In data 14 dicembre 2022 il Parlamento Europeo e il Consiglio hanno adottato la Direttiva UE 2022/2555 – Network and Information Security 2 (c.d. NIS 2), il cui recepimento da parte dei singoli Stati membri deve avvenire entro il 17 ottobre 2024. In Italia il 10 giugno 2024 il Consiglio dei Ministri ha approvato il decreto di recepimento della Direttiva, il quale dovrebbe essere vagliato nelle prossime settimane dal Senato della Repubblica.
In particolare, la Direttiva NIS 2 stabilisce un quadro normativo aggiornato in materia di cybersecurity per tutelare il mercato interno dell’Unione Europea, divenuto troppo vulnerabile a causa delle crescenti minacce informatiche e delle divergenze normative tra i singoli Stati membri.
La Direttiva si applica a soggetti (pubblici o privati) operanti sul territorio europeo che rispettano o superano gli standard delle “medie imprese” (più di 50 dipendenti e fatturato annuo o bilancio annuo superiore ai 10 milioni di Euro). Per alcuni soggetti, in realtà, la Direttiva si applica indipendentemente dalle dimensioni (i.e. per i fornitori di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico).
Nello specifico, la Direttiva NIS 2 si applica ai soggetti (aventi le caratteristiche di cui sopra) definiti “essenziali” e “importanti”.
Tra i soggetti “essenziali” rientrano i fornitori di servizi operanti nei seguenti settori: i) energia; ii) trasporti; iii) acqua; iv) sanità; v) infrastrutture digitali; vi) gestione dei servizi ICT; vii) Pubbliche Amministrazioni.
Sono considerati, invece, “importanti” i fornitori di servizi operanti nei seguenti settori: i) servizi postali e di corriere; ii) gestione dei rifiuti; iii) fabbricazione, produzione e distribuzione di alimenti; iv) fabbricazione di dispositivi medici, di computer e prodotti di elettronica e ottica, di apparecchiature elettriche, di autoveicoli e altri mezzi di trasporto; v) fornitori di servizi digitali; vi) ricerca.
La Direttiva impone agli Stati membri di adottare e aggiornare regolarmente strategie nazionali di cybersecurity, designare apposite Autorità nazionali competenti, punti di contatto unici e team di risposta agli incidenti (CSIRT) e garantire il rispetto delle misure di cibersicurezza attraverso attività di vigilanza e meccanismi di enforcement.
Le Società interessate, invece, saranno tenute ad adottare policy e procedure volte a minimizzare il rischio di attacchi cyber, predisporre piani di gestione delle crisi informatiche, segnalare alle Autorità nazionali competenti qualsiasi episodio significativo e stipulare accordi di condivisione delle informazioni sulla cibersicurezza. Qualora non dovessero essere rispettati gli obblighi di cui alla Direttiva 2022/2555, è stato previsto un sistema di sanzioni (pecuniarie e non) e di responsabilità.