La Direttiva NIS2 in breve
Timeline & scadenze della Direttiva NIS2
- 27 Dicembre 2022: Pubblicazione della direttiva NIS2 nella Gazzetta Ufficiale dell’UE.
- 16 Gennaio 2023: Entrata in vigore della Direttiva NIS2.
- 17 Ottobre 2024: Termine ultimo per l’adeguamento.
- 18 Ottobre 2024: Abrogazione della precedente Direttiva NIS.
- Da Febbraio 2025: Comunicazione al CSIRT dei dati aziendali, degli indirizzi IP, ecc.
- 17 Aprile 2025: Termine ultimo per la definizione dell’elenco delle “entità essenziali” (o “ad alta criticità”) e “importanti” (o “altri settori critici”).
Per ulteriori informazioni...
Consulta il testo della normativa nel sito dell’UE:
INTRODUZIONE ALLA DIRETTIVA NIS2
La Direttiva NIS2, pubblicata il 14 dicembre 2022, è già in vigore e il termine ultimo di adeguamento è il 18 ottobre 2024: ciò significa che sarà obbligatorio per le organizzazioni e le aziende
interessate, negli Stati membri dell’UE, conformarsi ai nuovi requisiti entro questa scadenza.
L’obiettivo della Direttiva è quello di rafforzare il livello comune di cyber sicurezza nell’UE, aumentando i requisiti di Sicurezza Informatica per le aziende appartenenti a specifici settori
(definiti settori “critici” o “essenziali”) a partire da quelli già identificati e trattati nella (vecchia) Direttiva NIS.
Il titolo completo della Direttiva è: “DIRETTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148”. L’acronimo NIS sta per “Network and Information Systems” (o ‘Direttiva sulle Reti e sui Sistemi Informativi’), mentre il numero 2 indica l’aggiornamento della precedente Direttiva europea sulla Sicurezza Informatica (Direttiva NIS).
In sintesi, la Direttiva NIS2 chiama le organizzazioni appartenenti a determinati settori di attività ad osservare, pena pesanti sanzioni, un livello di sicurezza elevato, in quanto eventuali incidenti informatici possono avere conseguenze che vanno oltre il semplice fermo delle attività.
COSA C’È DI NUOVO RISPETTO ALLA DIRETTIVA NIS (Direttiva 2016/1148)?
La NIS2 non solo amplia la gamma di settori che devono adeguarsi, ma introduce anche temi nuovi come precise scadenze per la segnalazione degli incidenti, una maggiore attenzione alla catena dei fornitori, una precisa responsabilità del Top Management e naturalmente... sanzioni più severe in caso di mancato adeguamento.
VI SONO DIFFERENZE TRA LE DIRETTIVE GDPR E NIS2?
La Direttiva NIS2 è per la Cybersecurity europea ciò che il GDPR è per la protezione dei dati personali in Europa: entrambe si concentrano sulla protezione dei dati, mentre le diversità riguardano i soggetti interessati, le misure da adottare, la pubblicità degli incidenti informatici e i livelli di responsabilità aziendale.
I DOCUMENTI UFFICIALI DELL’UE
È possibile consultare qui la Direttiva NIS2 in una delle lingue disponibili (formato PDF):
Per ulteriori informazioni su settori e sotto-settori, si possono scaricare gli Allegati 1 e 2, in Italiano e in Inglese (formato PDF).
- Allegato 1, Allegato 2 (IT)
- Allegato 1, Allegato 2 (EN)