HomeIco

Home

 InternalIco

Internal

 GlobalIco

Global

 ContattoIco

Contatto
it

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.
Temi Come cambierà la cyber sicurezza con la NIS 2?

Come cambierà la cyber sicurezza con la NIS 2?

PrintMailRate-it

Ultimo aggiornamento del 29.09.2021 | Tempo di lettura ca. 4 minuti


The article is available also in English »


La direttiva (UE) 2016/1148 (comunemente denominata Direttiva NIS) è stata pubblicata sulla Gazzetta Ufficiale, con il Decreto Legislativo 18 maggio 2018, n.65, il 9 giugno 2018, recependola nell'ordinamento nazionale italiano. 

Lo scopo di tale direttiva è quello di definire le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi, coinvolgendo principalmente gli Operatori di Servizi Essenziali (OSE) e i Fornitori di Servizi Digitali (FSD) in diversi settori, tra cui quello della sanità, dell’energia, dei trasporti, delle infrastrutture digitali e dell’approvvigionamento idrico.

Le richieste principali agli OSE e FSD riguardano principalmente l’adozione di misure tecniche e organizzative al fine di aumentare la sicurezza delle proprie reti e i sistemi informatici, l’adozione di misure appropriate al fine di prevenire incidenti di sicurezza e/o minimizzarne l'impatto per garantire la continuità del servizio ed infine, la comunicazione all'autorità competente senza ingiustificato ritardo di qualsiasi incidente di sicurezza che abbia un impatto significativo sulla continuità del servizio erogato.

Tuttavia, sono stati riscontrati problemi in termini di chiarezza, non risultando sufficientemente definito il perimetro di applicazione degli OSE e FSD, lasciando agli Stati Membri abbastanza discrezione nelle modalità di implementazione dei requisiti nonché nell’identificazione delle entità coinvolte. Inoltre, la “copertura” dei settori è risultata esser troppo limitata, in quanto la Direttiva non era più in grado di riflettere tutti i settori fornitori di servizi essenziali all’economia e alla società. 

In aggiunta a quanto sopra, a seguito della digitalizzazione degli ultimi anni e di una maggior interconnessione, seguiti da un significativo aumento dei rischi di cyber sicurezza (dovuti all’incremento dell’utilizzo di servizi in Cloud a seguito della massiccia adozione del lavoro a distanza (smartworking) causato dalla pandemia di COVID-19, all’introduzione nel nostro quotidiano delle tecnologie di telefonia e connettività mobile di quinta generazione (5G) e dei dispositivi IoT), la Commissione Europea ha proposto una abrogazione della stessa attraverso l’introduzione di una nuova direttiva, la cosiddetta NIS 2.

Cosa cambierà nella NIS 2?

Queste sono alcune differenze importanti tra la vecchia e la nuova direttiva:
  • La nuova proposta elimina la distinzione tra OSE e FSD, classificando invece le entità come essenziali o importanti;
  • La copertura della Direttiva viene espansa al fine di coprire nuovi settori (es: gestione delle acque reflue, food, spazio e così via) in base alla loro criticità per l’economia e la società, includendo a tal scopo tutte le compagnie medio-grandi di tali settori. Allo stesso tempo, agli Stati Membri viene garantita della flessibilità nell’identificare entità più piccola ma con profilo ad alto rischio; 
  • Viene proposta l’istituzione di organizzazione a livello europeo per la gestione delle crisi informatiche (European Cyber Crises Liaison Organisation Network: EU-CyCLONe) al fine di supportare la gestione coordinata della sicurezza informatica su incidenti di larga scala e crisi a livello dell'UE;
  • Viene stabilita maggior coordinazione nella divulgazione, in tutta l’Unione, di nuove vulnerabilità scoperte; 
  • Viene stabilito un elenco di sanzioni amministrative (simili a quelle del GDPR), comprese le multe per violazione degli obblighi di segnalazione e gestione del rischio di cybersecurity;
  • La proposta rafforza i requisiti di sicurezza per le aziende, imponendo un approccio di gestione del rischio e fornendo un elenco minimo di elementi di sicurezza di base che devono essere applicati. Inoltre, introduce disposizioni più precise sul processo di segnalazione degli incidenti, il contenuto delle segnalazioni e le tempistiche (entro 24 ore dalla scoperta dell’incidente);
  • La proposta introduce misure di vigilanza più rigorose per le autorità nazionali, requisiti di applicazione più rigorosi e mira ad armonizzare i regimi sanzionatori tra gli Stati Membri;
  • A livello europeo, la proposta rafforza la sicurezza informatica per le principali tecnologie dell'informazione e della comunicazione. Gli Stati membri, in collaborazione con la Commissione e l'ENISA, effettueranno valutazioni coordinate dei rischi delle supply chains critiche, basandosi sull'approccio efficace adottato nel contesto della raccomandazione della Commissione sulla cyber sicurezza delle reti 5G.

Con la revisione della direttiva NIS, quindi, la Commissione Europea propone una rielaborazione del livello di cyber sicurezza in tutta l'Unione al fine di incrementare la resilienza dei vari settori coinvolti, sia nella sfera pubblica che privata.  

DALLA NEWSLETTER
Legal Newsletter

i nostri servizi

​Cybersecurity & ICT
Skip Ribbon Commands
Skip to main content
Deutschland Weltweit Search Menu