26 Marzo, 2024
La Direttiva NIS2 è entrata in vigore il 17 gennaio 2023 e gli Stati membri dell’Unione Europea hanno tempo fino al 17 ottobre 2024 per recepirla nel loro ordinamento nazionale. Ha l’obiettivo di modernizzare il quadro giuridico esistente per tenere il passo con una maggiore digitalizzazione e un panorama in evoluzione delle minacce alla cibersicurezza.
Estendendo l’ambito di applicazione delle norme in materia di cibersicurezza a nuovi settori e entità, migliora ulteriormente la resilienza e le capacità di risposta agli incidenti degli enti pubblici e privati, delle autorità competenti e dell’UE nel suo complesso.
I settori coinvolti nell’applicazione della Direttiva NIS2 comprendono:
-Energia
-Trasporti
-Acqua
-Infrastrutture bancarie e dei mercati finanziari
-Salute
-Infrastrutture digitali
-Fornitura e distribuzione di acqua
-Servizi pubblici e amministrazione digitale
-Spazio
-Settore alimentare
-Produzione e distribuzione di prodotti chimici
-Rifiuti
-Servizi postali e di corriere
Questi settori sono considerati critici perché la loro interruzione, a causa di incidenti di cibersicurezza, potrebbe avere gravi ripercussioni sulla sicurezza economica, societaria, sanitaria, o sulla sicurezza pubblica dell’Unione Europea. La Direttiva NIS2 mira a rafforzare la resilienza e la capacità di risposta a tali incidenti per tutelare la società e l’economia europee.
La Direttiva NIS2 estende anche le sue disposizioni alla filiera di fornitura di questi comparti. Questo significa che le imprese che forniscono servizi o prodotti essenziali agli operatori di servizi essenziali (OSE) o agli enti importanti nei settori critici sono anch’esse soggette ai requisiti di sicurezza e di segnalazione degli incidenti stabiliti dalla direttiva.
L’obiettivo è di garantire un elevato livello di sicurezza informatica lungo tutta la catena di approvvigionamento, riconoscendo che una vulnerabilità in un fornitore può avere ripercussioni sulla sicurezza degli operatori dei servizi essenziali e, di conseguenza, sulla sicurezza e il benessere pubblici.
Ciò richiede che non solo gli operatori diretti ma anche i loro fornitori adottino misure adeguate per gestire i rischi di cibersicurezza, migliorare la resilienza e assicurare la capacità di rispondere efficacemente agli incidenti di sicurezza.
E’ quindi assai probabile che gli operatori di servizi essenziali richiederanno ai loro fornitori di dimostrare la conformità con la Direttiva NIS2 come condizione per la collaborazione o l’appalto, aumentando l’importanza per le aziende di tutto l’ecosistema di adeguarsi a tali standard per mantenere e sviluppare le proprie attività commerciali.