La NIS 2 è una Direttiva dell’Unione Europea che mira a rafforzare la sicurezza informatica nell’UE.
Abroga e sostituisce la precedente Direttiva NIS i cui atti di recepimento sono apparsi disomogenei e, per questo, in contrato con il senso stesso della Direttiva.

Obiettivi della Direttiva NIS 2:

• Migliorare la resilienza e la capacità di risposta agli incidenti informatici di enti pubblici e privati, autorità competenti e dell’UE nel suo complesso.
• Armonizzare le misure di sicurezza informatica degli Stati Membri, creando un livello comune elevato di protezione.
• Estendere l’ambito di applicazione a nuovi settori e entità, considerati critici per l’economia e la società.

Punti chiave:

Nuova classificazione dei soggetti obbligati:

• Entità essenziali: Operatori di servizi essenziali in settori come l’energia, il trasporto, le banche e la sanità.
• Imprese importanti: Aziende che forniscono servizi digitali, come i motori di ricerca e i social media.

Misure di sicurezza rafforzate:

• Implementazione di sistemi di gestione del rischio di sicurezza informatica.
• Adozione di misure tecniche e organizzative adeguate per proteggere i sistemi e le reti informatiche.
• Test di penetrazione e piani di risposta agli incidenti.

Supervisione e cooperazione:

• Creazione di un Gruppo di cooperazione NIS (NIS Cooperation Group) per facilitare lo scambio di informazioni e best practice.
• Designazione di un’autorità nazionale per la sicurezza informatica (NCA) in ogni Stato membro.

Sono previste sanzioni per le aziende che non si adeguano alla Direttiva.

Scadenze:

• 17 ottobre 2024: recepimento della Direttiva NIS 2 da parte degli Stati membri.
• 18 ottobre 2025: data entro cui le entità essenziali e le imprese importanti dovranno conformarsi alle nuove disposizioni.

Per approfondire: Direttiva NIS 2