Direttiva NIS-2 per contrastare i cyberattacchi

La Direttiva NIS2 è entrata in vigore il 17 gennaio 2023 e gli Stati membri dell’Unione Europea hanno tempo fino al 17 ottobre 2024 per recepirla nel loro ordinamento nazionale. Ha l’obiettivo di modernizzare il quadro giuridico esistente per tenere il passo con una maggiore digitalizzazione e un panorama in evoluzione delle minacce alla cibersicurezza.

Estendendo l’ambito di applicazione delle norme in materia di cibersicurezza a nuovi settori e entità, migliora ulteriormente la resilienza e le capacità di risposta agli incidenti degli enti pubblici e privati, delle autorità competenti e dell’UE nel suo complesso.

I settori coinvolti nell’applicazione della Direttiva NIS2 comprendono:

-Energia

• Inclusi l’energia elettrica, il gas e il petrolio, questo settore copre la produzione, il trasporto e la distribuzione di energia, riconoscendo l’importanza vitale delle infrastrutture energetiche.

-Trasporti

• Questo settore include il trasporto aereo, marittimo, ferroviario e stradale, evidenziando l’importanza della mobilità e del trasporto di persone e merci per l’economia.

-Acqua

• Riguarda la fornitura e la distribuzione di acqua potabile, sottolineando il ruolo critico delle infrastrutture idriche per la salute pubblica e la sicurezza.

-Infrastrutture bancarie e dei mercati finanziari

• Questo settore comprende le banche e le infrastrutture di mercato finanziario, riconoscendo l’importanza della stabilità finanziaria e dei servizi finanziari per l’economia.

-Salute

• Include il settore sanitario, evidenziando il ruolo critico delle infrastrutture mediche e della fornitura di cure mediche.

-Infrastrutture digitali

• Questo settore copre i servizi essenziali di Internet, come i fornitori di servizi di DNS (Domain Name System), i servizi di cloud computing e i centri di dati.

-Fornitura e distribuzione di acqua

• Oltre alla fornitura di acqua potabile, questo ambito si estende alle infrastrutture critiche per la gestione delle risorse idriche.

-Servizi pubblici e amministrazione digitale

• Inclusi i servizi governativi e pubblici essenziali che dipendono dalle tecnologie dell’informazione e della comunicazione per il loro funzionamento.

-Spazio

• Un settore aggiunto che copre le attività legate all’esplorazione e all’utilizzo dello spazio.

-Settore alimentare

• Anche il settore della produzione, della trasformazione e della distribuzione di alimenti è considerato critico per la sicurezza e il benessere della popolazione.

-Produzione e distribuzione di prodotti chimici

• Questo settore si riferisce alla produzione e alla gestione di sostanze chimiche, riconoscendone l’importanza per l’industria e la sicurezza.

-Rifiuti

• Include la gestione e il trattamento dei rifiuti, evidenziando l’importanza della sostenibilità e della protezione ambientale.

-Servizi postali e di corriere

• Riconosce il ruolo essenziale della distribuzione e della logistica nella società moderna.

Questi settori sono considerati critici perché la loro interruzione, a causa di incidenti di cibersicurezza, potrebbe avere gravi ripercussioni sulla sicurezza economica, societaria, sanitaria, o sulla sicurezza pubblica dell’Unione Europea. La Direttiva NIS2 mira a rafforzare la resilienza e la capacità di risposta a tali incidenti per tutelare la società e l’economia europee.

La Direttiva NIS2 estende anche le sue disposizioni alla filiera di fornitura di questi comparti. Questo significa che le imprese che forniscono servizi o prodotti essenziali agli operatori di servizi essenziali (OSE) o agli enti importanti nei settori critici sono anch’esse soggette ai requisiti di sicurezza e di segnalazione degli incidenti stabiliti dalla direttiva.

L’obiettivo è di garantire un elevato livello di sicurezza informatica lungo tutta la catena di approvvigionamento, riconoscendo che una vulnerabilità in un fornitore può avere ripercussioni sulla sicurezza degli operatori dei servizi essenziali e, di conseguenza, sulla sicurezza e il benessere pubblici.

Ciò richiede che non solo gli operatori diretti ma anche i loro fornitori adottino misure adeguate per gestire i rischi di cibersicurezza, migliorare la resilienza e assicurare la capacità di rispondere efficacemente agli incidenti di sicurezza.

E’ quindi assai probabile che gli operatori di servizi essenziali richiederanno ai loro fornitori di dimostrare la conformità con la Direttiva NIS2 come condizione per la collaborazione o l’appalto, aumentando l’importanza per le aziende di tutto l’ecosistema di adeguarsi a tali standard per mantenere e sviluppare le proprie attività commerciali.