Comprendere la Direttiva NIS 2: definizione, ambito e soggetti interessati

Cosa c’è da sapere sulla Direttiva NIS 2

• La Direttiva NIS 2 rafforza il quadro europeo di sicurezza informatica e si applica a una gamma più ampia di organizzazioni pubbliche e private.
• Distingue due categorie di attori: le entità essenziali e le entità significative, ognuna delle quali è soggetta agli obblighi di sicurezza, gestione del rischio e segnalazione degli incidenti.
• L’ambito di applicazione comprende ora nuovi settori come l’energia, la sanità, i trasporti, la pubblica amministrazione, le infrastrutture digitali, l’industria e i servizi postali.
• La direttiva tiene conto anche delle catene di approvvigionamento e dei fornitori di servizi terzi, che devono garantire un livello di sicurezza adeguato.
• Le sanzioni per la non conformità possono essere severe, anche per i dirigenti responsabili.
• Per dimostrare la conformità, le organizzazioni devono documentare e datare i loro registri di sicurezza, le tempistiche degli incidenti e la prova della riparazione.

Che cos’è la Direttiva NIS 2?

La Direttiva NIS 2 fa seguito alla prima Direttiva “NIS” (2016) sulla sicurezza delle reti e dei sistemi informativi. Mentre questa prima versione ha permesso l’introduzione di un quadro comune di cybersecurity a livello europeo, la rapida evoluzione delle minacce (e la moltiplicazione dei servizi critici che dipendono dalle tecnologie digitali) ha reso necessario un sistema rafforzato.

Con il NIS 2, l’UE amplia il campo di applicazione, rafforza gli obblighi e introduce sanzioni più severe. Si applica sia agli attori pubblici che a quelli privati, purché operino in settori considerati strategici.

Entità essenziali

Le organizzazioni “essenziali” sono quelle il cui corretto funzionamento è vitale per la società o l’economia. La direttiva amplia l’elenco rispetto alla versione precedente. Ora comprende :

• Il settore energetico (produzione, trasporto, distribuzione di elettricità, petrolio, gas, idrogeno, servizi di ricarica per veicoli elettrici, reti di riscaldamento/raffreddamento).
• Trasporti e spazio: compagnie aeree, gestori di aeroporti, operatori ferroviari, porti marittimi, infrastrutture stradali e servizi spaziali.
• Il settore bancario e finanziario: istituti di credito, piattaforme di trading, controparti centrali.
• Sanità : ospedali, fornitori di servizi sanitari, laboratori di ricerca e sviluppo farmaceutico, produttori di sostanze farmaceutiche di base.
• Acqua: fornitori di acqua potabile, unità di gestione e trattamento delle acque reflue, dove questa attività non è accessoria.
• Infrastrutture digitali e ICT: centri dati, servizi cloud, servizi di outsourcing, reti di distribuzione di contenuti (CDN), servizi DNS, fornitori di servizi di cybersecurity gestiti.
• Pubblica amministrazione: autorità centrali/regionali, tribunali, procure, istituzioni strategiche.

Questo pacchetto ampliato dimostra la determinazione dell’UE a prendere in considerazione tutti i servizi che sono ormai vitali nel contesto digitale.

Entità significative

Anche se il loro ruolo è considerato meno strategico rispetto a quello delle entità “essenziali”, le entità “importanti” sono comunque soggette agli obblighi di sicurezza. Queste includono:

• Fornitori di servizi digitali: motori di ricerca, mercati online, social network.
• Il settore della gestione dei rifiuti: raccolta, trattamento o smaltimento dei rifiuti, a meno che questa attività non sia marginale.
• Fabbricazione, produzione e distribuzione di prodotti chimici: produttori, distributori e rivenditori di sostanze chimiche.
• Attività di ricerca: entità di R&S applicata o sperimentale.
• Catene di approvvigionamento alimentare: attori della produzione, della lavorazione e della distribuzione degli alimenti.
• Industria: produzione di computer, elettronica, ottica, veicoli, mezzi di trasporto, macchinari meccanici, dispositivi medici (compresa la diagnostica in vitro).
• Servizi postali: raccolta/trasporto/distribuzione della posta, compresi i servizi di corriere espresso.

Dimensioni, stato e criteri di demarcazione

L’idoneità di un’entità dipende anche dalle sue dimensioni: alcune organizzazioni, che altrimenti rientrerebbero nella categoria “essenziale”, possono essere classificate come “grandi” se soddisfano le soglie PMI. Esistono tuttavia delle eccezioni: i fornitori qualificati di servizi fiduciari, i registri di nomi di dominio, i fornitori di servizi di comunicazione accessibili al pubblico, le amministrazioni centrali, ecc.

Questo approccio consente diadattare il campo d’azione alle realtà economiche, garantendo al contempo che i servizi veramente critici rimangano sotto controllo.

Pubblico vs privato: una direttiva trasversale

La direttiva si applica sia agli attori pubblici che a quelli privati. Ciò significa che le organizzazioni possedute o controllate dallo Stato, così come le aziende private che operano nei settori coperti, rientrano nel campo di applicazione. Le amministrazioni centrali sono sistematicamente indicate come entità essenziali. Questa natura trasversale accentua la portata della direttiva nell’ecosistema globale.

Catene di approvvigionamento e fornitori di servizi terzi

Una dimensione chiave del NIS 2 è la considerazione della catena di fornitura: anche i fornitori (prodotti, servizi o infrastrutture) di entità essenziali o importanti possono essere soggetti agli obblighi della direttiva. Ciò significa che le organizzazioni soggette alla direttiva hanno la responsabilità di garantire che i loro fornitori terzi adottino misure di sicurezza equivalenti a quelle da loro stessi implementate.

Ambito geografico: oltre l’UE

La direttiva non è limitata agli Stati membri: può essere applicata anche ai fornitori di servizi stabiliti al di fuori dell’Unione Europea, se forniscono servizi o infrastrutture critiche a entità situate nell’UE. In altre parole, un’organizzazione extraeuropea che fornisce un servizio strategico all’UE potrebbe rientrare nell’ambito del NIS 2.

Schemi settoriali: quando la direttiva non si applica

Alcune organizzazioni sono già soggette a quadri normativi specifici ritenuti equivalenti o più severi della Direttiva NIS 2 (ad esempio, per il settore finanziario). In questi casi, la direttiva stabilisce che i testi specifici del settore hanno la precedenza e non si applicano a questa parte. In questo modo si evita la sovrapposizione dei sistemi. Tuttavia, se alcune entità di un settore non sono coperte da questi regimi specifici, potrebbero comunque essere interessate dal NIS 2.

Time-stamping qualificato: una soluzione per la conformità NIS2

La direttiva NIS 2 richiede alle entità critiche e importanti di garantire la sicurezza dei loro sistemi informativi, di documentare gli incidenti e di dimostrare l’attuazione delle misure correttive. Evidency, in qualità di Qualified Trust Service Provider (QTSP) conforme a eIDAS, offre soluzioni di time-stamping qualificato che soddisfano questi obblighi. La marcatura temporale qualificata consente alle organizzazioni di :

• proteggere e tracciare i registri di sicurezza,
• stabilire tempistiche affidabili per gli incidenti,
• conservare le prove della riparazione o della correzione.

Integrando questi servizi direttamente nei loro processi tramite API, le aziende possono garantire l’integrità, l’autenticità e il valore probatorio dei loro dati.La marcatura temporale qualificata diventa quindi una leva fondamentale per dimostrare la conformità al NIS2 e rafforzare la governance generale della cybersecurity.

Conclusione

Il campo di applicazione della Direttiva NIS 2 è vasto e in evoluzione: gli Stati membri avevano tempo fino al 17 aprile 2025 per identificare le entità interessate. Anche se ogni organizzazione dovrà verificare la propria situazione, gli attori dei settori strategici dispongono ora di informazioni sufficienti per anticipare la propria conformità. È essenziale iniziare subito a mettere in atto sistemi di cybersecurity e processi di notifica degli incidenti.