e dei servizi pubblici.

Chi è soggetto alla Direttiva NIS2?

La Direttiva NIS2 è rivolta a:

“Soggetti Essenziali”

Secondo l'articolo 6 del decreto, sono considerati soggetti essenziali:
 
  • Entità che superano i massimali per le medie imprese: aziende con più di 250 dipendenti e un fatturato annuo superiore a 50 milioni di euro o un totale di bilancio annuo superiore a 43 milioni di euro.
  • Fornitori di reti pubbliche di comunicazione elettronica e fornitori di servizi di comunicazione elettronica accessibili al pubblico che si considerano medie imprese.
  • Prestatori di servizi fiduciari qualificati.
  • Gestori di registri dei nomi di dominio di primo livello e prestatori di servizi di sistema dei nomi di dominio.
  • Pubbliche amministrazioni centrali elencate nell'Allegato III del decreto.
  • Soggetti identificati come critici ai sensi del decreto legislativo che recepisce la Direttiva (UE) 2022/2557.
A titolo di esempio in un elenco non esaustivo di “Soggetti essenziali” possiamo includere:
 
Soggetti Essenziali (Settori Critici - Allegato I):

1 - Energia:
 
  • Operatori delle reti di trasmissione e distribuzione di energia elettrica.
  • Gestori di sistemi di trasporto e distribuzione di gas.
  • Imprese che operano in impianti di generazione di energia, inclusi impianti nucleari.
2 - Trasporti:
 
  • Gestori di aeroporti e porti marittimi principali.
  • Aziende ferroviarie e gestori di infrastrutture ferroviarie.
  • Operatori di trasporto su strada di grandi dimensioni.
3 - Sanità:
 
  • Strutture sanitarie, incluse cliniche, ospedali e laboratori diagnostici.
  • Fornitori di tecnologie sanitarie critiche (e.g., software medici essenziali per la sicurezza dei pazienti).
4 - Settore Bancario e Finanziario:
 
  • Istituti bancari critici per l'economia nazionale o regionale.
  • Operatori di infrastrutture di mercato finanziario (e.g., borse valori).
5 - Acqua potabile:
 
  • Gestori di infrastrutture per il trattamento e la distribuzione di acqua potabile.
6 - Infrastrutture digitali:
 
  • Fornitori di servizi di cloud computing e data center critici.
  • Gestori di registri dei nomi di dominio (DNS) di primo livello.
 
Soggetti inclusi indipendentemente dalle dimensioni:
 
  • Fornitori di reti pubbliche di comunicazione elettronica o servizi di comunicazione elettronica accessibili al pubblico.
  • Prestatori di servizi fiduciari qualificati.
  • Entità critiche a livello nazionale o regionale, come definiti dal decreto.
  • Entità operative in infrastrutture di rete essenziali per la sicurezza pubblica.
 
Criteri di inclusione come Soggetti Essenziali:
 
  • Criticità dei servizi offerti: Se l'interruzione di un servizio può compromettere la sicurezza pubblica, la salute pubblica, o la stabilità economica.
  • Unicità del fornitore: Quando l'entità è l'unico fornitore di un servizio essenziale in un settore specifico.
  • Impatto transfrontaliero: Se la perturbazione del servizio fornito ha effetti in più Stati membri dell'UE.

“Soggetti Importanti”

Sono considerati soggetti importanti le entità che:
 
  • Non rientrano nella categoria dei soggetti essenziali ma operano nei settori elencati negli allegati del decreto.
  • Superano i massimali per le piccole imprese, ovvero aziende con più di 50 dipendenti e un fatturato annuo superiore a 10 milioni di euro.
 
Tra gli esempi possiamo includere:
 
Soggetti Importanti (Settori Considerati Critici - Allegato II):

1- Settore postale e corrieri:
 
  • Aziende che forniscono servizi di spedizione, consegna e logistica per corrispondenza e pacchi.
2- Fornitura e gestione dei rifiuti:
 
  • Operatori coinvolti nella gestione dei rifiuti, compresi i rifiuti pericolosi.
3- Fornitura di prodotti chimici critici:
 
  • Aziende che producono o distribuiscono sostanze chimiche essenziali per la società o per la sicurezza pubblica.
4 - Produzione e trasformazione alimentare:
 
  • Imprese che operano nella produzione, trasformazione e distribuzione alimentare in settori critici per la sicurezza alimentare.
5 - Prodotti farmaceutici e dispositivi medici:
 
