NIS2: Un nuovo fattore DETERMINANTE

Le infrastrutture critiche sono sempre più spesso il bersaglio degli hacker. Ecco perché nel 2022 l’Unione Europea ha ampliato l’ambito di applicazione delle misure definite nella Direttiva sulla sicurezza dei sistemi informativi e delle reti (Network and Information Security, NIS) introdotta nel 2016. I nuovi regolamenti NIS2 (EU 2022/2555), concepiti per aumentare il grado di sicurezza informatica delle “infrastrutture critiche” (critical infrastructures, CRITIS), sono entrati in vigore quest’anno.

Le precedenti versioni della Direttiva riguardavano le organizzazioni operanti nei settori dell'energia, della sanità, dei trasporti, dei servizi bancari e finanziari, delle infrastrutture digitali, dei provider dei servizi digitali e dell'approvvigionamento di acqua. La Direttiva NIS2, invece, include un numero più ampio di imprese e istituzioni con più di 250 dipendenti, un fatturato annuale maggiore di 50 milioni di euro (54 milioni di dollari), o asset superiori a 43 milioni di euro (46,7 milioni di dollari). Il provvedimento si rivolge a organizzazioni operanti in ambiti ritenuti importanti o essenziali per l'economia o la società, come ad esempio le aziende di produzione, trasformazione e distribuzione dei generi alimentari, i produttori di apparecchi elettronici, dispositivi medici e altri prodotti, servizi postali e corrieri, centri dati, aziende di gestione dei rifiuti e altre ancora.

Vi sono poi altre organizzazioni soggette alle norme NIS2 che rientrano nel campo di applicazione della Direttiva indipendentemente dalla dimensione, come ad esempio reti o servizi di comunicazione elettronica ad uso pubblico, prestatori di servizi fiduciari, fornitori di servizi di registrazione di domini e di servizi DNS, o i prestatori unici nazionali di servizi la cui interruzione potrebbe causare un impatto significativo sull’ordine pubblico, sulla sicurezza o sulla salute.

Inoltre, i seguenti settori sono attualmente considerati “essenziali” all’interno di tutto il territorio dell’Unione: energia, trasporti, banche, infrastrutture del mercato finanziario, sanità, acqua potabile, acque di scarico, infrastrutture digitali, gestione dei servizi di tecnologia dell’informazione e della comunicazione (TIC), pubblica amministrazione e spazio.

A livello nazionale, tutti gli stati membri dell’UE dovranno implementare i requisiti minimi statutari in materia di sicurezza informatica entro ottobre 2024. In Germania, ad esempio, la seconda bozza della legislazione riguardante il recepimento della Direttiva è disponibile da luglio 2023 e attende solo la conferma dell’amministrazione federale.