a cura di Harmonia
Il 18/10/2024, è entrata in vigore la Direttiva EU 2022/2555 (cd NIS 2)
Introdotta per rafforzare la resilienza informatica delle infrastrutture critiche e migliorare la sicurezza lungo tutta la catena del valore digitale in Europa, rappresenta un importante aggiornamento della disciplina europea sulla cibersicurezza.
La direttiva stabilisce misure volte a garantire un livello comune elevato di cibersicurezza nell’Unione in modo da migliorare il funzionamento del mercato interno.
A tal fine, la presente direttiva stabilisce:
a. obblighi che impongono agli Stati membri di adottare strategie nazionali in materia di cibersicurezza e di designare o creare autorità nazionali competenti, autorità di gestione delle crisi informatiche, punti di contatto unici in materia di sicurezza (punti di contatto unici) e team di risposta agli incidenti di sicurezza informatica (CSIRT);
b. misure in materia di gestione dei rischi di cibersicurezza e obblighi di segnalazione per i soggetti di un tipo di cui all’allegato I o II nonché per soggetti identificati come critici ai sensi della direttiva (UE) 2022/2557;
c. norme e obblighi in materia di condivisione delle informazioni sulla cibersicurezza;
d. obblighi in materia di vigilanza ed esecuzione per gli Stati membri.
La Direttiva NIS 2 è stata formalmente adottata dall’Unione Europea con la normativa UE 2022/2555 ed è stata recepita in Italia con il Decreto Legislativo n. 138/2024, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024 ed entrato in vigore il 16 ottobre 2024.
Tuttavia, le aziende hanno un periodo di transizione per adeguarsi:
a. Entro la fine del 2025, dovranno conformarsi alle nuove regole di notifica degli incidenti.
b. Entro l’estate 2026, sarà obbligatorio implementare le misure di sicurezza richieste per essere pienamente conformi alla normativa.
Rispetto alla prima Direttiva NIS, la NIS 2 introduce:
a. Un perimetro di applicazione più ampio, includendo nuovi settori critici.
b. Obblighi di cybersecurity più severi, con controlli e sanzioni più rigide.
c. Maggiore responsabilità per i dirigenti aziendali, che devono garantire la conformità.
d. Requisiti di sicurezza estesi alla supply chain, per ridurre i rischi derivanti da fornitori esterni.
In riferimento alla NIS 2, i soggetti obbligati sono divisi in due categorie:
1. Settori ad Alta Criticità:
a. Energia: Elettricità, petrolio, gas, idrogeno, riscaldamento e raffreddamento.
b. Trasporti: Strada, ferrovia, aria e acqua.
c. Bancario: Banche, borse, istituzioni finanziarie.
d. Sanità: Ospedali, laboratori, centri di ricerca, farmacie e dispositivi medici.
e. Acqua: Acque reflue e acqua potabile.
f. Infrastruttura Digitale: Data center, cloud computing, fornitori DNS, ecc.
g. Gestione dei Servizi TIC: Fornitori di servizi TIC business-to-business.
h. Spazio: Infrastrutture spaziali e servizi correlati.
2. Ulteriori Settori Critici:
a. Servizi Postali e di Corriere.
b. Gestione dei Rifiuti.
c. Fabbricazione, Produzione e Distribuzione di Sostanze Chimiche.
d. Produzione, Trasformazione e Distribuzione di Alimenti.
In relazione al settore Bancario, si riferisce a:
1. Enti creditizi: Questi sono definiti all’articolo 4, punto 1, del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio, ovvero, “ente creditizio”, un’impresa la cui attività consiste nel raccogliere depositi o altri fondi rimborsabili dal pubblico e nel concedere crediti per proprio conto.
2. Infrastrutture dei mercati finanziari: Questi includono borse, istituzioni finanziarie e altri soggetti che gestiscono infrastrutture critiche per il funzionamento dei mercati finanziari. Gestori delle sedi di negoziazione quali definiti all’articolo 4, punto 24), della direttiva 2014/65/UE del Parlamento europeo (“sede di negoziazione”: un mercato regolamentato, un sistema multilaterale di negoziazione o un sistema organizzato di negoziazione) e del Consiglio e Controparti centrali (CCP) quali definite all’articolo 2, punto 1), del regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio («CCP»: una persona giuridica che si interpone tra le controparti di contratti negoziati su uno o più mercati finanziari agendo come acquirente nei confronti di ciascun venditore e come venditore nei confronti di ciascun acquirente).
I criteri dimensionali che obbligano qualsiasi tipologia di società all’adempimento della direttiva NIS2 sono: avere più di 50 dipendenti e un fatturato superiore a 50 milioni di euro o un bilancio superiore a 43 milioni di euro.
I Mediatori Creditizi e Agenti in Attività Finanziaria, risultano quindi esclusi dalla NIS 2.
Ovviamente, trattandosi di temi sempre più “caldi”, la sicurezza informatica e la gestione dei dati con le relative direttive di riferimento, rappresentano comunque dei presidi di rischio molto importanti e nella mappatura dei rischi, dovranno essere sempre più attenzionati.
Harmonia accelera le attività per Agenti in Attività Finanziaria
