La revisione della Direttiva NIS proposta dalla Commissione europea prevede nuovi obblighi onerosi di cybersicurezza per tutte le medie e grandi imprese.
La Commissione europea ha presentato una serie di misure in materia di cybersicurezza, tra le quali anche la proposta di revisione della Direttiva 2016/1148 recante misure per un livello comune di sicurezza delle reti e dei sistemi informativi nell’Unione (la c.d. “Direttiva NIS”), per far fronte alla crescente digitalizzazione connessa in particolare alla situazione di emergenza sanitaria derivante dalla pandemia da Covid-19. Infatti, nonostante siano trascorsi appena due anni dalla scadenza del termine per il recepimento della Direttiva NIS e gli importanti risultati raggiunti durante questo periodo in materia di sicurezza informatica da parte degli Stati Membri, la Commissione europea ha ravvisato l’esigenza di aggiornare le misure esistenti al fine di affrontare le carenze dell’attuale Direttiva NIS e rendere le sue disposizioni adeguate e funzionali all’epoca attuale.
La proposta di direttiva in materia di cybersicurezza introduce alcune novità rispetto all’assetto normativo precedente. Innanzitutto, la Direttiva NIS 2 prevede un ambito di applicazione più ampio tramite il superamento della distinzione tra operatori di servizi essenziali e fornitori di servizi digitali. A tal proposito, e al fine di eliminare le differenze createsi tra i vari Stati Membri nell’implementazione della Direttiva NIS, la proposta prevede che tutte le medie e grandi imprese che operino nei settori coperti dovranno adempiere agli obblighi della Direttiva NIS 2, rimanendo escluse le micro e piccole, salvo che presentino profili di rischio elevato. Al fine di determinare il regime sanzionatorio e di vigilanza applicabile, i soggetti coperti verranno altresì distinti in operatori essenziali e operatori importanti. La proposta normativa si applicherà inoltre a coloro che operano in alcuni settori specifici, tra cui i servizi postali, di gestione dei rifiuti, di produzione e distribuzione di prodotti chimici, di produzione e distribuzione di prodotti alimentari e di produzione di dispositivi medici ed apparecchiature elettroniche.
Gli operatori soggetti alla Direttiva NIS II dovranno adottare misure tecniche ed organizzative adeguate e proporzionate per la gestione delle minacce poste alla sicurezza delle reti e dei sistemi informatici e per minimizzare l’impatto di eventuali incidenti. Vengono individuate alcune misure di sicurezza minime che dovranno essere implementate dagli operatori tra le quali l’adozione di sistemi di controlli sulla sicurezza informatica dei fornitori e l’utilizzo della crittografia. La proposta introduce anche disposizioni più dettagliate con riferimento alla procedura di segnalazione degli incidenti che dovranno essere notificati alle autorità competenti entro 24 ore dal momento in cui l’operatore coinvolto sia venuto a conoscenza dell’avvenuto incidente.
Infine, la Direttiva NIS II prevede un nuovo regime sanzionatorio in caso di violazione delle misure di gestione del rischio e degli obblighi di notifica riducendo la discrezionalità degli Stati Membri in materia e prevedendo sanzioni che potranno ammontare fino a 10 milioni di Euro o al 2% del fatturato totale mondiale annuo del soggetto interessato.
Da quanto sopra indicato emerge che la revisione della Direttiva NIS avrebbe una portata e un impatto decisamente maggiore dell’attuale direttiva, il che obbliga gran parte delle aziende a seguire con attenzione gli sviluppi della questione.
Su un simile argomento, può essere interessante l’articolo “La creazione del perimetro di sicurezza nazionale cibernetica è ora più vicino”.