Con la Direttiva (UE) 2022/2555 (“NIS2”) l’Unione europea ha ridefinito il perimetro della cybersicurezza, superando il precedente impianto della NIS (Direttiva 2016/1148) e rafforzando obblighi, vigilanza e sanzioni per gli operatori di servizi in settori critici. In Italia la disciplina è stata attuata con il D.lgs. 4 settembre 2024, n. 138, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024. La ratio della direttiva è prevenire e mitigare gli incidenti informatici, assicurare la continuità operativa dei servizi e ridurre i rischi lungo la supply chain.
La NIS2 amplia l’ambito di applicazione rispetto alla precedente direttiva, includendo in via generale le medie e grandi imprese che operano nei settori elencati negli Allegati I (alta criticità) e II (settori critici) e prestano servizi all’interno dell’Unione europea.
Tra i settori rientrano, tra gli altri, energia, trasporti, bancario/finanziario, sanità, acqua, infrastrutture digitali, PA, servizi digitali/ICT gestiti, rifiuti, servizi postali e filiera alimentare. Sono in linea di massima escluse le micro e piccole imprese (Raccomandazione 2003/361/CE), salvo le eccezioni espressamente previste dall’art. 2 NIS2.
Quanto ai profili applicativi, la NIS2 prevede che gli operatori adottino misure tecniche e organizzative proporzionate, che includono politiche di sicurezza, processi di gestione delle vulnerabilità e di patching, sistemi di gestione delle identità con autenticazione a più fattori, registrazione e monitoraggio degli eventi, cifratura dei dati e protezione degli asset, oltre a piani di business continuity e disaster recovery, nel rispetto dei principi di sicurezza by design e by default.
La disciplina richiede inoltre una governance effettiva: l’organo di gestione è tenuto a supervisionare gli assetti di sicurezza, assicurare la formazione adeguata e verificare periodicamente l’efficacia delle misure adottate.
In presenza di incidenti significativi, devono attivarsi procedure interne di risposta e di notifica verso i punti di contatto nazionali, rispettando le tempistiche previste e conservando le evidenze tecniche necessarie alla ricostruzione degli eventi.