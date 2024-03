La sicurezza informatica è un tema sempre attuale tanto che anche l’Unione Europea si è adoperata per mettere in campo una linea comune. Nello specifico la NIS 2, acronimo di Network and Information Systems, è una direttiva Europea che contiene misure pensate per aumentare il livello di sicurezza delle reti dei sistemi informativi dei singoli Paesi. La NIS2 è l’aggiornamento della NIS 1 entrata in vigore nel 2018. Ma vediamo in cosa consiste.

La direttiva europea per la sicurezza informatica

La NIS 2 è diventata legge il 17 gennaio 2023 e dovrà essere recepita entro il 17 ottobre 2024. In sostanza è un aggiornamento della NIS 1 che presentava alcuni limiti a causa dell’aumento esponenziale del livello di digitalizzazione dei paesi membri dell’UE e che ha aumentato il rischio di un attacco informatico.

All’interno della direttiva aggiornata ci sono delle norme comuni che devono essere rispettate da tutti gli stati membri per avere una legislazione comune. Questo però non vuol dire che non possano approvare altre norme, molto più severe per aumentare ancora di più il livello di sicurezza interno.

Uno degli aspetti più interessanti della NIS 2 è quello della cooperazione tra le autorità nazionali di cybersecurity e la EU-CyCLONe, vale a dire la rete europea di organizzazioni di collegamento per le crisi informatiche. Le due collaborano in modo coordinato per scongiurare eventuali incidenti condividendo le informazioni importanti.

Inoltre la direttiva per alzare il divello di cybersicurezza, mette in campo una serie di azioni che interessano sia gli Stati che le imprese che la sottoscrivono.

Per quanto riguarda i singoli Paesi devono:

Indicare un’autorità nazionale di cybersicurezza e gestire delle crisi informatiche

Adottare strategie di cybersecurity nazionali

Creare punti di contatto unici in materia di sicurezza

Istituire team di risposta agli incidenti di sicurezza informatica

Far rispettare obblighi di vigilanza ed esecuzione

Per quanto riguarda le imprese, non solo devono rispettare gli obblighi di gestione dei rischi di cybersicurezza e la loro segnalazione, ma anche adottare soluzioni di autenticazione a più fattori o di autenticazione continua. In questa maniera viene consentito l’accesso dei dipendenti e degli utenti ai sistemi informatici aziendali.

Chi deve rispettare la direttiva NIS 2

Come abbiamo visto anche le aziende devono rispettare la direttiva, ma questa non è rivolta a tutte: la decisione prende in considerazione il settore di appartenenza, le dimensioni e il ruolo che le aziende ricoprono nel loro settore.

Per quando riguarda i settori questi vengono divisi in:

settori ad alta criticità: coinvolgono in particolare gli ambiti dell’energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestori di servizi Tlc b2b, pubblica amministrazione e settore spazio

altri settori critici: in particolare servizi postali e di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, fabbricazione, fornitori di servizi digitale e ricerca

Questa direttiva si applica a soggetti pubblici o privati di medie o grandi dimensioni. A prescindere dalla grandezza, invece, viene applicata alle Pubbliche Amministrazioni centrali e regionali, ai servizi di registrazione di dominio e a tutti i soggetti che vengono ritenuti critici nei settori appena citati.

Quando gli Stati sono liberi di decidere se applicarla o meno

Alcune categorie di soggetti non sono obbligati ad applicare la NIS 2 o è lo stesso Stato a decidere come nel caso delle Pubbliche Amministrazioni locali e istituti d’istruzione con funzioni di ricerca. La direttiva invece non si applica nel caso delle Pubbliche Amministrazioni che si occupano di sicurezza nazionale, pubblica sicurezza, difesa e contrasto dei reati, soggetti del settore giudiziario, parlamenti e banche centrali. Gli stessi Stati, però, hanno la possibilità di escludere dalla direttiva anche altri soggetti.