NIS2: Un nuovo quadro normativo per la cybersecurity e le sue ripercussioni sul panorama economico

La direttiva NIS 2 (Network and Information Systems) è una direttiva dell’Unione Europea che ha il compito di aiutare le organizzazioni a proteggere i propri asset digitali.

Il Consiglio dei Ministri ha approvato ad Agosto il Decreto Legislativo di recepimento nell’ordinamento italiano della Direttiva (UE) Cer 2022/2555 relativa a misure per un livello comune elevato di Cybersicurezza nell’Unione.
La Direttiva NIS2,  rappresenta un punto di svolta nel panorama normativo europeo in materia di cybersecurity. Sostituendo la precedente NIS, questa nuova direttiva introduce un quadro più rigoroso e allineato alle sfide poste dalla crescente digitalizzazione e dalla sofisticazione delle minacce informatiche.
Una delle principali novità introdotte dalla NIS2 è l'ampliamento dell'ambito di applicazione, che ora include un numero significativamente maggiore di settori e di entità. Oltre ai tradizionali operatori di servizi essenziali, la direttiva si applica anche a nuovi settori considerati critici per il funzionamento dell'economia e della società.

Settori essenziali (considerati vitali per il funzionamento socioeconomico dell Unione): tutte le aziende che rientrano nel settore dell’energia, del trasporto, della finanza, della PA, della Salute, dello Spazio, dell’approvvigionamento idrico e delle infrastrutture digitali.

Altri settori critici: rientrano i servizi postali, aziende di gestione dei rifiuti, organizzazioni che lavorano prodotti chimici, aziende di ricerca, alimentari, industrie manifatturiere e provider digitali.

L’Italia poi, utilizzando uno dei poteri che la Direttiva conferisce agli Stati Membri, ha deciso di allargare il perimetro di applicazione, ha infatti incluso i comuni sopra i 100.000 abitanti o che siano Capoluogo di Regione e, soprattutto, ha incluso il settore "cultura" che non rientra invece tra i settori individuati a livello Comunitario.

Obblighi più stringenti per gli operatori
La NIS2 impone agli operatori di servizi essenziali e importanti obblighi più rigorosi in materia di cybersecurity. Tra questi, si segnalano:
-  Analisi dei rischi: Gli operatori sono tenuti a condurre analisi dei rischi periodiche e dettagliate per identificare e valutare le minacce informatiche a cui sono esposti.
-  Misure tecniche e organizzative: Devono essere adottate misure tecniche e organizzative adeguate e proporzionate per gestire i rischi identificati, comprese la gestione delle identità e degli accessi, la protezione dei dati personali, la continuità operativa e la gestione degli incidenti.
-  Notifica degli incidenti: Gli incidenti informatici significativi devono essere notificati tempestivamente alle autorità competenti e, in alcuni casi, agli utenti interessati.
-  Cooperazione con le autorità: Gli operatori sono tenuti a cooperare con le autorità competenti in caso di indagini o interventi.

Implicazioni economiche e strategiche
L'implementazione della NIS2 avrà significative implicazioni economiche e strategiche per le imprese e per l'intero sistema economico. Da un lato, la conformità alla direttiva comporterà investimenti in tecnologie e risorse umane per le imprese, soprattutto per quelle di minori dimensioni. Dall'altro, la NIS2 rappresenta un'opportunità per lo sviluppo di un mercato europeo della cybersecurity più robusto e competitivo, favorendo l'innovazione e la creazione di nuove opportunità di business.

Conclusioni
La NIS2 rappresenta una risposta alle crescenti minacce informatiche e pone le basi per un futuro più sicuro nel mondo digitale. Le imprese e le organizzazioni che operano in settori critici devono prepararsi ad affrontare le nuove sfide poste dalla direttiva, investendo in misure di cybersecurity adeguate e sviluppando una cultura della sicurezza informatica all'interno delle proprie organizzazioni.

Per approfondimenti e per conoscere quali sono le azioni che la Tua impresa può intraprendere contatta i nostri professionisti.