Spiegazione della direttiva NIS 2

Gli Stati membri devono designare una o più autorità competenti che saranno responsabili della sicurezza informatica e svolgeranno compiti di vigilanza all'interno dei loro confini. Gli Stati membri devono inoltre garantire che le loro autorità competenti dispongano di risorse adeguate.

I Computer Security Incident Response Team (CSIRT) svolgono un ruolo importante nella gestione degli incidenti, nella raccolta di informazioni e nella comunicazione con le organizzazioni. Monitorano le minacce, analizzano gli incidenti e condividono avvisi e dati in tempo reale con la rete e le autorità. Il coordinatore designato per i CSIRT fungerà da intermediario di fiducia, facilitando l'interazione tra la persona giuridica che segnala una vulnerabilità e l'OEM.

Si concentra sul rafforzamento della sicurezza informatica collaborando a livello nazionale e internazionale. Il gruppo di cooperazione facilita la condivisione di informazioni e strategie tra gli Stati membri.

La rete CSIRT comprende i CSIRT nazionali e il CERT-UE. Si scambieranno informazioni sulle capacità, le vulnerabilità, gli incidenti e le minacce del CSIRT. Per affrontare le minacce informatiche, i CSIRT stabiliranno nuovi metodi per la cooperazione operativa, concentrandosi sugli avvisi precoci, sul sostegno durante gli attacchi informatici e sulla pianificazione della risposta alle minacce.

I soggetti essenziali e importanti devono fornire un allarme tempestivo in caso di incidenti significativi ai CSIRT o alle autorità competenti entro 24 ore dal momento in cui vengono a conoscenza di un incidente significativo. Ci sono diverse fasi di segnalazione come l'avviso precoce, le notifiche di incidenti, le relazioni intermedie e i report finali.

Gli Stati membri dovrebbero garantire che i soggetti essenziali e importanti attuino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza delle reti e dei sistemi informativi alle misure di gestione dei rischi di sicurezza informatica, comprese le politiche in materia di analisi dei rischi e gestione degli incidenti; continuità aziendale; sicurezza della catena di approvvigionamento e sviluppo sicuro del sistema. Altre misure comprendono la valutazione dell'efficacia delle misure di gestione dei rischi di sicurezza informatica, le pratiche di base in materia di igiene informatica, politiche per l'uso della crittografia; sicurezza delle risorse umane e autenticazione a più fattori.

Riguarda le norme sulla giurisdizione e le procedure di registrazione per i soggetti essenziali e importanti.

Elenca i criteri per le organizzazioni per determinare il Paese che le supervisiona. Al fine di tenere traccia di queste organizzazioni, un registro delle loro informazioni viene raccolto e gestito dall'ENISA (Agenzia dell'Unione europea per la cibersicurezza). Le informazioni per il registro includono il nome dell'organizzazione, l'indirizzo dell'organizzazione, i dettagli di contatto, ecc. Inoltre, le organizzazioni che forniscono servizi di registrazione dei nomi di dominio e i registri TLD dovrebbero creare un database di dati di registrazione dei domini. Questo database ha lo scopo di migliorare l'affidabilità dei servizi dei nomi di dominio (DNS).

Le organizzazioni dell'Unione europea condividono tra loro le informazioni relative alla sicurezza informatica. Gli Stati membri hanno la responsabilità di facilitare gli scambi. Esse determinano le informazioni condivise, le piattaforme e gli strumenti TIC utilizzati e le condizioni di tale accordo. Le organizzazioni che desiderano ritirarsi da uno scambio in corso devono notificarlo all'autorità competente dello Stato membro interessato.

La direttiva incoraggia tutte le organizzazioni dell'Unione europea a notificare volontariamente ai CSIRT o alle autorità competenti le minacce e gli attacchi informatici.

Le autorità competenti del Paese sono responsabili dell'obbligo per le organizzazioni di conformarsi alla Direttiva NIS 2. Le ispezioni in loco, gli audit di sicurezza mirati e gli audit ad hoc sono le misure di supervisione delle autorità competenti discusse nel presente capitolo. Per qualsiasi violazione della Direttiva sono comminate sanzioni amministrative pecuniarie alle organizzazioni. Inoltre, le autorità competenti possono chiedere assistenza alle autorità di altri Stati per la supervisione delle organizzazioni che operano a livello transfrontaliero.

La Commissione europea, in qualità di uno degli organi esecutivi dell'Unione europea, garantisce il rispetto delle leggi dell'Unione in tutti i suoi Paesi. Pertanto, la Commissione europea ha il potere di adottare atti delegati. Tale autorità è esercitata per un periodo di cinque anni a decorrere dal 16 gennaio 2023. Ai sensi di tale capitolo, il Parlamento europeo e il Consiglio europeo possono revocare il potere della Commissione in qualsiasi momento. La Commissione europea dovrebbe adottare un atto delegato come richiesto dalla direttiva solo se né il Parlamento né il Consiglio sollevano obiezioni. Deve inoltre notificare tali organismi non appena adotta un atto delegato.

I Paesi dell'Unione europea adotteranno e pubblicheranno misure per conformarsi alla presente direttiva NIS 2 e dovranno informare tali misure alla Commissione europea entro il 17 ottobre 2024. Inizieranno inoltre ad attuare tali misure a partire dal 18 ottobre 2024.

La Commissione europea riesaminerà il funzionamento della presente direttiva e riferirà al Parlamento europeo e al Consiglio entro ottobre 2027. Tale riesame sarà condotto successivamente ogni tre anni. La presente relazione comprende una valutazione della pertinenza delle dimensioni dei soggetti interessati e dei settori, sottosettori e tipi di soggetti di cui alla presente direttiva per il funzionamento dell'economia e della società in relazione alla sicurezza informatica. Può anche includere report del gruppo di cooperazione e della rete CSIRT.