Bruxelles, 17 maggio 2024 – Il Consiglio dell’Unione Europea ha formalmente approvato oggi il regolamento sulla sicurezza informatica NIS2 (Network and Information Security Directive 2), un passo significativo per rafforzare la resilienza e la sicurezza delle infrastrutture digitali europee. La direttiva, che mira a sostituire la precedente NIS1, stabilisce requisiti più stringenti per la gestione dei rischi di sicurezza informatica e introduce un campo di applicazione più ampio, includendo un maggior numero di settori e imprese.
NIS2 rappresenta un aggiornamento sostanziale rispetto alla direttiva originale. Le principali novità includono:
L’approvazione di NIS2 avrà un impatto significativo sulle aziende in Europa. Le imprese dovranno rivedere le proprie strategie di sicurezza informatica e adeguarsi ai nuovi requisiti. In particolare, le aziende dovranno:
Dopo l’approvazione formale da parte del Consiglio, NIS2 sarà pubblicato nella Gazzetta ufficiale dell’Unione Europea ed entrerà in vigore venti giorni dopo. Gli Stati membri avranno 21 mesi per recepire la direttiva nella legislazione nazionale. Le aziende avranno quindi un periodo di transizione per adeguarsi ai nuovi requisiti.
La Commissione europea e l’ENISA svolgeranno un ruolo chiave nel supportare l’implementazione di NIS2. La Commissione fornirà orientamenti e chiarimenti sui requisiti, mentre l’ENISA supporterà gli Stati membri e le aziende nella loro conformità, offrendo strumenti, formazione e supporto tecnico.
La comunità europea ha accolto con favore l’approvazione di NIS2, considerandola un passo cruciale per migliorare la sicurezza informatica in Europa. Secondo Margrethe Vestager, vicepresidente esecutivo per un’Europa adatta all’era digitale, “NIS2 ci aiuterà a proteggere meglio le nostre infrastrutture critiche e a garantire un mercato unico digitale più sicuro. Le aziende dovranno rafforzare la loro sicurezza informatica e collaborare per proteggere tutti noi da minacce informatiche sempre più sofisticate.”
Anche le associazioni di categoria hanno espresso la loro soddisfazione per l’approvazione di NIS2, sottolineando l’importanza di una solida sicurezza informatica per la competitività e la crescita economica. Tuttavia, alcune associazioni hanno espresso la necessità di garantire un’implementazione armonizzata e proporzionata del regolamento in tutti gli Stati membri, al fine di evitare oneri amministrativi eccessivi per le aziende.
L’approvazione di NIS2 arriva in un momento in cui la sicurezza informatica è diventata una priorità sempre più urgente per l’Unione Europea. L’aumento degli attacchi informatici, sia per numero che per sofisticazione, rappresenta una minaccia significativa per la sicurezza, l’economia e la società. Gli attacchi informatici possono causare danni economici ingenti, interrompere i servizi essenziali, compromettere la fiducia dei cittadini e minare la sicurezza nazionale.
La guerra in Ucraina ha ulteriormente evidenziato l’importanza della sicurezza informatica. Gli attacchi informatici contro infrastrutture critiche e istituzioni governative sono aumentati in modo significativo, dimostrando la necessità di rafforzare la resilienza informatica. L’Unione Europea ha quindi intensificato i suoi sforzi per migliorare la sicurezza informatica, tra cui l’adozione di nuove leggi e regolamenti, l’aumento degli investimenti e la promozione della cooperazione internazionale.
NIS2 rappresenta un miglioramento significativo rispetto alla direttiva NIS1. Mentre NIS1 si concentrava principalmente sui settori essenziali e sui fornitori di servizi digitali, NIS2 estende il suo campo di applicazione a un numero maggiore di settori e imprese. NIS2 introduce anche requisiti di sicurezza più rigorosi e meccanismi di applicazione più efficaci.
Una delle principali critiche a NIS1 era la mancanza di armonizzazione nell’implementazione nei diversi Stati membri. NIS2 mira a risolvere questo problema introducendo requisiti più dettagliati e meccanismi di applicazione più rigorosi. La direttiva prevede anche una maggiore cooperazione tra gli Stati membri e la condivisione delle informazioni sugli incidenti di sicurezza informatica.
