Direttiva NIS 2, arriva la norma obbligatoria sulla cybersecurity: come cambia la sicurezza informatica

Il 2024 è l’anno in cui gli Stati membri dell’Ue devono recepire la direttiva 2022/2555, la cd. Network and Information Security “NIS” 2.

Il 17 ottobre è il termine ultimo per il recepimento della norma, che andrà a sostituire la normativa concepita come prima disciplina comunitaria della cybersecurity, ovvero “NIS”. La NIS 2 si inserisce tra le politiche implementate dalla Commissione Europea nell’ambito della strategia per la cybersicurezza, come il Cybersecurity Act e il Cyber Resilience Act.
Con questi atti l’Unione vuole creare un mercato unico di prodotti, servizi e processi più sicuri, rafforzando le norme di sicurezza informatica.

La NIS 2 è la direttiva volta a garantire una resilienza informatica del sistema complessivo e dei singoli Paesi in merito a tutte le tematiche attinenti alla cybersecurity.

La NIS 2 si pone l’obiettivo di:

-Eliminare divergenze stabilendo norme minime riguardanti il  funzionamento di un quadro normativo coordinato.

-Istituire meccanismi per una cooperazione efficace tra le autorità responsabili in ciascuno Stato membro.

-Aggiornare l’elenco dei settori e delle attività soggetti agli obblighi in materia di cybersicurezza.

-Prevedere mezzi di ricorso e misure di esecuzione effettivi che siano funzionali all’efficace applicazione di tali obblighi.

La NIS 2 si rivolge a due categorie di soggetti:

Soggetti essenziali:

a) i soggetti che superano i massimali per le medie imprese di cui all’articolo 2, paragrafo 1, dell’allegato della raccomandazione 2003/361/CE;

b) prestatori di servizi fiduciari qualificati e registri dei nomi di dominio di primo livello, nonché prestatori di servizi DNS, indipendentemente dalle loro dimensioni;

c) fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico che si considerano medie imprese ai sensi dell’articolo 2, dell’allegato alla raccomandazione 2003/361/CE;

d) i soggetti della pubblica amministrazione di cui all’articolo 2, paragrafo 2, lettera f), punto i);

e) qualsiasi altro soggetto di cui all’allegato I o II che uno Stato membro identifica come soggetti essenziali ai sensi dell’articolo 2, paragrafo 2, lettere da b) a e);

f) soggetti identificati come soggetti critici ai sensi della direttiva (UE) 2022/2557, di cui all’articolo 2, paragrafo 3 della direttiva;

g) se lo Stato membro lo prevede, i soggetti che tale Stato membro ha identificato prima del 16 gennaio 2023 come operatori di servizi essenziali a norma della direttiva (UE) 2016/1148 o del diritto nazionale.

Soggetti importanti:
Sono considerati soggetti importanti i soggetti di una tipologia elencata negli allegati I o II che non sono considerati soggetti essenziali.

Entro il 17 aprile 2025, gli Stati membri devono definire un elenco dei soggetti essenziali ed importanti nonché dei soggetti che forniscono servizi di registrazione dei nomi di dominio. Successivamente, gli Stati membri riesaminano l’elenco periodicamente, almeno ogni due anni e, se opportuno, lo aggiornano.

Vigilanza e sanzioni:

Le misure di vigilanza a cui possono essere sottoposti i soggetti essenziali comprendono audit, ispezioni, richieste di informazioni, scansioni di sicurezza, richieste di dati che dimostrino l’attuazione delle politiche di cybersecurity.

Per quanto riguarda le sanzioni amministrative pecuniarie, la nuova direttiva NIS distingue tra entita’ essenziali e importanti:

Entità essenziali: per quanto riguarda i soggetti essenziali, essa impone agli Stati membri di prevedere un certo livello di sanzioni amministrative pecuniarie, in particolare un import massimo di almeno 10 milioni di euro o del 2 % del fatturato totale annuo mondiale dell’esercizio precedente, se superiore

Entità importanti: la NIS 2 impone agli Stati membri di prevedere una sanzione pecuniaria massima pari ad almeno 7 milioni di euro o almeno all’1,4 % del fatturato totale annuo mondiale dell’esercizio precedente, se superiore.

Per garantire una reale responsabilità per le misure di cybersicurezza implementate la NIS 2 introduce delle disposizioni sulla responsabilità delle persone fisiche che detengono posizioni dirigenziali di alto livello nei confronti dei soggetti che rientrano nell’ambito di applicazione della nuova direttiva.

Richiedi senza impegno maggiori informazioni !

Compila il form per essere contattato

5 + 2 = ?

TERMINI E CONDIZIONI  NTS Informatica.

Utilizzando o accedendo a qualsiasi parte dei servizi , si accettano tutti i termini e le condizioni contenuti nel presente documento e le disposizioni operative legate al sito NTS Informatica. Con questo documento ci riserviamo il diritto e a nostra esclusiva discrezione, di modificare o sostituire, in qualsiasi momento, i termini e le condizioni del presente Regolamento.

Se non siete d’accordo ad una qualsiasi di tali termini, condizioni, regole, politiche o procedure, non utilizzare o accedere ai servizi. NTS Informatica si riserva il diritto, a sua esclusiva discrezione, di modificare o sostituire qualsiasi dei termini o condizioni del presente Regolamento in qualsiasi momento.

  1. OBBLIGHI DI REGISTRAZIONE
    Per essere un utente registrato dei Servizi, l’utente accetta di: (a) fornire informazioni veritiere, accurate, aggiornate e complete su di te, come richiesto dal modulo di registrazione Sito (i “Dati di Registrazione”). Se l’Utente fornisce informazioni false, inaccurate, non attuali o incomplete, o [NOMESITO] hanno motivi ragionevoli per sospettare che tali informazioni siano false, inaccurate, non attuali o incomplete, [NOMESITO] ha il diritto di sospendere o terminare tutti le registrazioni e rifiutano ogni e qualsiasi vostro uso attuale o futuro dei Servizi (o parte di esso). NTS Informatica è preoccupato per la sicurezza e la privacy di tutti i suoi utenti, in particolare i bambini. Per questo motivo, è necessario avere almeno 18 anni di età, o l’età legale di maggioranza in cui si risiede se tale competenza ha una età avanzata di maggioranza, di registrarsi per un evento.
  2. PRIVACY
    Tutte le informazioni presentate o da voi fornite per i Servizi possono essere accessibili al pubblico. Si dovrebbe fare attenzione a proteggere le informazioni private o di informazioni che è importante per voi. NTS Informatica non è responsabile per la protezione di tali informazioni e non è responsabile per la tutela della privacy della posta elettronica o di altre informazioni trasferite tramite Internet o qualsiasi altra rete che si può utilizzare. Si prega di essere consapevoli del fatto che se si decide di rivelare informazioni personali sui Servizi, queste informazioni possono diventare pubbliche. NTS Informatica non controlla e non è responsabile per gli atti di voi o altri utenti (se Organizzatori, compratori, altri non Organizzatori o altro) dei Servizi.
  3. ACCETTAZIONE DEI TERMINI
    Avete letto i Termini e Condizioni nella sua interezza e capire quello che avete letto.
    L’utente si impegna a rispettare i Termini di servizio stabiliti per questo sito