FAQ NIS 2
Abbiamo raccolto in questa pagina le FAQ sulla Direttiva NIS 2 (“Directive on measures for a high common level of cybersecurity across the Union”).
Le FAQ sono state pubblicate sul sito https://digital-strategy.ec.europa.eu/ per fornire alcune risposte alle domande più comuni riguardanti la nuova direttiva.
La nuova NIS mira ad aggiornare e rafforzare il quadro normativo per la cybersicurezza in risposta all’evoluzione delle minacce cyber e all’aumento della dipendenza da parte della società dalle tecnologie digitali.
Gli elementi chiave della Direttiva NIS 2 sono:
- l’ampliamento della portata a più settori che hanno obblighi di sicurezza e di segnalazione
- l’incentivazione della cooperazione tra gli Stati Membri
- la volontà di dare delle linee guida comuni agli Stati Membri
La Direttiva NIS 2 ha seguito il processo legislativo europeo che include la revisione e l’approvazione sia dal Parlamento Europeo che dal Consiglio dell’Unione Europea.
La NIS 2 è stata adottata formalmente dall’Unione Europea il 10 novembre 2022.
Gli Stati membri dell’Unione devono recepire la nuova Direttiva nelle loro legislazioni nazionali entro il 17 ottobre 2024.
Questo significa che ogni Stato deve adattare le leggi nazionali, i regolamenti e le procedure per conformarsi ai requisiti della nuova direttiva entro tale data, per assicurare un rafforzamento coerente della sicurezza digitale in tutta la UE.
La Direttiva NIS2 è strettamente collegata con la Direttiva sulla Resilienza delle Entità Critiche (CER) e il Regolamento per la Resilienza Operativa Digitale per il settore finanziario (DORA). La NIS2 e la CER sono state allineate per garantire una resilienza completa delle entità critiche. Le entità critiche devono conformarsi agli obblighi di cybersecurity della NIS2. Le autorità competenti devono cooperare regolarmente e scambiare informazioni su rischi e incidenti. Nel settore finanziario, la NIS2 copre istituzioni creditizie e DORA si applica alla gestione del rischio di cybersecurity. È essenziale un forte scambio di informazioni tra il settore finanziario e altri settori.
Per maggiori informazioni puoi leggere questo articolo “Normative europee collegate alla NIS 2”
Fonti normative ufficiali:
La cooperazione nell’UE viene promossa permettendo agli Stati membri di agire congiuntamente per affrontare i rischi di sicurezza emergenti posti dalla trasformazione digitale in corso.
In particolare, gli Stati membri potranno supervisionare congiuntamente l’applicazione delle normative UE e assistersi reciprocamente in caso di pratiche scorrette transfrontaliere, dialogare strutturatamente con il settore privato e coordinare la divulgazione delle vulnerabilità nei software e hardware venduti nel mercato interno. Inoltre, lavoreranno insieme per valutare i rischi e le minacce legate alle nuove tecnologie, come fatto per il 5G.
Gli Stati membri si avvarranno della cooperazione UE per migliorare le capacità nazionali tramite scambi di personale e revisioni tra pari. I gruppi esistenti, come il Gruppo di Cooperazione che riunisce le autorità nazionali di cybersecurity e la Rete dei Team di Risposta agli Incidenti di Sicurezza Informatica (CSIRTs), contribuiranno a promuovere la cooperazione a livello strategico e tecnico.
Come regola generale, le entità essenziali e importanti sono considerate sotto la giurisdizione dello Stato membro in cui sono stabilite. Se l’entità è stabilita in più di uno Stato membro, essa ricade sotto la giurisdizione di ciascuno di questi Stati membri. Le autorità competenti di ciascuno Stato membro devono cooperare, assistersi reciprocamente e, se opportuno, svolgere azioni di supervisione congiunte. Ci sono diverse eccezioni a questa regola:
- I fornitori di reti di comunicazione elettronica pubbliche o servizi di comunicazione elettronica pubblicamente disponibili ricadono sotto la giurisdizione dello Stato membro in cui forniscono i loro servizi.
- Le entità della pubblica amministrazione ricadono sotto la giurisdizione dello Stato membro che le ha istituite.
- Alcuni tipi di entità ricadono sotto la giurisdizione dello Stato membro in cui hanno la loro principale sede nell’Unione. Queste entità includono fornitori di servizi di sistema di nomi di dominio, registri di nomi di dominio di primo livello, fornitori di servizi di registrazione di nomi di dominio, fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, nonché fornitori di mercati online, motori di ricerca online e piattaforme di social networking. Questo per garantire che tali entità non debbano affrontare una molteplicità di requisiti legali diversi, poiché forniscono servizi transfrontalieri in misura particolarmente elevata. Ai fini di una supervisione efficace, questi tipi di entità saranno tenuti dagli Stati membri a notificare, tra l’altro, dove si trova la sede principale dell’entità così come le sue altre sedi legali nell’Unione o, se non stabilite nell’Unione, il luogo in cui è designato il rappresentante dell’entità. L’ENISA sarà tenuta a creare e mantenere un registro con le informazioni fornite a tal fine dagli Stati membri.
Le nuove regole migliorano il modo in cui l’UE previene, gestisce e risponde a incidenti e crisi di cybersecurity su larga scala. Questo avviene tramite l’introduzione di responsabilità chiare, una pianificazione adeguata e una maggiore cooperazione a livello UE. La NIS2 richiede agli Stati membri di nominare autorità nazionali per la gestione delle crisi informatiche, introdurre piani di risposta a incidenti e crisi su larga scala e stabilire la rete EU-CYCLONe per supportare la gestione coordinata di tali eventi a livello operativo. Questa rete è fondamentale per il quadro di gestione delle crisi informatiche dell’UE delineato dalla Commissione nel 2017 con la Raccomandazione sulla risposta coordinata a incidenti e crisi su larga scala.
