Direttiva NIS2: disposizioni attuative per rafforzare la sicurezza informatica dei soggetti e delle reti critiche dell'UE

La Commissione europea ha adottato, il 17 ottobre 2024, le prime norme di attuazione sulla sicurezza informatica dei soggetti e reti critiche ai sensi della direttiva (UE) 2022/2555 del 14 dicembre 2022 (cd. direttiva NIS 2), recante misure per un livello comune elevato di cibersicurezza nell'Unione Europea.

Si tratta del Regolamento (UE) 17 ottobre 2024, n. 2024/2690, pubblicato nella Gazzetta ufficiale dell'Unione Europea il 18 ottobre 2024, il quale stabilisce i requisiti tecnici e metodologici delle misure previste dalla direttiva NIS2 da applicare nei confronti di specifiche categorie di aziende che forniscono servizi digitali come, ad esempio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i marketplace online, i motori di ricerca online e le piattaforme di social network.

Il provvedimento di attuazione specifica le misure di gestione del rischio di sicurezza informatica nonché i casi in cui un incidente dovrebbe essere considerato "significativo" e le aziende che forniscono infrastrutture e servizi digitali dovrebbero segnalarlo alle autorità nazionali. L’obiettivo è quello di rafforzare la resilienza informatica delle infrastrutture digitali critiche dell'Europa.

L'adozione del regolamento attuativo coincide con la scadenza, per gli Stati membri, per recepire la direttiva NIS2 nel diritto nazionale. A partire dal 18 ottobre 2024, tutti gli Stati membri devono applicare le misure necessarie per conformarsi alle norme sulla sicurezza informatica NIS2.

Si ricorda che, per quanto riguarda l’Italia, il recepimento nel nostro ordinamento giuridico della direttiva NIS2 è avvenuto con il Decreto legislativo 4 settembre 2024, n. 138, in vigore dal 16 ottobre 2024.