INFORMATION TECHNOLOGY
Governo italiano approvato il .d.lgs. che recepisce la Direttiva 2022/2555 (NIS 2) relativa a misure per un livello comune elevato di cybersicurezza nell'Unione.
La direttiva NIS2 è la legislazione dell'UE in materia di cibersicurezza. Esso prevede misure giuridiche per rafforzare il livello generale di cibersicurezza nell'UE. Rispetto alla precedente direttiva del 2016 (NIS 1) ha modernizzato il quadro giuridico esistente per tenere il passo con una maggiore digitalizzazione e un panorama in evoluzione delle minacce alla cibersicurezza, estendendo l'ambito di applicazione delle norme in materia di cibersicurezza a nuovi settori e entità e migliorando ulteriormente la resilienza e le capacità di risposta agli incidenti degli enti pubblici e privati, delle autorità competenti e dell'UE nel suo complesso.
La Direttiva NIS 2 introduce una rinnovata cultura della sicurezza in tutti i settori che sono vitali per l’economia e la società europea e che dipendono fortemente dalle Tecnologie dell’Informazione e Comunicazione (TIC), come l'energia, i trasporti, l'acqua, le infrastrutture bancarie e dei mercati finanziari (si ricordi che la NIS 2 non si applica ai soggetti bancari, finanziari e assicurativi tenuti al rispetto del Regolamento DORA 2022/2554 sulla resilienza operativa digitale, vera e propria lex specialis del settore), l'assistenza sanitaria e le infrastrutture digitali (i fornitori TIC sono anche soggetti al Regolamento DORA citato).
Il decreto legislativo italiano interviene introducendo le seguenti principali novità (il termine posto agli Stati Membri per il recepimento è il 17 ottobre 2024):
La Direttiva NIS 2 introduce una rinnovata cultura della sicurezza in tutti i settori che sono vitali per l’economia e la società europea e che dipendono fortemente dalle Tecnologie dell’Informazione e Comunicazione (TIC), come l'energia, i trasporti, l'acqua, le infrastrutture bancarie e dei mercati finanziari (si ricordi che la NIS 2 non si applica ai soggetti bancari, finanziari e assicurativi tenuti al rispetto del Regolamento DORA 2022/2554 sulla resilienza operativa digitale, vera e propria lex specialis del settore), l'assistenza sanitaria e le infrastrutture digitali (i fornitori TIC sono anche soggetti al Regolamento DORA citato).
Il decreto legislativo italiano interviene introducendo le seguenti principali novità (il termine posto agli Stati Membri per il recepimento è il 17 ottobre 2024):
- l'ampliamento dell'ambito soggettivo di applicazione della disciplina;
- la distinzione tra “soggetti essenziali” e “soggetti importanti” e l'adozione di un criterio dimensionale per la loro individuazione (per superare i gravi limiti soggettivi nella individuazione dei soggetti tenuti, visto che la NIS 1 lasciava liberi gli Stati Membri di individuare criteri nazionali, determinandosi una frammentazione delle regole);
- la razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria;
- l'adozione di un approccio “multirischio”;
- la regolamentazione della divulgazione coordinata delle vulnerabilità (CVD) e le specifiche funzioni di coordinamento attribuite agli CSIRT nazionali;
- l'implementazione delle misure di cooperazione, al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di cybersicurezza su vasta scala.
