Il 17 gennaio 2023 ha segnato un momento significativo per la sicurezza informatica europea con l’entrata in vigore della Direttiva UE NIS 2. Questo quadro normativo non solo rafforza l’approccio comune alla cybersicurezza tra tutti gli Stati membri dell’UE, ma stabilisce anche un periodo fino al 18 ottobre 2024 per il suo recepimento a livello nazionale. A differenza del GDPR, che è un regolamento direttamente applicabile, la NIS 2 richiede che ogni Stato Membro adotti misure specifiche per sviluppare piani di sicurezza e formare team di esperti dedicati.
La NIS 2 si inserisce in un contesto legislativo già ricco, che include:
- Il Regolamento Generale sulla Protezione dei Dati (GDPR) UE 2016/679;
- Il Regolamento sulla resilienza operativa digitale (DORA);
- La Direttiva sulla sicurezza delle reti e dei sistemi informativi (CER);
- L’atto sulla resilienza cibernetica (Cyber Resilience Act);
- Il Perimetro di Sicurezza Nazionale Cibernetica.
Questo insieme di normative e direttive sottolinea l’impegno dell’UE nel proteggere i dati e la privacy dei suoi cittadini, intensificando la resilienza contro le minacce cibernetiche a livello transnazionale.
Con l’avvento della direttiva NIS 2, l’Unione Europea ha ampliato significativamente il campo d’applicazione delle normative sulla sicurezza cibernetica. A differenza della NIS 1, la nuova direttiva non si limita a considerare la sicurezza delle singole organizzazioni o dei fornitori di servizi essenziali. Piuttosto, estende la sua attenzione all’intera catena di fornitura, evidenziando una comprensione più olistica dei rischi di sicurezza.
Un esempio chiaro di questa estensione riguarda le aziende del settore informatico che forniscono hardware e software. Se questi prodotti sono utilizzati da clienti per l’erogazione di servizi essenziali, l’azienda fornitrice viene automaticamente inclusa nel perimetro di applicazione della direttiva. Ciò sottolinea un cambiamento significativo nel modo in cui si considera la sicurezza: non è più una questione isolata, ma una responsabilità condivisa lungo tutta la catena di valore.
Questa estensione del campo di applicazione fa sì che non solo le organizzazioni direttamente coinvolte nella fornitura di servizi essenziali siano tenute a rispettare gli standard elevati di sicurezza, ma coinvolge anche tutte quelle entità che, indirettamente, contribuiscono alla loro erogazione. La direttiva NIS 2 pone dunque un accento particolare sulla necessità di una vigilanza ampliata, comprendendo ogni anello della catena di fornitura come fondamentale per la resilienza complessiva del sistema.
La Direttiva NIS 2 porta con sé un paradigma di sicurezza più integrato e diffuso, che riconosce l’importanza di ogni contributo, anche indiretto, alla sicurezza delle infrastrutture critiche. È un passo avanti significativo verso una protezione IT più robusta e un aumento della Compliance complessiva delle organizzazioni.
La tua organizzazione è conforme alla NIS 2? Hai verificato gli impatti per la tua azienda? Con le nuove regolamentazioni che ampliano la responsabilità a tutta la catena di fornitura, è essenziale assicurarsi di aderire agli standard anche nelle pratiche. I nostri esperti sono disponibili per una call di consulenza gratuita per discutere la tua situazione specifica e aiutarti a navigare le complessità della NIS 2. Non lasciare che la conformità diventi un ostacolo—trasformala in un vantaggio competitivo. Contattaci