NIS2: ecco cosa dice la direttiva e a chi si applica

NIS2 è una direttiva dell’Unione Europea che ha il compito di aiutare le organizzazioni nel proteggere i propri asset digitali e fisici, rafforzare la fiducia dei consumatori e migliorare la loro competitività sul mercato.

Il Consiglio dei Ministri ha approvato ad Agosto il Decreto Legislativo di recepimento nell’ordinamento italiano della Direttiva (UE) Cer 2022/2555 relativa a misure per un livello comune elevato di Cybersicurezza nell’Unione, NIS2.

Abrogando la precedente direttiva del 2016, la nuova normativa NIS2 (Network and Information Systems) si inserisce tra le politiche implementate dall'Unione Europea in tema di Cybersecurity.

La nuova direttiva, in particolare, prevede nuove e più rigorose misure per la sicurezza delle aziende tra cui:

• Ampliamento dell’ambito di applicazione, coinvolgendo un maggior numero i settori, distinti tra “soggetti essenziali” e “soggetti critici”.
• Adozione di misure di sicurezza: implementazione degli obblighi di sicurezza per le organizzazioni e Pubbliche Amministrazioni.
• Procedure di notifica degli incidenti: obbligo per le organizzazioni di segnalare rapidamente gli incidenti di sicurezza significativi alle autorità competenti.
• Valutazione dei rischi: richiesta di una valutazione periodica dei rischi legati alla sicurezza delle informazioni per mitigare le vulnerabilità.
• Cooperazione e condivisione delle informazioni: promozione della cooperazione e dello scambio di informazioni tra gli Stati membri e le organizzazioni.
• Sanzioni più severe per le organizzazioni che non rispettano i requisiti di sicurezza e le procedure di notifica.
• Formazione e sensibilizzazione, attraverso programmi sulla sicurezza cibernetica, per il personale delle organizzazioni.

NIS2 riguarda tutte le organizzazioni che forniscono servizi identificati come essenziali o importanti per l'economia e la società europee, nonché tutta la catena dei fornitori di questi soggetti.

Una tra le nuove misure volute dalla NIS2 è l’ampliamento dell’ambito di applicazione. Infatti, se con la direttiva precedente i settori in cui queste regole venivano applicate erano limitati, in questa seconda “versione”, le organizzazioni e le pubbliche amministrazioni coinvolte sono molte di più, distinte in due gruppi: i settori essenziali, considerati vitali per il funzionamento socioeconomico dell'UE e altri settori critici.

Al primo gruppo appartengono tutte le aziende che rientrano nel settore dell’energia, del trasporto, della finanza, della PA, della Salute, dello Spazio, dell’approvvigionamento idrico e delle infrastrutture digitali.

Tra i soggetti critici, invece, rientrano i servizi postali, aziende di gestione dei rifiuti, organizzazioni che lavorano prodotti chimici, aziende di ricerca, alimentari, industrie manifatturiere e provider digitali.

L’Italia poi, utilizzando uno dei poteri che la Direttiva conferisce agli Stati Membri, ha deciso di allargare ulteriormente il perimetro di applicazione: il nostro Paese ha infatti incluso i comuni sopra a 100.000 abitanti o che siano Capoluogo di Regione e, soprattutto, tutto il settore della cultura che non rientra invece tra i verticali individuati a livello UE.

È importante sottolineare che i settori già coperti dalla direttiva originale rimarranno nell'ambito di applicazione anche della direttiva NIS2. Inoltre, con la nuova versione, verranno impattate anche le organizzazioni più piccole che sono fornitori dei soggetti NIS2.

L'adozione della Direttiva (UE) 2022/2555 rappresenta quindi un passo significativo verso il rafforzamento della cybersicurezza a livello europeo.

Con l'introduzione di misure più rigorose e l'ampliamento dell'ambito di applicazione, NIS2 mira a migliorare la protezione non soltanto delle infrastrutture critiche ma di tutti i soggetti che svolgono una funzione rilevante per la vita di tutti i giorni dei cittadini dell’Unione, richiedendo, quindi, alle aziende e alle PA un maggiore impegno nel garantire la sicurezza informatica, a partire da maggiori investimenti nelle acquisizioni di tecnologie e servizi di qualità.

I motivi sono semplici. TIM rappresenta l’architrave tecnologico del Paese, la nostra capillarità nel terrirorio fa la differenza per accompagnare il sistema Italia verso l’attuazione di una riforma epocale, che segnerà il tessuto della nostra nazione. Anche se oggi ciò è ancora poco percepito, siamo alla vigilia di una svolta epocale della nostra società. Un po’ come quando diventarono obbligatorie le cinture di sicurezza nelle automobili. Serve quindi affidarsi a partner solidi in grado di gestire tutti i passaggi di questa importante evoluzione.

Per prima cosa, TIM Enterprise offre una consulenza tecnologica insieme a un team di esperti di cybersecurity che sapranno consigliarti e aiutarti nel trovare la strategia più adatta alla tua azienda.

Inoltre, dal network security al cloud security, TIM Enterprise mette a disposizione dei propri clienti un’offerta completa di servizi che permetteranno alle organizzazioni di essere in regola con quanto richiesto dalla normativa.

Telsy supporta TIM Enterprise nelle attività informative e di cybersecurity, per la risposta ad incidenti informatici per le attività di verifica della sicurezza dei sistemi e per le soluzioni di sicurezza delle comunicazioni con particolare attenzione all’implementazione della crittografia.