Direttiva NIS 2: aziende coinvolte, obiettivi e impatti sul mercato

07 gennaio 2025Ultimo aggiornamento 08 gennaio 2025
Barbara Sabellico
di Barbara Sabellico
Tempo di lettura stimato: 6'

La direttiva NIS 2 (Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell'Unione) è entrata in vigore il 17 gennaio 2023. Il 17 ottobre 2024 è era il termine entro cui gli Stati membri dell’Unione europea avrebbero dovuto recepirla. L’Italia l’ha fatto con il decreto legislativo n. 138 del 4 settembre 2024, entrato in vigore il successivo 16 ottobre. Parliamo quindi di una norma che è già effettiva all’interno dell’UE e che ha l’obiettivo di rafforzare la sicurezza informatica in tutti i settori che si basano prevalentemente sulla tecnologia dell’informazione e della comunicazione, ampliando il parterre degli enti coinvolti. 

Ma da dove siamo partiti? 

Dalla NIS alla NIS 2: cosa è cambiato e cosa aspettarsi? 

Oggi parliamo di NIS 2 e non della prima NIS, perché le indicazioni che portava la prima norma non sono frutto dei tempi che stiamo vivendo. Tra le due, infatti, è cambiato il contesto:

  • L’UE si è resa conto che, rispetto agli Stati Uniti, gli investimenti per le infrastrutture informatiche sono stati inferiori di circa il 40%
  • C’è stata un'impennata altissima di attacchi informatici in Europa

Quindi l’orientamento del nostro governo e di quello europeo è stato dare indicazioni più dettagliate di ciò che deve essere fatto sulle strutture informatiche, in determinati settori definiti strategici, proprio perché garantiscono la vita pubblica. 

Come è accaduto con il GDPR, anche nella NIS 2 l'indicazione è dare una mappatura generale a tutti gli Stati membri per avere un livello di adeguatezza e sicurezza livellata. Si tratta di una normativa fluida, perché ciò che stabiliremo quest'anno probabilmente non sarà ciò che stabiliremo fra 4 o 5 anni. Inoltre, il parterre di operatori investiti da questa normativa sarà sempre più ampio: gli operatori tecnici e informatici dovranno lavorare a stretto contatto con i legali, perché la norma va attenzionata soprattutto per quel che riguarda le catene dei fornitori all'interno delle aziende. 

A differenza del GDPR, nella NIS 2 viene lasciata meno autonomia sulle scelte a quelli che io definisco titolari del trattamento. Scelte che sono molto circoscritte, proprio perché questa è la prima norma in cui la mano pubblica è abbastanza importante. L'Unione Europea diventa come il pater familia del diritto romano che dice: "Va bene, agisci come ritieni più opportuno. Però sappi che le regole di base minime che devono essere rispettate sono queste." 

È importante mettersi nelle condizioni di dimostrare la propria compliance

Rientrerà in gioco tutto il mondo della certificazione che, lato GDPR, è volontaria, non obbligatoria. Nel caso della NIS 2 non ci sono vere e proprie cogenze lato certificazione, ma tutta la norma viaggia in una direzione: “Qualsiasi cosa fai, mettiti nelle condizioni di certificare le procedure in modo da poter dimostrare, anche nel caso di incidente informatico, che tu hai messo in atto una procedura - che poi regga o non regga si vedrà dopo –, l’importante è che esista.”

Il punto, quindi, non è tanto di farsi trovare pronti, ma di crearsi una struttura con procedure da applicare, per mettersi in condizioni tali da potersi definire compliant.

Ma quali aziende vengono toccate dalla norma?
Tra la prima NIS e la NIS 2 c’è stata un’evoluzione.

Nella NIS il potere discrezionale era abbastanza ampio. Gli Stati membri potevano decidere individualmente quali operatori e aziende fossero da considerare essenziali. Nella NIS 2, invece, si comincia a ragionare su regole di dimensionamento e a dare un primo filtro di applicazione, proprio rispetto alla dimensione aziendale.

Il dimensionamento va di pari passo con quelli che vengono definiti i settori essenziali e importanti.