L’Agenzia dell’Unione europea per la cibersicurezza (ENISA) svolgerà un ruolo centrale nell’implementazione di NIS2. L’ENISA supporterà gli Stati membri e le aziende nella loro conformità, offrendo strumenti, formazione e supporto tecnico. L’ENISA sarà anche responsabile della raccolta e dell’analisi delle informazioni sugli incidenti di sicurezza informatica, e della promozione della cooperazione tra gli Stati membri.
L’ENISA ha già sviluppato una serie di strumenti e risorse per supportare l’implementazione di NIS2, tra cui guide, modelli e strumenti di autovalutazione. L’ENISA organizzerà anche corsi di formazione e workshop per le aziende e le autorità nazionali.
NIS2 pone una maggiore attenzione alla sicurezza della supply chain. Le aziende dovranno garantire che i loro fornitori e partner commerciali siano conformi ai requisiti di sicurezza informatica. Questo significa che le aziende dovranno valutare i rischi di sicurezza informatica associati ai loro fornitori e implementare misure per mitigare tali rischi.
La sicurezza della supply chain è diventata una delle principali preoccupazioni in materia di sicurezza informatica. Gli attacchi informatici contro i fornitori possono avere un impatto significativo sulle aziende e sui loro clienti. NIS2 mira a rafforzare la sicurezza della supply chain, obbligando le aziende a collaborare con i loro fornitori per proteggere i loro sistemi e dati.
NIS2 prevede sanzioni pecuniarie più elevate per le aziende che non rispettano i requisiti. Le sanzioni possono ammontare fino a 10 milioni di euro o al 2% del fatturato annuo globale per le aziende più grandi. Le autorità nazionali avranno un ruolo più attivo nel monitoraggio e nell’applicazione del regolamento.
Le autorità nazionali avranno il potere di effettuare ispezioni e audit per verificare la conformità delle aziende a NIS2. Le autorità potranno anche ordinare alle aziende di adottare misure correttive e di imporre sanzioni in caso di violazioni. Le aziende dovranno quindi investire nella sicurezza informatica e garantire la conformità al fine di evitare sanzioni e proteggere la propria reputazione.
L’implementazione di NIS2 rappresenterà una sfida per le aziende e le autorità nazionali. Le aziende dovranno investire in sicurezza informatica e adeguare i propri processi e procedure. Le autorità nazionali dovranno sviluppare capacità di applicazione efficaci e garantire un’implementazione armonizzata del regolamento.
Una delle principali sfide sarà la formazione del personale e la sensibilizzazione sulla sicurezza informatica. Le aziende dovranno formare i propri dipendenti sulle minacce informatiche e sulle migliori pratiche di sicurezza. Le autorità nazionali dovranno anche promuovere la consapevolezza sulla sicurezza informatica tra i cittadini e le imprese.
Un’altra sfida sarà la cooperazione internazionale. Gli attacchi informatici sono spesso transfrontalieri, quindi è fondamentale che gli Stati membri collaborino tra loro e con i partner internazionali per contrastare le minacce informatiche. L’Unione Europea dovrà quindi continuare a rafforzare la cooperazione con i paesi terzi e le organizzazioni internazionali.
L’approvazione di NIS2 è un passo importante per migliorare la sicurezza informatica in Europa. La direttiva stabilisce requisiti più rigorosi per la gestione dei rischi di sicurezza informatica, estende il suo campo di applicazione a un numero maggiore di settori e imprese, e introduce meccanismi di applicazione più efficaci. Le aziende dovranno adeguarsi ai nuovi requisiti e investire nella sicurezza informatica per proteggere i propri sistemi e dati. L’Unione Europea dovrà continuare a rafforzare la cooperazione internazionale per contrastare le minacce informatiche. NIS2 rappresenta un passo fondamentale per garantire un mercato unico digitale più sicuro e per proteggere la sicurezza, l’economia e la società europea.