Dalla NIS alla NIS 2: storia di un passaggio necessario

Con l’entrata in vigore, il 17 gennaio 2023, della Direttiva europea 2022/2555 – nota come NIS 2 – è cominciato a decorrere il periodo di 21 mesi entro il quale gli Stati membri dell’UE dovranno redigere e pubblicare le leggi nazionali di recepimento. Nello stesso arco di tempo, i soggetti pubblici e privati cui è destinata la normativa dovranno allineare organizzazioni e processi a quanto prescritto dai nuovi obblighi di sicurezza.

La Direttiva NIS 2 rinforza le misure stabilite dal precedente atto legislativo europeo, la Direttiva 2016/1148 (ribattezzata Direttiva NIS – Network Information Systems), considerata unanimemente come il primo atto della strategia legislativa dell’Unione Europea sul terreno della cybersecurity. La direttiva NIS, tuttora in vigore (recepita nell’ordinamento italiano con il Decreto legislativo n. 65 del 2018) e i cui effetti termineranno il 18 ottobre 2024), individua sette settori strategici. Ai soggetti interessati assegna obblighi diretti a limitare il rischio informatico, a migliorare il livello di sicurezza dei sistemi informatici e delle rete e a garantire un veloce ed efficace ripristino in caso di incidente. 


I punti critici della Direttiva NIS

L’adozione della Direttiva NIS ha portato gli Stati membri europei ad avere una maggiore sensibilità sull’importanza della cybersecurity e sui pericoli legati alle attività del crimine informatico. Allo stesso tempo, il legislatore europeo non è riuscito a prevedere tutte le difficoltà a cui sarebbero andati incontro i Parlamenti nazionali nel recepire le nuove norme, armonizzandole successivamente nei rispettivi contesti legislativi.

 L’ampio spazio di autonomia, che la normativa riservava a ciascun Paese, si è tradotto in una difficoltà di attuazione, derivante da una mancanza di chiarezza nelle specifiche regole comuni da rispettare. In primo luogo, ogni Stato attuava diverse misure di sicurezza e stabiliva regole differenti per lo scambio di informazioni, soprattutto nel caso in cui si fosse verificato un incidente che avesse sortito effetti su scala europea. 

A complicare la situazione di incertezza hanno contribuito l’evoluzione del mercato europeo e il Covid-19. Il primo ha fatto emergere la necessità di ampliare le categorie di soggetti essenziali per il corretto funzionamento del mercato, ma non considerati dalla Direttiva NIS, con il risultato di rendere molto più difficile la gestione delle minacce e degli incidenti informatici. Inoltre, la pandemia, un evento tanto imprevedibile quanto sconvolgente, ha accelerato i processi di digitalizzazione delle organizzazioni e delle aziende a scapito di efficaci misure di sicurezza informatica. 

Nell’arco di soli 4 anni, la Direttiva NIS si è rivelata incompleta e inadeguata ad affrontare un panorama tanto complesso, segnato dalla crescita continua degli attacchi informatici. Per rispondere a questa esigenza, l’Unione Europea ha intrapreso la strada che ha portato alla nascita della Direttiva NIS 2, rafforzando e integrando le disposizioni della precedente direttiva.


L’ambito di applicazione della nuova Direttiva 

Il primo elemento da considerare nell’analisi della Direttiva NIS 2 riguarda il suo ambito di applicazione, che viene esteso rispetto al precedente atto europeo. La Direttiva NIS, infatti, riguardava gli operatori attivi in sette ambiti essenziali per la vita comunitaria come: energia, trasporti, banche, infrastrutture dei mercati finanziari, acqua potabile, sanità e infrastrutture digitali, e-commerce, motori di ricerca, cloud computing).

La Direttiva NIS 2 ha esteso il novero degli attori interessati dalle nuove norme, considerando due nuovi gruppi di settori. Il primo è definito “Ad alta criticità” e comprende le acque reflue, la gestione dei servizi ICT B2B, la Pubblica Amministrazione e lo spazio. Il secondo “Altri settori critici” è formato da 12 specifici ambiti, che vanno dai servizi postali e di corriere alle organizzazioni di ricerca. 

Attraverso la Direttiva NIS 2, l’Unione Europea mira quindi a migliorare la sicurezza informatica all’interno del suo perimetro, promuovendo standard elevati, estesi a nuovi soggetti interessati, per proteggere le infrastrutture digitali dalle minacce cibernetiche e garantire la sicurezza dei dati personali dei cittadini europei.