L’Unione Europea ha adottato formalmente la direttiva NIS2, il successore della direttiva NIS, alla fine del 2022. NIS2 è entrata in vigore nel gennaio 2023 e tutti gli stati dell’UE hanno ora 21 mesi per emanare la legalizzazione nazionale. Sono tenuti a stabilire le regole, gli standard di orientamento e i regimi di supervisione necessari per migliorare la resilienza informatica e le capacità di risposta agli incidenti delle organizzazioni del settore pubblico e privato in tutta l’UE. Ci sono una serie di differenze tra il NIS originale e quest’ultimo NIS2. Si percepisce un nuovo senso di urgenza causato dai crescenti attacchi informatici, da più casi di interruzione del ransomware e dall’aumento dell’imprevedibilità della geopolitica in tutto il mondo. In primo luogo, la definizione di infrastruttura critica – tradizionalmente ciò significava elettricità, acqua, gas, trasporti, telecomunicazioni, nucleare, aeroporti/porti, assistenza sanitaria ecc. e NIS includeva anche fornitori chiave di servizi IT.

Alla luce della NIS2, come in molte altre giurisdizioni in cui la definizione di infrastruttura critica è stata ampliata, il numero di aziende che potrebbero essere interessate da un’interruzione causata da attacchi informatici è diventato più ampio. I fornitori di servizi digitali sono ora classificati come “entità essenziali” ai sensi della NIS2 e soggetti ai requisiti più severi, in virtù del ruolo fondamentale che svolgono in un numero crescente di imprese che sono fondamentali per l’operazione dell’economia, inclusi, ad esempio, il cloud computing, le telecomunicazioni, i servizi gestiti e le piattaforme di trading.

In sintesi, per definizione, la gamma di disposizioni in materia di sicurezza informatica nelle NIS2 è, in alcuni punti, alquanto vaga e suscettibile di interpretazione. Le leggi nazionali a sostegno della direttiva devono essere emanate entro ottobre 2024 e forniranno ulteriori dettagli. Le autorità nazionali di regolamentazione del settore svolgeranno un ruolo nella definizione di ciò che è appropriato per le imprese che operano in ciascuna delle aree di servizio. Sembra che il successo del regime sanzionatorio relativo al GDPR si rifletterà in NIS2 con le sanzioni strutturate per fornire un maggiore incentivo alle imprese a rispettare i requisiti.

Quando si parla di una “infrastruttura critica” ci si connette inevitabilmente all’idea di energia, acqua e trasporti: i giganti dell’industria che forniscono servizi critici a un’economia e ai suoi cittadini. Tuttavia, le piccole imprese (in termini di locali, numero di dipendenti o fatturato) possono influire anche su una serie di servizi ai cittadini. Pertanto, la direttiva si applica ora alle imprese con più di 50 dipendenti e con un fatturato superiore a 10 milioni di euro. Inoltre, la NIS2 si applica unicamente agli Stati membri dell’Unione europea, anche se è probabile che le società che operano nell’UE si trovino coinvolte negli obblighi presenti all’interno del testo. Altrettanto importante, i nuovi regolamenti si allineano molto strettamente a disposizioni simili attualmente in vigore in molte altre giurisdizioni:

• In Australia le crescenti tensioni geopolitiche e un record insoddisfacente di resilienza informatica nel settore hanno spinto nel 2022 a introdurre una nuova legislazione per garantire la protezione delle infrastrutture critiche.

• Nel Regno Unito, ora al di fuori dell’UE, sono in fase di revisione le normative generate dalla direttiva originale NIS dell’UE.

• Negli Stati Uniti l’ordine esecutivo del maggio 2022 è stato ancora più specifico sulla necessità per l’industria di migliorare la propria sicurezza informatica e proteggere meglio questo settore dei servizi vitali.

Visualizzazioni: 38