La direttiva NIS2 istituisce un quadro giuridico unificato per sostenere la cibersicurezza in 18 settori critici in tutta l’UE. Invita inoltre gli Stati membri a definire strategie nazionali di cibersicurezza e a collaborare con l’UE per la reazione e l’applicazione transfrontaliere.
La sicurezza informatica comporta la protezione delle reti e dei sistemi informativi (NIS), dei loro utenti e di altre persone interessate da incidenti e minacce informatiche. Per rispondere alla maggiore esposizione dell’Europa alle minacce informatiche, la direttiva 2022/2555, nota anche come NIS2,
ha sostituito la precedente direttiva 2016/1148 o NIS1. La direttiva NIS2 innalza il livello comune di ambizione dell’UE in materia di cibersicurezza, attraverso un ambito di applicazione più ampio, norme più chiare e strumenti di vigilanza più solidi. Essa impone agli Stati membri di rafforzare le loro capacità in materia di cibersicurezza, introducendo nel contempo misure di gestione dei rischi e obblighi di segnalazione a soggetti di più settori e stabilendo norme per la cooperazione, la condivisione delle informazioni, la vigilanza e l’applicazione delle misure di cibersicurezza.
La direttiva impone a ciascuno Stato membro di adottare una strategia nazionale in materia di cibersicurezza, che comprenda politiche per la sicurezza della catena di approvvigionamento, la gestione delle vulnerabilità e l’educazione e la sensibilizzazione in materia di cibersicurezza. Gli Stati membri devono inoltre redigere e aggiornare regolarmente un elenco di operatori di servizi essenziali, garantendo che tali soggetti rispettino i requisiti della direttiva.
Oltre ai settori già contemplati dalla direttiva NIS 1, quali l’energia, i trasporti, l’assistenza sanitaria, la finanza, la gestione delle risorse idriche e le infrastrutture digitali, tali norme si applicano ai fornitori di servizi pubblici di comunicazione elettronica, a un maggior numero di servizi digitali quali le piattaforme sociali, la gestione delle acque reflue e dei rifiuti, la fabbricazione di prodotti critici, i servizi postali e di corriere, la pubblica amministrazione, sia a livello centrale che regionale o lo spazio. Di norma, i soggetti di medie e grandi dimensioni in questi settori critici dovranno adottare adeguate misure di gestione dei rischi di cibersicurezza e notificare gli incidenti significativi alle autorità nazionali competenti. Si tratta di incidenti che potrebbero causare interruzioni o danni significativi.
ATTENZIONE
Per coloro che non rientrano nei parametri obbligatori non è richiesta nessuna registrazione ma tra le FAQ presenti nel sito ACN, al punto 2.16 (https://www.acn.gov.it/portale/faq/nis) viene riportato quanto segue:
“Le organizzazioni che non soddisfano i criteri di cui all’articolo 3 non rientrano automaticamente nell’ambito di applicazione del decreto NIS per la sola fornitura di servizi a soggetti NIS (o comune soggetti ritenuti critici).
In linea generale, non è previsto un meccanismo di propagazione diretta dell’ambito di applicazione del decreto NIS dai soggetti NIS alla loro catena di approvvigionamento.
Tuttavia, i soggetti NIS, al fine di gestire il rischio informatico che deriva dalla propria catena di approvvigionamento, digitale o meno, dovranno imporre obblighi contrattuali ai propri fornitori.
Pertanto, le organizzazioni che fanno parte della catena di approvvigionamento di un soggetto NIS dovranno adempiere a degli obblighi contrattuali che derivano dall’applicazione del decreto NIS, ma non sono automaticamente soggetti NIS e non sono pertanto tenuti a rispettare le previsioni di cui al decreto NIS né soggetti alle attività di supervisione dell’Autorità nazionale competente NIS”
Quindi, pur non essendo obbligati ci si potrebbe trovare nella situazione di adeguarsi nel caso in cui un cliente (che rientra nei settori obbligati) ci richieda un adeguamento.
Pertanto, la registrazione al portale ACN risulta volontaria.
DI SEGUITO L’ELENCO DELLE CATEGORIE OBBLIGATE ALLA REGISTRAZIONE
