La direttiva NIS2, pubblicata nella Gazzetta Ufficiale dell’Unione Europea il 27 dicembre 2022, rappresenta un significativo ed ulteriore passo avanti nella gestione della sicurezza informatica a livello comunitario, ampliando e sostituendo il campo di applicazione della precedente direttiva NIS del 2016. Questo nuovo quadro normativo nasce dall’esigenza di rispondere alle crescenti minacce cibernetiche, in un contesto digitale in costante evoluzione e sempre più interconnesso, nel quale si assiste ad un aumento esponenziale delle infrastrutture critiche dipendenti dalla tecnologia.
In Europa è maturata la consapevolezza di dover ampliare la normativa comunitaria nell’ambito della società digitale, includendo, oltre alla regolamentazione del mercato unico digitale, anche la tutela dei diritti degli utenti a garanzia di uno spazio cibernetico “open, safe and secure”. A tale scopo, la direttiva NIS ha rappresentato un punto di svolta, costituendo il primo insieme di regole sulla sicurezza informatica a livello europeo e delineando un framework sovranazionale nel settore della cybersecurity.
L’UE ha definito gli strumenti e le misure da sviluppare per garantire la sicurezza negli ambienti fisici e digitali mirando a politiche di sicurezza che riflettano l’evoluzione del panorama delle minacce, costruendo una resilienza duratura e sostenibile e coinvolgendo tutti i settori della società, dalle istituzioni europee ai governi, fino al settore privato e ai cittadini. Particolare attenzione è dedicata alla cybersicurezza, con l’UE chiamata a guidare gli sforzi per una digitalizzazione sicura, promuovendo standard di cybersicurezza di livello mondiale per i servizi essenziali e le infrastrutture critiche, oltre a sviluppare e applicare nuove tecnologie.
Nel frattempo, il conflitto tra Russia e Ucraina ha dimostrato che le infrastrutture critiche posso costituire veri e propri bersagli strategici e tattici, assumendo un ruolo cruciale nella determinazione dei conflitti, che non si limitano al mondo fisico, ma che interessano in maniera sempre più rilevante anche il cyberspazio.
Allo scopo di rafforzare la resilienza cibernetica dell’Unione, quindi, la direttiva NIS2 contribuisce ad arricchire in maniera sinergica il fitto quadro normativo europeo in materia di Cyber Security e Resilience delle Infrastrutture Critiche che comprende, tra gli altri, il Digital Operational Resilience Act (DORA), il Cybersecurity Act, il General Data Protection Regulation (GDPR) e la recente Direttiva sulla Resilienza delle infrastrutture critiche (CER, Critical Entities Resilience).
È fondamentale ridurre il rischio che un’infrastruttura critica possa essere compromessa da vulnerabilità interne o derivanti dalla catena di approvvigionamento con gravi ripercussioni per la sicurezza economica e sociale dell’intera Unione. Proprio in questa direzione, la direttiva NIS2 ha ampliato l’ambito di applicazione delle nuove disposizioni, obbligando un numero maggiore di attori ed entità, anche PMI, a adottare misure avanzate di gestione del rischio cyber.
È auspicabile che la definizione di standard di sicurezza comuni a tutti coloro che operano all’interno degli Stati membri, favorisca una risposta coordinata ed efficiente alle minacce cibernetiche e il rafforzamento della cooperazione e collaborazione tra agenzie, istituzioni, Stati e privati, con l’obiettivo di raggiungere rapidamente gli obiettivi di aumentare il livello di sicurezza cibernetica in Europa e rafforzare la capacità dell’Unione di affrontare le crisi cibernetiche in modo collettivo.
Questo Rapporto si propone di analizzare in dettaglio le principali novità introdotte dalla NIS 2, valutarne l’impatto sui vari settori interessati, fornire implicazioni pratiche e suggerimenti operativi per la valutazione dei rischi, offrendo approfondimenti sul tema della gestione di cybersecurity in diverse realtà.
Il Rapporto può essere scaricato al seguente link