Approvata la Direttiva NIS2: cambiamenti in tema di sicurezza di dati, reti e sistemi

Lo scorso 10 novembre, il Parlamento UE ha approvato, ad ampia maggioranza, la Direttiva NIS2 (Network and Information System Security): sono stati introdotti nuovi obblighi di cyber sicurezza per le aziende in materia di sicurezza dei dati e previste responsabilità maggiori per i soggetti interessati. In uno scenario di costante trasformazione delle minacce informatiche, l’evoluzione del testo precedente  è stata necessaria, in particolare per ampliare il campo di applicazione e preparare le aziende alle sfide presenti e future della cyber sicurezza. 

Molte delle disposizioni contenute nella nuova Direttiva NIS2 coincidano con le attività di cyber security che la maggior parte delle organizzazioni dovrebbe attivare al fine di garantire la sicurezza del proprio business e la protezione dei dati dei propri clienti. Da segnalare innanzitutto l’ampliamento delle responsabilità per i soggetti interessati, che costituisce una delle novità più importanti che la Direttiva NIS2 dovrebbe portare sui tavoli normativi dei paesi membri. 

Obiettivo chiave della NIS2 è armonizzare gli approcci che i vari Stati membri UE hanno fino a questo momento avuto per la cyber security. La direttiva rappresenta infatti il primo tentativo di rafforzare il livello globale di cybersicurezza tra i 27 paesi e di determinare una base di garanzie destinate a sviluppare un ecosistema di fiducia. Tutto questo, mettendo l’accento sugli Operatori dei Servizi Essenziali (OSE): quelle aziende che, secondo la definizione dell’Anssi "forniscono un servizio essenziale la cui interruzione avrebbe un impatto significativo sull’andamento dell’economia o della società".

I contenuti più importanti

La Direttiva NIS2 pare orientata a operare lungo una direzione di continuità con lo strumento di prima generazione, a reinterpretare le disposizioni per adeguarsi ai flussi digitali post pandemia Covid-19, che hanno visto il considerevole aumento di traffico nella rete e delle relative superfici di attacco.

Tra i capisaldi che verranno implementati, si possono al momento indicare: rideterminazione e ampliamento dell’ambito di applicazione delle norme in materia di sicurezza dei dati; potenziamento degli organi e delle attività di supervisione a livello comunitario, con l’obiettivo di migliorare la collaborazione per contrastare la minaccia informatica globale, grazie alla condivisione delle esperienze tra gli stati membri; razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria degli incidenti informatici; estensione dei concetti di gestione del rischio e di valutazione delle vulnerabilità a tutta la supply chain, coinvolgendo tutti o un numero maggiore di stakeholder.

Facendo tesoro dei primi anni di dibattito e applicazione della NIS, i nuovi provvedimenti mirano ad ampliare i settori di attività, finendo per coinvolgere un numero e una varietà sempre maggiore di organizzazioni. Oltre a definire i settori di attività da disciplinare, la Direttiva NIS2 prevede anche un elenco dei requisiti minimi che i soggetti coinvolti saranno chiamati a garantire.

(Fonte testo: www.cybersecurity360.it/)