La Direttiva NIS si aggiorna ed evolve
La Direttiva NIS (Direttiva 2016/1148 sulla sicurezza delle reti e dei sistemi informativi), è stata recepita nell’ordinamento Italiano attraverso il decreto legislativo 18 maggio 2018, n.65 (anche detto “decreto legislativo NIS”), in vigore dal 24 giugno 2018.
Gestione dei rischi cybersicurezza
Tale direttiva, è stata indirizzata sia ai cosiddetti operatori di servizi essenziali i.e., società, pubbliche o private, che forniscono servizi essenziali per la società e l’economia nei settori dell’energia, dei trasporti, bancario, infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile, delle infrastrutture digitali e del campo sanitario) che ai fornitori di servizi digitali i.e., le società che forniscono servizi di e-commerce, cloud computing o motori di ricerca – a condizione che tali società abbiamo non meno di 50 dipendenti e un fatturato annuo superiore ai 10 milioni di euro.
Essa ha richiesto a tali Soggetti, di adottare misure tecniche e organizzative adeguate e proporzionate rispetto alla gestione dei rischi cybersicurezza, nonché a prevenire e minimizzare l’impatto di eventuali violazioni.
Tuttavia, a partire dal 2019, la stessa Commissione Europea, nonostante la norma originale non risultasse ancora esaustivamente recepita da parte di tutti gli Stati Membri, ha ritenuto opportuno lavorare su di una sua evoluzione ed estensione, al fine di accelerarne l’adozione e meglio rispondere alla sempre più consistente proliferazione delle minacce digitali.
La nuova versione della Direttiva estende l'obbligo di misure di cybersicurezza
È stata quindi elaborata e presentata una nuova versione delle direttive (NIS-2) la cui prima bozza è stata adottata dalla Commissione Industria, Ricerca ed Energia del Parlamento Europeo a fine ottobre 2021.
Benché i passi per l’approvazione definitiva siano ancora molti, l’attuale documento fornisce già un quadro preciso di come la Direttiva andrà a cambiare, estendendo l’ambito di obbligatorietà ed applicabilità della normativa ed imponendo di fatto ad ogni Operatore, pubblico o privato, l’implementazione di misure minime di sicurezza digitale, nonché una congrua e formale valutazione del rischio informatico.
È pertanto consigliato a ciascuna Impresa, in particolare coloro che intendono operare nel settore pubblico e/o a livello internazionale, di procedere quanto prima ad un attento esame delle linee guida e relativi prerequisiti previsti dalle nuove disposizioni, sia in termini tecnologici che organizzativi, nonché la redazione di un piano attuativo, poiché, in funzione del settore operativo, complessità dell’Organizzazione, numero di “endpoints” da presidiare, ecc., gli interventi richiesti potrebbero risultare molteplici, ed alcuni tra essi richiedere investimenti significativi.