Cyber Tips IV° Uscita - La Direttiva NIS 2

Nell'ambito del progetto dedicato alla cyber security, Assolombarda mette a disposizione delle aziende associate dei sintetici approfondimenti che si occupano del tema a 360° gradi. 

IV° TIPS - La Direttiva NIS 2

Per comprendere al meglio la Nis 2 è necessario fare un passo indietro nel 2016 quando per la prima volta l’UE, ha rilasciato la prima direttiva contenenti i “requisiti minimi per la sicurezza delle reti e dei sistemi informativi”. In quegli anni sentiamo parlare per la prima volta di Operatori di Servizi Essenziali [OSE] e di obblighi per le aziende riguardanti la cyber security. Dopo 6 anni, l’UE ha ritenuto essenziale rinnovare tali obblighi e il 27 dicembre 2022 è stata approvata la Direttiva NIS 2 con lo scopo di aumentare ulteriormente livello comune di cibersicurezza, migliorando la resilienza e le capacità di risposta agli incidenti dei settori pubblico e privato attraverso misure di gestione dei rischi e obblighi di segnalazione.

Le novità

• Introduce una nuova classificazione delle entità coperte: soggetti essenziali e soggetti importanti;
• Amplia l'elenco dei settori e delle attività soggette agli obblighi di sicurezza informatica;
• Estende l'ambito per coprire tutte le entità di medie e grandi dimensioni;
• Modifica i requisiti di notifica delle violazioni e introduce la divulgazione coordinata volontaria delle vulnerabilità per le soggetti interessate.

Soggetti essenziali e soggetti importanti

Sono considerati essenziali i seguenti soggetti:

• Le aziende che superano i massimali di: più di 50 persone e realizzano un fatturato annuo o un totale di bilancio annuo superiori a 10 milioni di EUR.
• Enti della pubblica amministrazione centrale e di livello regionale
• Il soggetto che è l'unico fornitore in uno Stato membro di un servizio che è essenziale per il mantenimento di attività sociali o economiche fondamentali
• i soggetti identificati precedentemente come OSE
• e, indipendentemente dalla loro dimensione:

• fornitori di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico;
• prestatore di servizi di fiducia;
• registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio

 I soggetti importanti:

• Sono considerati importanti i soggetti di una tipologia elencata negli allegati I o II che non sono considerati soggetti essenziali. Vengono ricompresi i soggetti identificati dagli Stati membri come soggetti importanti.

Prossimi step

La direttiva NIS2 è entrata in vigore il 16 gennaio e si applicherà ai soggetti interessate a partire dal 17 gennaio 2025.

• La Commissione europea fornirà linee guida per chiarire gli articoli 4(1) e 4(2) entro il 17 luglio e le rivedrà regolarmente.
• Gli Stati membri devono recepire le disposizioni della direttiva nella legislazione nazionale entro il 16 ottobre 2024.
• Gli Stati membri devono stabilire un elenco di entità ed entità essenziali e importanti che forniscono servizi di registrazione di nomi di dominio entro il 17 aprile 2025. Questo elenco sarà rivisto e aggiornato regolarmente, almeno ogni due anni.

Contatti

Per ulteriori informazioni è possibile contattare Miriam Ieraci, tel 02 58370634, e-mail miriam.ieraci@assolombarda.it.