La direttiva NIS2 nasce nel 2023 per sostituire la precedente versione NISD ed entrambe sono volte alla gestione della sicurezza informatica delle aziende a livello europeo.

Cos’è la direttiva NIS2?

La direttiva NIS2 è una normativa europea riguardante la cybersecurity. Comprende una serie di imprese e settori che, stante il rischio informatico intrinseco, devono adottare specifici accorgimenti per limitare la possibilità che avvengano incidenti informatici. E’ entrata in vigore il 16 gennaio 2023 ed entro il 17 ottobre 2024, gli stati europei dovranno definire quelle che sono le misure a cui le varie realtà coinvolte dovranno attenersi.

Stante la rapidità di evoluzione delle tematiche coinvolte, è già stato stabilito il termine della nuova revisione della direttiva NIS2: il 17 ottobre 2027.

A chi si applica la direttiva NIS2?

La norma si applica a soggetti pubblici o privati che rientrano negli allegati I e II della Direttiva e che abbiano meno di 250 dipendenti, ma più di 10 milioni di fatturato oppure abbiano più di 250 dipendenti o più di 50 milioni di fatturato. Si applica anche ai soggetti presenti nell’art 2 della direttiva stessa.

Differenze tra NIS2 e NISD

La versione 2 della direttiva europea nasce con l’idea di fornire una normativa più rigorosa che possa garantire anche maggior uniformità nell’attuazione tra gli stati membri. Questo a causa di due situazioni che si sono registrate:

  1. Il 35% degli intervistati che ha applicato la NISD, ha dichiarato di averla mal compresa e tra i vari stati membri sono state evidenziate incoerenze nella sua modalità applicativa
  2. L’Europa risulta molto in ritardo rispetto agli USA dove gli investimenti informatici sono nettamente superiori. Il risultato è che nel vecchio continenti i dati degli attacchi sono in aumento.

In aggiunta viene coinvolto il settore manifatturiero che in passato non era compreso tra gli ambiti che dovranno sottostare alla normativa (es: prodotti farmaceutici, dispositivi medici e sostanze chimiche).

Le sanzioni pecuniarie

Le sanzioni pecuniarie legate alla normativa NIS2 saranno piuttosto importanti e ricalcano un po’ l’impostazione dell’impianto sanzionatorio del GDPR:

  • Per i soggetti essenziali sono previste multe da un massimo di 10 milioni di € oppure il 2% del fatturato
  • Per i soggetti importanti sono previste invece multe da almeno 7.000.000€ o un massimo dell’1,4% del fatturato

Ma chi sono i soggetti essenziali e i soggetti importanti?

I soggetti essenziali ed importanti della direttiva NIS2

Per “soggetti essenziali”, la normativa europea intende tutte le realtà inserite nell’allegato I e nell’art. 3.1. Per “soggetti importanti” intende invece tutti coloro che compaiono nell’allegato II e nell’art. 3.2.

Alcuni esempi: tra i soggetti essenziali rientrano i fornitori di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico e i soggetti della pubblica amministrazione. Per quanto riguarda invece i soggetti importanti saranno meglio identificati dai singoli stati membri entro la scadenza del 17 aprile 2025.