Quali sono i settori essenziali secondo la NIS 2

Nel definire i settori essenziali, la NIS 2 prende in considerazione aziende di una certa tipologia - che in Italia non sono molto numerose - cioè, quelle che hanno:

  • un minimo di 250 dipendenti
  • un fatturato che non sia inferiore a 50 milioni di euro o un bilancio annuo di almeno 43 milioni di euro

E che operano in uno di questi settori critici:

  • energia elettrica (teleriscaldamento, petrolio, gas, idrogeno)
  • trasporti (aereo, ferroviario, per vie d'acqua, su strada)
  • bancario
  • infrastrutture dei mercati finanziari
  • sanitario (prestatori di assistenza, laboratori, ricerca e sviluppo, case farmaceutiche, produttori di dispositivi medici critici)
  • acqua potabile
  • acque reflue
  • infrastrutture digitali (fornitori di punti di interscambio Internet, di servizi di DNS, di cloud computing, di data center, di servizi fiduciari, di registri dei nomi di dominio di primo livello TLD, di content delivery network, di reti pubbliche di comunicazione, di servizi di comunicazione elettronica accessibili al pubblico)
  • gestione dei servizi ICT business-to-business

Quindi tutto ciò che è bene essenziale

Quali sono i settori importanti secondo la NIS 2

Rientrano nei settori importanti le aziende di dimensioni più piccole, che hanno almeno 50 dipendenti, con un fatturato annuo di almeno 10 milioni di euro o un bilancio annuo di almeno 10 milioni di euro e che operano in uno di questi settori critici:

  • servizi postali e di corriere
  • gestione dei rifiuti
  • fabbricazione, produzione e distribuzione di sostanze chimiche
  • produzione, trasformazione e distribuzione di alimenti
  • fabbricazione (dispositivi medici e diagnostici, computer, prodotti di elettronica e ottica, apparecchiature elettriche, autoveicoli, rimorchi, semirimorchi e altri mezzi di trasporto)
  • fornitori di servizi digitali (e-commerce, motori di ricerca, social network)
  • ricerca

Una norma che investe anche tutta la supply chain

A una prima occhiata, sembrerebbe che dalla NIS 2 siano escluse le aziende più piccole, tranne quelle la cui attività è considerata di importanza critica per la società. In realtà, l'impatto che la norma avrà sul mercato e quindi sul business, sarà importante. Perché chi è fornitore di aziende che rientrano nelle disposizioni della NIS 2, bene o male verrà colpito e dovrà mettersi nelle condizioni di potersi definire compliant.

Le aziende della filiera saranno costrette a soddisfare requisiti più severi, ad adottare misure di vigilanza più rigide e a sottostare a precisi obblighi di comunicazione, perché la NIS 2 non considera essenziale o importante la singola organizzazione o il singolo fornitore di servizio, ma anche tutta la sua supply chain. Quindi, per esempio, un’azienda informatica che fornisce apparecchiature o software a un cliente, che li usa per l’erogazione di un servizio essenziale e importante, entra automaticamente negli scopi della legge.

Il ruolo degli Stati membri nella NIS 2 e il nuovo organo di gestione aziendale

Quale sarà il ruolo degli Stati membri dell’UE? Gli Stati membri ci daranno un elenco, che verrà sistematicamente aggiornato ogni due anni, per tenere conto anche di eventuali attività oggi non contemplate dalla norma. Il ruolo degli Stati membri sarà quello del cosiddetto pater familia. Dovranno rendere proattivi i titolari del trattamento e assicurarsi che tutte le società coinvolte abbiano all'interno una nuova figura - che può coincidere col legale rappresentante, oppure addirittura un organo ad hoc - in grado di verificare le scelte procedurali e le misure che le aziende coinvolte adotteranno per essere al riparo, o tentare di essere al riparo, dai cyberattacchi.

Cosa farà l’organo di gestione aziendale? Dovrà avere competenze trasversali, perché dovrà essere in grado di validare formalmente le misure di gestione di eventuali rischi legati alla cybersecurity. È un incarico, questo, che necessiterà di un controllo sistematico: l’organo dovrà verificare, rispetto anche allo stato dell'arte di ciò che fa il titolare del trattamento, se le misure sono adatte oppure obsolete. Dovrà stabilire, a partire da questa verifica, se intervenire ulteriormente modificando o eliminando alcune scelte.

Quindi, torna in auge la formazione. Perché ancora oggi, lo vediamo nel campo del GDPR, spesso lo stesso data breach che ha portato al cyberattacco all'interno dell'azienda è legato alla mancanza di formazione degli addetti o comunque a negligenza degli addetti. Quindi sicuramente il personale in qualche maniera coinvolto da questa direttiva dovrà essere adeguatamente formato e adeguatamente aggiornato.

A proposito di formazione, questo è solo un assaggio!
Perché l’articolo è tratto dal corso tenuto dall’Avvocato Barbara Sabellico su Raise Academy: NIS 2: un mondo immaginario?

Quali obblighi sono previsti dalla norma? 

Quali sono le sanzioni e come gestire gli incidenti? 

Per saperlo, hai due possibilità: 

1 – Iscriverti a Raise Academy, se ancora non lo hai fatto e seguire subito la FAD dell’Avvocato Sabellico

2 – Aspettare il prossimo articolo che pubblicheremo sul blog di PrivacyLab

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Avvocato, DPO, Esperta di Privacy

Articoli correlati

Se hai trovato questo articolo interessante puoi dare un'occhiata a:

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy