Direttiva UE n. 2022/2555 (cd. Direttiva NIS II)

In data 27.12.2022, è stata pubblicata, nella Gazzetta Ufficiale dell’UE, la Direttiva NIS II, da recepirsi, da parte di ogni Stato membro UE, entro il 17.10.2024.

Essa persegue, in buona sostanza, l’obiettivo di migliorare la resilienza informatica dei relativi soggetti destinatari (formalmente suddivisi, in prima istanza, in due macrocategorie: essenziali; importanti), i quali devono, così, adottare, attraverso un approccio multi rischio (ma, comunque, proporzionato), misure tecniche, operative ed organizzative adeguate e proporzionate al fine di gestire, al meglio, i rischi posti alla sicurezza dei sistemi informatici e di rete (ivi inclusa, il relativo ambiente fisico), utilizzati per l’esecuzione delle proprie attività e l’erogazione dei relativi servizi, nonché al fine di prevenire o ridurre, al minimo, l’impatto degli indicenti (informatici e non) per i soggetti destinatari (diretti; indiretti) dei servizi erogati e messi a disposizione.

In base all’art. 21 della Direttiva, tali misure devono comprendere, almeno, i seguenti elementi: (i) politiche di: analisi dei rischi e di sicurezza dei sistemi informatici; gestione degli incidenti; continuità operativa, e gestione della crisi; sicurezza della catena di approvvigionamento; sicurezza dell’acquisizione, sviluppo e manutenzione dei sistemi informatici e di rete; igiene informatica; utilizzo della crittografia; uso di soluzioni di autenticazione a più fattori; (ii) obbligo di segnalazione al CRIST o alla competente autorità di controllo di un incidente significativo, a più step temporali progressivi (entro 24 ore; entro 72 ore; entro 1 mese); (iii) condivisione delle informazioni, su base volontaria, circa i temi, in senso lato, della cybersicurezza (es. minacce; vulnerabilità), con i soggetti che rientrano (e che non rientrano) nel campo di applicazione della presente Direttiva.

A chi verosimilmente sarà rivolta (infatti, ogni stato membro dovrà redigere un apposito elenco)?

• Pubbliche Amministrazioni di livello centrale o regionale;
• Imprese di medie o grandi dimensioni, appartenenti a una serie di specifici settori (es. gas; sanitario; infrastrutture digitali; servizi ICT; produzione di particolari dispositivi medici).

Per qualsiasi informazione, ci si può rivolgere all’avv. Gabriele Borghi gabriele.borghi@baldiandpartners.it