  • Aziende che fabbricano, distribuiscono o forniscono dispositivi medici e farmaci essenziali.
6 - Fornitura di Tecnologia dell'Informazione e della Comunicazione (ICT):
 
  • Fornitori di servizi TIC, incluse aziende che sviluppano software gestionali, piattaforme digitali o strumenti ICT non considerati critici come nel caso dei "soggetti essenziali".
7 - Ricerca e Sviluppo in materia di sicurezza:
 
  • Enti o aziende che lavorano in progetti di ricerca e sviluppo relativi a sicurezza informatica o infrastrutture critiche.
8 - Amministrazioni Pubbliche regionali o locali:
 
  • Entità che gestiscono funzioni pubbliche ma che non rientrano tra le amministrazioni centrali classificate come "essenziali".
Criteri di Inclusione come Soggetti Importanti:


Appartenenza a settori critici elencati negli allegati del Decreto Legislativo.

Superamento dei limiti dimensionali per le piccole imprese:
 
  • 50 o più dipendenti.
  • Fatturato annuo o totale di bilancio superiore a 10 milioni di euro.
 
Differenze principali rispetto ai Soggetti Essenziali:
 
  • I Soggetti Importanti operano in settori rilevanti ma non strategici per la sicurezza nazionale o per la continuità di servizi essenziali.
  • La gravità e l’impatto di un loro eventuale malfunzionamento sono considerati inferiori rispetto a quelli di un soggetto essenziale. 

Obblighi di registrazione

Tutti i soggetti pubblici e privati che rientrano nelle categorie sopra descritte devono registrarsi sulla piattaforma digitale messa a disposizione dall'ACN entro il 28 febbraio di ogni anno. La mancata registrazione comporta sanzioni amministrative pecuniarie fino allo 0,1% del fatturato annuo su scala mondiale del soggetto.
 
Tra i principali punti previsti dalla Direttiva NIS2:
 
  1. Ampliamento dell’ambito di applicazione: La Direttiva NIS2 estende l’elenco dei settori considerati critici e include nuove categorie di operatori che devono adottare misure di sicurezza. Tra questi ci sono i settori dell'energia, dei trasporti, delle banche, delle infrastrutture del mercato finanziario, della sanità, della fornitura di acqua potabile, delle infrastrutture digitali e dei servizi pubblici.
  2. Responsabilità dei vertici aziendali: La Direttiva introduce l'obbligo per i dirigenti di alto livello di essere direttamente responsabili della gestione della sicurezza informatica. I dirigenti devono garantire che le aziende adottino misure di sicurezza adeguate e siano preparate a rispondere a incidenti di sicurezza informatica.
  3. Obblighi di notifica degli incidenti: Le organizzazioni sono tenute a notificare tempestivamente alle autorità competenti gli incidenti di sicurezza informatica significativi che possono avere un impatto su servizi critici. La tempistica per la notifica iniziale è fissata entro 24 ore dalla scoperta dell’incidente, con aggiornamenti e un rapporto finale entro un mese.
  4. Miglioramento della gestione dei rischi: Le organizzazioni devono adottare misure specifiche per gestire i rischi informatici, che includono, tra l’altro, la gestione della sicurezza della catena di approvvigionamento (supply chain), la sicurezza delle comunicazioni, la gestione delle vulnerabilità e la formazione dei dipendenti.
  5. Sanzioni: La Direttiva prevede sanzioni per le aziende che non rispettano i requisiti di sicurezza. Le multe possono essere significative e sono proporzionate alla gravità della violazione, con importi fino al 2% del fatturato mondiale dell'azienda.
  6. Cooperazione a livello europeo: La NIS2 rafforza la cooperazione tra gli Stati membri, istituendo un quadro europeo di condivisione delle informazioni sulle minacce e sulle migliori pratiche, e promuovendo una risposta coordinata agli incidenti su larga scala.
  7. Ruolo delle autorità competenti e dei CSIRT: Viene consolidato il ruolo delle autorità competenti nazionali e dei CSIRT (Computer Security Incident Response Team) come punti di riferimento per la gestione degli incidenti e per il supporto alle organizzazioni in tema di sicurezza informatica.
La Direttiva NIS2 si applica alle imprese che rientrano nella definizione di "media impresa" o che superano i limiti stabiliti per tali imprese, come definiti nell'articolo 2 dell'allegato alla Raccomandazione 2003/361/CE. In generale, ciò include aziende con più di 250 dipendenti o un fatturato annuo superiore a 50 milioni di euro e/o un totale di bilancio annuo superiore a 43 milioni di euro.
 
