Il testo finale della Direttiva NIS2, formalmente nota come Direttiva (UE) 2022/2555, è strutturato in modo da fornire un quadro giuridico completo volto a migliorare la sicurezza informatica nell'Unione Europea. La direttiva è suddivisa in diverse sezioni chiave, ognuna delle quali affronta diversi aspetti della sicurezza informatica per garantire un elevato livello comune di protezione in tutti gli Stati membri.

Struttura e sezioni chiave

1. Entità essenziali e importanti: Ci saranno due tipi di entità soggette alle regole NIS2 (entità essenziali e importanti), anche se la distinzione tra di esse è piuttosto sfumata e viene fornito un elenco non esaustivo.
2. Autorità nazionali per la sicurezza informatica: La NIS2 pone le basi per lo sviluppo di strategie nazionali di cybersecurity da parte degli Stati membri e stabilisce i ruoli delle autorità competenti, compresa la designazione di autorità di gestione delle crisi di cybersecurity e di sicurezza informatica. incidenteIncidente Si intende un evento che compromette la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati memorizzati, trasmessi o elaborati o dei servizi offerti o accessibili tramite i sistemi di rete e di informazione -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) (CSIRT).
3. Sicurezza informatica Il rischioIl rischio Si intende il potenziale di perdita o di perturbazione causato da un incidente e deve essere espresso come una combinazione dell'entità di tale perdita o perturbazione e della probabilità che l'incidente si verifichi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) Gestione e reporting: Tutte le entità coperte dalla direttiva attuano solide misure di gestione del rischio. Queste includono valutazioni periodiche dei rischi di cybersecurity, l'implementazione di misure di sicurezza adeguate e obblighi di segnalazione rigorosi per gli incidenti con un chiaro Coordinated VulnerabilitàVulnerabilità Si intende una debolezza, una suscettibilità o un difetto dei prodotti o dei servizi ICT che può essere sfruttato da una minaccia informatica -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) Procedura di divulgazione (CVD).
4. Catena di approvvigionamento: La direttiva sottolinea anche l'importanza della sicurezza della catena di approvvigionamento, riconoscendo che le vulnerabilità in una parte della catena di approvvigionamento possono avere un impatto diffuso.
5. Vigilanza e applicazione: La direttiva descrive in dettaglio i meccanismi di vigilanza e di applicazione che gli Stati membri devono istituire per garantire la conformità. Ciò include i poteri delle autorità competenti di condurre audit, imporre sanzioni e far rispettare le disposizioni della direttiva. La direttiva introduce anche nuovi elementi, come le verifiche inter pares tra gli Stati membri, per migliorare la collaborazione e garantire un'applicazione coerente in tutta l'UE.

La direttiva NIS2 amplia in modo significativo l'ambito di applicazione della precedente NIS1, coprendo un maggior numero di settori e introducendo requisiti di cibersicurezza più rigorosi. Essa mira a creare un approccio più armonizzato alla sicurezza informatica in tutta l'UE, riducendo la frammentazione e garantendo che le infrastrutture critiche e i servizi essenziali siano meglio protetti dalle minacce informatiche.