Sicurezza Informatica: La direttiva ora in vigore 

Questa nuova normativa definisce le misure per la gestione del rischio informatico e stabilisce i criteri per considerare un incidente come significativo, richiedendo alle aziende che gestiscono infrastrutture e servizi digitali di segnalarlo alle autorità nazionali. Si tratta di un passo importante per rafforzare la resilienza delle infrastrutture digitali critiche in Europa.

Applicazione del regolamento a settori chiave

Le nuove disposizioni si applicano a specifiche categorie di aziende digitali, tra cui fornitori di servizi di cloud computing, data center, marketplace online, motori di ricerca e piattaforme di social network. Per ogni categoria di fornitori di servizi, il provvedimento di attuazione stabilisce anche i criteri per considerare un incidente significativo, il quale deve quindi essere segnalato alle autorità nazionali.

La direttiva NIS2: scadenze e recepimento a livello nazionale

Il regolamento coincide con la scadenza per il recepimento della direttiva NIS2 nei singoli ordinamenti nazionali. Ricordiamo che, a differenza di una direttiva, un regolamento è immediatamente applicabile senza necessità di recepimento tramite legge nazionale. Dal 18 ottobre 2024, tutti gli Stati membri dovranno applicare le misure necessarie per garantire il rispetto della direttiva, incluse le attività di vigilanza e controllo.

Obbligo di autovalutazione per le imprese

In Italia, il 7 agosto 2024, il Consiglio dei Ministri ha approvato in via definitiva il decreto legislativo n. 138 del 4 settembre 2024, pubblicato sulla Gazzetta Ufficiale n. 230 del 1° ottobre 2024. Questo decreto recepisce la Direttiva NIS2, che mira a innalzare gli standard di cibersicurezza nell’Unione. Le aziende potenzialmente interessate devono prima eseguire un’autovalutazione per verificare se rientrano nell’ambito di applicazione del decreto. In caso positivo, devono registrarsi sulla piattaforma digitale dell’Agenzia Nazionale per la Cybersicurezza (ACN), che comunicherà se tali aziende sono soggette alle nuove normative.

Una panoramica sulle iniziative europee per la sicurezza informatica

La prima direttiva sulla sicurezza informatica, nota come NIS, è stata introdotta nel 2016 e ha gettato le basi per una sicurezza comune delle reti e dei sistemi informativi nell’UE. Nel 2020, la Commissione ha proposto la revisione della direttiva per adattarla alle esigenze dell’era digitale. Entro il 17 Ottobre 2024 , gli Stati membri hanno dovuto recepire la direttiva NIS2 nel diritto nazionale che introduce misure rafforzate che coprono settori essenziali, quali servizi ICT, sanità, energia, trasporti, gestione dei rifiuti, spazio, e pubblica amministrazione.

Gli obiettivi della NIS2 per un’Unione più sicura

La direttiva NIS2:

• rafforza i requisiti di sicurezza per le aziende,
• affronta la sicurezza delle catene di fornitura,
• semplifica gli obblighi di segnalazione,
• introduce misure di vigilanza più rigorose,
• mira a un’armonizzazione delle sanzioni tra Stati membri,
• promuove la cooperazione e la condivisione delle informazioni nella gestione delle crisi informatiche a livello UE.