NIS 2: la direttiva per un livello comune di cibersicurezza

NIS 2: la direttiva per un livello comune di cibersicurezza

NIS 2: la direttiva per un livello comune di cibersicurezza

Il 18 ottobre 2024 verrà recepita nel nostro ordinamento giuridico la Direttiva (UE) 2022/2555 del Parlamento Europeo e del Consiglio relativa a misure per un livello comune elevato di cibersicurezza dell’Unione (“NIS 2”). Nell’attesa che la Direttiva sia recepita all’interno del nostro ordinamento giuridico e che i principi ivi espressi vengano declinati in obblighi specifici da parte di ciascuno Stato Membro, di seguito evidenziamo i principali elementi.

LE FINALITA’  

L’obiettivo della NIS 2, acronimo di Network and Information Security, è quello di rafforzare l’ambito della sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea, tramite l’armonizzazione della disciplina prevista dai singoli Stati Membri.

Con la NIS 2, che ha aggiornato la NIS 1 (Direttiva UE 2016/1148 del 6 luglio 2016, recepita in Italia con D. Lgs. 18 maggio 2018, n. 65), l’Unione Europea intende affrontare con strumenti più efficaci le minacce cibernetiche che attraversano il panorama digitale. Questo obiettivo risulta ancora più importante laddove la minaccia possa colpire settori chiave o particolarmente sensibili, la cui interruzione recherebbe ingenti danni.

I DESTINATARI

Distinti nelle categorie di soggetti «essenziali» e «importanti», sono ricompresi all’interno della disciplina della NIS 2 gli operatori attivi nei seguenti settori:

  • energia;
  • trasporti;
  • bancario e infrastrutture dei mercati finanziari;
  • sanitario;
  • acqua potabile e acque reflue;
  • infrastrutture digitali;
  • servizi ICT, della pubblica amministrazione e dello spazio.

Inoltre, con la NIS 2 il legislatore europeo include anche ulteriori operatori attivi nei seguenti ambiti critici:

  • servizi postali e di corriere;
  • gestione dei rifiuti;
  • fabbricazione, produzione e distribuzione di sostanze chimiche;
  • produzione, trasformazione e distribuzione di alimenti;
  • fabbricazione di computer, di apparecchiature elettriche, di dispositivi medici e medico-diagnostici in vitro;
  • fornitori di servizi digitali;
  • organizzazioni di ricerca.

LE AUTORITA’ COMPETENTI

Spetterà a ogni Stato membro designare o istituire una o più autorità competenti responsabili della cibersicurezza e aventi ruolo di vigilanza.

LE SANZIONI

È previsto infine un impianto sanzionatorio a carico dei soggetti essenziali e importanti articolato in sanzioni pecuniarie amministrative «pari a un massimo di almeno 10.000.000 EUR o a un massimo di almeno il 2% del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto essenziale appartiene, se tale importo è superiore».

***

Rimaniamo a disposizione per qualsiasi chiarimento.