Nel contesto attuale, in cui la trasformazione digitale accelera l’innovazione ma al contempo espone le imprese e le istituzioni a crescenti minacce informatiche, la necessità di un quadro normativo robusto si fa sempre più urgente. La nuova Direttiva NIS2 rappresenta uno strumento fondamentale per rafforzare la sicurezza delle reti e dei sistemi informativi a livello europeo, integrandosi con il già noto Regolamento Europeo sulla Protezione dei Dati (GDPR 2016/679).

La prima Direttiva NIS (n. 2016/1148) ha rappresentato il primo passo verso un approccio coordinato in materia di sicurezza informatica a livello europeo. Tuttavia, l’evoluzione delle minacce e la crescente interconnessione dei sistemi hanno evidenziato la necessità di aggiornare e rafforzare il quadro normativo.

La nuova Direttiva NIS2 (n. 2022/2555), entrata in vigore il 17 gennaio 2023 e recepita in Italia con il D.lgs. 138/2024, nasce proprio con questo intento, introducendo standard più elevati e disposizioni più stringenti per garantire una protezione adeguata delle infrastrutture critiche e dei servizi essenziali.

La Direttiva si propone di:

- rafforzare la resilienza informatica promuovendo l’adozione di misure tecniche e organizzative adeguate a prevenire e mitigare gli attacchi informatici;
- uniformare le misure di sicurezza a livello europeo creando un quadro normativo armonizzato che permetta una cooperazione più efficace tra gli Stati membri;
- migliorare la gestione degli incidenti introducendo obblighi di notifica tempestiva e trasparente in caso di violazioni della sicurezza;
- proteggere le infrastrutture critiche e i servizi essenziali estendendo l’applicabilità della normativa a nuovi settori e tipologie di operatori, in linea con le evoluzioni del mercato e delle tecnologie.

A tal fine, la Direttiva amplia il campo di applicazione rispetto al suo predecessore, includendo:
i) gli operatori di servizi essenziali, come quelli attivi nei settori dell’energia, dei trasporti, della sanità e delle infrastrutture digitali,
ii) i fornitori di servizi digitali (es. marketplace, i motori di ricerca e i servizi cloud) e
iii) gli enti pubblici e le pubbliche amministrazioni che, in ragione del loro ruolo strategico, sono tenuti ad adottare specifiche misure di sicurezza per garantire la continuità dei servizi offerti alla collettività.

Questa estensione dell’ambito di applicazione mira a creare un sistema integrato di protezione, dove ogni attore, privato o pubblico, è chiamato a contribuire alla sicurezza complessiva del cyberspazio europeo.

Dal punto di vista operativo e pratico, la NIS2 impone agli operatori i seguenti adempimenti:

- una valutazione periodica dei rischi (c.d. gap analysis) nel trattamento dei dati raccolti, trattati e archiviati;
- l’adozione di misure di sicurezza adeguate, sia tecniche che organizzative, proporzionate alla natura e all’entità dei rischi individuati;
- l’aggiornamento delle misure di sicurezza adottate, in linea con le best practice internazionali e le linee guida delle autorità di vigilanza;
- l’obbligo di notifica degli incidenti, ossia in caso di violazioni dei dati che possano compromettere la continuità dei servizi, al fine di garantire una gestione coordinata delle crisi;
- attuare verifiche e audit periodici, anche al fine di poter affrontare e gestire nel modo corretto e diligente eventuali controlli e ispezioni da parte delle autorità di vigilanza, munite di poteri sanzionatori in caso di accertamento di inadempienze.

Sebbene la NIS2 e il GDPR siano strumenti normativi distinti, vi è una significativa sinergia tra i due.

Da un lato, il GDPR si concentra sulla protezione dei dati personali e, dall’altro, la NIS2 garantisce l’integrità e la disponibilità dei sistemi informativi. Entrambe le normative si completano a vicenda, richiedendo alle organizzazioni un approccio integrato alla sicurezza. Inoltre, sia il GDPR che la NIS2 impongono l’obbligo di notifica in caso di incidenti di sicurezza, seppur con ambiti di applicazione differenti. Le aziende devono quindi predisporre procedure che consentano una risposta coordinata e tempestiva agli incidenti.

In conclusione, la direttiva NIS2 segna un punto di svolta nella gestione della sicurezza informatica a livello europeo, imponendo standard più elevati e un approccio integrato che coinvolge sia il settore privato che quello pubblico.

In un’epoca in cui le minacce digitali sono in continua evoluzione, comprendere e adeguarsi a tali normative diventa essenziale per garantire non solo la protezione dei dati, ma anche la resilienza e la continuità operativa delle organizzazioni.