Direttiva NIS2: prendono forma le nuove norme europee sulla sicurezza informatica e delle reti

Il Consiglio Europeo e il Parlamento europeo hanno recentemente raggiunto un’intesa politica sulle nuove misure per un livello comune elevato di cibersicurezza in tutta l’Unione, al fine di  migliorare ulteriormente la resilienza e le capacità di risposta agli incidenti del settore pubblico e privato e dell’UE nel suo insieme.

Si tratta della nuova Direttiva denominata “NIS2” che, una volta definitivamente adottata, andrà a sostituirà l’attuale Direttiva 2016/1148 sulla sicurezza delle reti e dei sistemi informativi (NIS), primo strutturato atto legislativo a livello europeo sulla sicurezza informatica, ancora in corso di vigenza. Adottata nel lontano maggio 2016 la e recepita in Italia con il D.lgs. 18 maggio 2018, n. 65 (anche detto “decreto legislativo NIS”), la NIS ha risposto alla progressiva esposizione dell’Europa alle minacce informatiche che nel corso degli anni sono diventate sempre più frequenti e pervasive, per via di un aumento esponenziale della superficie esposta nell’ecosistema digitale, ormai sempre più eterogeneamente interconnesso.

La direttiva NIS2 mira a fronteggiare ulteriormente questo trend di escalation cyber, rispondendo all’esigenza di protezione, in modo omogeneo nel lungo termine, a livello europeo, dei servizi e presidi essenziali e strategici di ciascuno Stato membro, includendo adesso anche organizzazioni di medie e grandi dimensioni di più settori critici per l’economia e la società, compresi i fornitori di servizi pubblici di comunicazione elettronica, servizi digitali, acque reflue e gestione dei rifiuti, produzione di prodotti critici, servizi postali e di corriere e pubblica amministrazione, sia a livello centrale che regionale.

Il requisito dimensionale rappresenta peraltro una delle novità maggiormente significative dell’intesa politica perché i soggetti inclusi nell’alveo applicativo della nuova Direttiva verranno espressamente indicati dal Legislatore europeo, che ne circoscriverà l’ambito sulla base dei criteri di proporzionalità, un livello di gestione del rischio e criticità.

A tal riguardo vale la pena di evidenziare che la NIS2 si applicherà agli enti della pubblica amministrazione a livello centrale e regionale, riservandosi ai singoli Stati membri l’opportunità di estenderne l’applicazione a livello più periferico. La NIS2 includerà anche l’adozione di misure di gestione del rischio di cibersicurezza per il settore sanitario, con particolare riferimento ai produttori di dispositivi medicali, proprio per rispondere alle crescenti minacce alla sicurezza rilevate durante la pandemia di Covid-19.

Dunque, la nuova direttiva intende rafforzare i requisiti di sicurezza informatica imposti alle aziende, attraverso l’introduzione di un quadro normativo che preveda un meccanismo più omogeneo ed efficace sia in termini di requisiti sia di misure di sicurezza, per la cooperazione nella gestione del rischio, degli incidenti nonché per lo snellimento degli obblighi di segnalazione in tutti i settori che rientrano nel perimetro dalla direttiva, nell’ambito di EU-CyCLONe, ossia dell’organizzata rete europea di collegamento per le crisi informatiche, che sosterrà la gestione coordinata degli incidenti di sicurezza informatica su larga scala e favorirà la condivisione di best practice a livello nazionale ed europeo.

A tal riguardo, la NIS2 nell’aggiornare l’elenco dei settori e delle attività soggetti agli obblighi di sicurezza informatica andrà anche a prevedere una serie di rimedi e sanzioni per garantirne l’effettiva applicazione. A tal proposito, di fondamentale importanza è il tema della sicurezza delle catene di approvvigionamento e delle relazioni con i fornitori che vede introdurre adesso la responsabilità del top management nel caso di mancata osservanza degli obblighi di sicurezza informatica, introducendo altresì misure di vigilanza più rigorose per le autorità nazionali.

