Cosa cambierà con la Direttiva Nis 2 sulla sicurezza informatica nell’UE

Dallo scoppio del conflitto tra Russia e Ucraina, sembra essersi manifestato l’ ulteriore bisogno di porre più attenzione sugli aspetti di cybersecurity per le infrastrutture critiche. Il conflitto sul campo durante tutta la sua durata è stato accompagnato da numerosi attacchi digitali strategici con il fine di le attività svolte sui terreni tradizionali. Gli attacchi informatici si stanno quindi dimostrando come un supporto fondamentale per lo scontro visto e considerato che dall’inizio dell’invasione, vi siano stati diversi attori con interessi allineati a quelli di Mosca che hanno effettuato più di 237 operazioni contro l’Ucraina. Situazioni di elevata criticità che hanno colpito anche gli stati membri dell’Unione riaccendendo quell’interesse in materia di cybersecurity. Dopo la crescita nel numero degli attacchi anche durante la pandemia infatti, ad aprile aprile è stata pubblicata una bozza di Regolamento volto ad incrementare i livelli di sicurezza cibernetica delle istituzioni, organi e agenzie europee.

Soggetti interessati dalla Normativa Nis 2

Ormai quasi più di due settimane fa, gli organi amministrativi dell’UE hanno ben pensato di proporre anche una nuova normativa per raggiungere un livello comune elevato di cybersecurity negli Stati membri. La proposta, che ha ricevuto l’appoggio di quasi tutti i coinvolti, andrà ad aggiornare la normativa del 2016 che in modo analogo si poneva come obiettivo di incrementare i livelli di sicurezza delle reti e dei sistemi informativi degli Stati membri. Gli obblighi imposti dal documento verranno applicati a soggetti di medie e grandi dimensioni andando a coinvolgere un maggior numero di settori ritenuti critici per l’economia e la società. Tra essi troviamo i fornitori di servizi pubblici di comunicazione elettronica e di servizi digitali, i gestori delle acque reflue e dei rifiuti, aziende che fabbricano prodotti critici, servizi postali e società di spedizioni, nonché pubbliche amministrazioni centrali e regionali. Verranno anche inclusi i produttori di dispositivi medici, in particolar modo dopo le minacce emerse durante la crisi sanitaria. 

Un’Europa più sicura

L’ampliamento del raggio di azione delle nuove norme sulla sicurezza, che vede coinvolti sempre più attori e settori, ha lo scopo di aumentare il livello di sicurezza elettronica in Europa nel medio e lungo termine. I requisiti imposti verranno ulteriormente rafforzati espandendo il tema della cybersecurity anche alla catena di approvvigionamento e nel rapporto con i fornitori. A pagare del mancato rispetto degli obblighi imposti dalla normativa saranno direttamente i vertici aziendali che avranno l’obbligo di segnalare ogni tentativo o incidente informatico. Un progetto che cerca di puntare sulla collaborazione e sull’uniformità sia sul piano sanzionatorio che per la condivisione delle informazioni sugli incidenti rilevanti e per la cooperazione nella gestione delle crisi informatiche. In Italia, il lavoro di controllo della corretta applicazione della normativa da parte degli enti pubblici e privati spetterà con altissima probabilità alla neocostituita Agenzia per la Cybersicurezza Nazionale.