Tuttavia, la Direttiva NIS2 prevede eccezioni a questi criteri dimensionali. In particolare, si applica indipendentemente dalle dimensioni dell'impresa nei seguenti casi:
 
  • Fornitori di reti pubbliche di comunicazione elettronica o servizi di comunicazione elettronica accessibili al pubblico.
  • Prestatori di servizi fiduciari.
  • Registri di nomi di dominio di primo livello e fornitori di servizi DNS (Domain Name System).
  • Entità identificate come critiche a livello nazionale o regionale.
  • Entità che forniscono servizi essenziali per il mantenimento di attività sociali o economiche fondamentali, la cui perturbazione potrebbe avere un impatto significativo sulla sicurezza pubblica, sull'incolumità pubblica o sulla salute pubblica. 
Pertanto, una software house sarà soggetta alla Direttiva NIS2 se soddisfa i criteri dimensionali sopra menzionati o se rientra in una delle categorie specificate, indipendentemente dalle sue dimensioni.

Misure da adottare

L'Articolo 24 del Decreto Legislativo 4 settembre 2024, n. 138, stabilisce obblighi specifici per la gestione dei rischi in materia di sicurezza informatica per i Soggetti Essenziali e Importanti. Ecco i principali requisiti previsti:

1 - Misure tecniche, operative e organizzative: I soggetti devono adottare misure proporzionate e adeguate alla gestione dei rischi per la sicurezza dei loro sistemi informativi e di rete, considerando conoscenze aggiornate, stato dell’arte, norme applicabili e costi di attuazione.
Le misure devono essere in grado di:
  • Garantire un livello di sicurezza adeguato ai rischi.
  • Essere proporzionate al grado di esposizione ai rischi e alla probabilità e gravità degli incidenti.
2 - Approccio multi-rischio: Le misure devono proteggere i sistemi informativi e l’ambiente fisico dai rischi, comprendendo:
  • Politiche di analisi dei rischi: Sistemi e protocolli per la valutazione continua dei rischi.
  • Gestione degli incidenti: Procedure per notificare incidenti rilevanti.
  • Continuità operativa: Piani di backup e gestione delle crisi.
  • Sicurezza della catena di fornitura: Valutazione della sicurezza dei fornitori.
  • Sicurezza nello sviluppo e manutenzione dei sistemi: Gestione e divulgazione delle vulnerabilità.
3 - Controllo e valutazione dell’efficacia: Politiche e procedure per garantire che le misure adottate siano efficaci e aggiornate rispetto ai rischi.

4 - Criptografia e igiene informatica: Uso di pratiche di sicurezza come la criptografia, quando opportuno, e programmi di formazione per il personale.

Decorrenza degli obblighi

Gli obblighi previsti dal Decreto Legislativo 4 settembre 2024, n. 138, che recepisce la Direttiva NIS2, entrano in vigore secondo una tempistica specifica:
 
  1. Entrata in vigore del decreto: Il decreto è entrato in vigore il 16 ottobre 2024.
  2. Obblighi di registrazione: A partire dal 1° dicembre 2024, tutti i soggetti pubblici e privati che rientrano nel campo di applicazione del decreto devono registrarsi sulla piattaforma digitale messa a disposizione dall'Agenzia per la Cybersicurezza Nazionale (ACN).
  3. Obblighi di conformità: Gli obblighi specifici di conformità, come l'adozione di misure tecniche e organizzative per la gestione dei rischi di sicurezza informatica, devono essere implementati entro 18 mesi dalla comunicazione di inclusione nell'elenco dei soggetti essenziali o importanti. Considerando che l'ACN comunicherà l'inclusione entro il 15 aprile 2025, le misure dovranno essere adottate entro ottobre 2026.

Consulenza

Area legale

Area legale

L’Area Legale di MADE HSE supporta le Direzioni e le funzioni tecniche preposte delle Organizzazioni private e pubbliche attraverso servizi...
Contattaci, abbiamo la soluzione
Contattaci
Condividi linkedin share facebook share twitter share
Copyright © 2009-2026 MADE HSE
Via Bresciani, 16 46040 Gazoldo degli Ippoliti, Mantova - Italy
Tel. +39 0376 1410900 | Fax +39 0376 1411044
Capitale Sociale: € 100.000,00 i.v.
Siglacom - Internet Partner