il Parlamento europeo ha approvato il testo della Direttiva NIS2, relativa all'adozione di misure volte a garantire un livello comune elevato di cybersecurity nell'Unione.
La Direttiva NIS2 approvata dal Parlamento europeo lo scorso 10 novembre ha il compito di disciplinare le misure di gestione del rischio di sicurezza informatica e i derivanti obblighi di segnalazione dei settori principalmente destinatari della direttiva. I settori oggetto della direttiva sono quelli definiti strategici come il settore energetico, i trasporti, le telecomunicazioni, le infrastrutture digitali e l'ambito bancario e finanziario.
Nello specifico la Direttiva NIS2 ha lo scopo di integrare e potenziare le azioni cui sono chiamati ad uniformarsi gli stati membri. Infatti gli stati membri dovranno adottare strategie nazionali in materia di cybersecurity e designare o creare autorità nazionali competenti, anche per la gestione delle crisi informatiche (c.d. CSIRT) considerando l'adozione di misure in materia di gestione dei rischi di cybersecurity e obblighi di segnalazione per i destinatari della Direttiva stessa. Gli stati dovranno inoltre prevedere norme e obblighi in materia di condivisione delle informazioni sulla cybersecurity.
Gli Stati Membri dovranno poi specificare ulteriormente gli obblighi di sicurezza imposti ai destinatari della direttiva che prevede l'adozione comune di misure minime soprattutto relativamente agli standard da adottare in tema di policy sull'analisi dei rischi e sulla sicurezza dei sistemi informativi, in tema di sistemi di gestione degli incidenti e di business continuity, gestione delle crisi, misure di gestione della sicurezza della supply chain così come l'adozione di pratiche di igiene informatica di base, la formazione del personale in materia di sicurezza informatica e l'adozione di procedure relative all'uso della crittografia e di misure sulla sicurezza delle risorse umane come l'uso di soluzioni di autenticazione a più fattori o di autenticazione continua.
La Direttiva NIS2 amplia tuttavia l'ambito di applicazione individuando come destinatari delle norme anche le imprese che erogano servizi digitali, come ad esempio erogatori di servizi di cloud computing, data center, servizi di comunicazione elettronica e di reti di comunicazione elettronica; società farmaceutiche, produttori di dispositivi medici ed healthcare provider, servizi di produzione, trasformazione e distribuzione di cibo, comprese le imprese della grande distribuzione, senza limiti "dimensionali" alle imprese e qualificandole come "soggetti critici " quali i fornitori di servizi di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico.