L’accordo provvisorio raggiunto, nel caso di definitiva approvazione da parte del Consiglio europeo e del Parlamento europeo prevederà a carico degli Stati membri un generale obbligo di recepimento della nuova Direttiva negli ordinamenti giuridici nazionali nel termine dilatorio di 21 mesi dalla sua entrata in vigore.

Fonte foto Pixabay_TheDigitalArtist

di Davide Maniscalco, Legal e Privacy Officer Swascan-Tinexta Group e socio Aidr

Contenuti correlati

• 
  Quattro problemi, un’unica risposta: la fabbrica intelligente non si improvvisa

  Quando si visita uno stabilimento produttivo italiano, ciò che colpisce di più non è ciò che manca, è ciò che coesiste. L’impressione è quella di un organismo in cui ogni organo funziona, ma il sistema non ha...
• 
  Siemens: Industrial AI, digitalizzazione e cybersecurity per una filiera della plastica

  Dal 9 al 12 giugno Siemens ha preso parte a PLAST 2026, una delle principali manifestazioni internazionali dedicate all’industria delle materie plastiche e della gomma, portando al Future Technology HUB di Fiera Milano Rho le proprie tecnologie per supportare la competitività delle...
• 
  Due prospettive sulla trasformazione digitale

  AI, semiconduttori, cybersecurity e nuovi modelli di business: la trasformazione digitale sta cambiando imprese ed Europa molto più di quanto sembri. Due prospettive complementari aiutano a capire dove sta andando davvero il cambiamento Leggi l’articolo
• 
  Le reti industriali fanno funzionare il mondo, ma sono davvero sicure?

  I protocolli di comunicazione per le reti industriali rappresentano la spina dorsale dell’automazione moderna, sia di processo sia di fabbrica, consentendo interoperabilità, controllo in tempo reale e un’integrazione efficiente di dispositivi, sistemi e applicazioni. Tuttavia, molti dei protocolli...
• 
  IndraMind Cybersecurity rafforza la protezione del gruppo Arvedi

  IndraMind Cybersecurity, l’unità di cybersecurity di IndraMind (Indra Group), ha implementato per il Gruppo Arvedi, tra i principali produttori siderurgici italiani, un servizio di sicurezza gestita (Managed Global Security Service) attivo H24, 7 giorni su 7, che...
• 
  Security Summit Napoli 2026: cybersecurity, AI e resilienza digitale nel Mezzogiorno

  Si è conclusa a Napoli, presso la Città della Scienza, la seconda edizione di Security Summit Napoli, l’appuntamento promosso da Clusit – Associazione Italiana per la Sicurezza Informatica, e Astrea, con il patrocinio della Regione Campania. Oltre 200...
• 
  TXT e-tech guida il progetto DART per l’innovazione del settore difesa nell’Unione Europea

  Il Gruppo TXT annuncia di aver ottenuto la guida del progetto DART – Digital Architecture Framework for SoS Readiness and Digital Twin Integration finanziato dall’European Defence Fund (EDF), il programma dell’Unione Europea dedicato al rafforzamento della cooperazione industriale...
• 
  Avvicendamento al CINI Cybersecurity National Lab

  La Direzione del CINI Cybersecurity National Lab rivolge i migliori auguri di buon lavoro al nuovo Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale (ACN), Andrea Quacivi, rinnovando la piena disponibilità a proseguire e rafforzare la collaborazione istituzionale...
• 
  Ricerca di Rockwell Automation: i produttori italiani sono sempre più orientati all’esecuzione e alla crescita

  Rockwell Automation ha annunciato i risultati relativi all’Italia dell’11ª edizione del suo State of Smart Manufacturing Report. La ricerca evidenzia un cambiamento nell’approccio dei produttori italiani alla trasformazione digitale: oggi, infatti, crescita ed espansione della capacità produttiva...
• 
  Si delinea il programma di secsolutionforum 2026

  Secsolutionforum 2026 torna in presenza il 7 e 8 ottobre 2026 a BolognaFiere, all’interno di Urban Tech 2026 – The Urban Technology Show, l’ecosistema dedicato a e-mobility, traffic, commuting, tlc & data ed environment. Dopo sei edizioni...