AO_461

86 | APRILE 2025 AUTOMAZIONE OGGI 461 AUTOMAZIONE OGGI Tutorial NIS2: gli adempimenti alla nuova direttiva La Direttiva NIS2 rappresenta un aggiornamento importante nella legislazione dell’Unione Europea per la sicurezza delle reti e delle informazioni. Invita gli Stati membri dell’UE a definire strategie nazionali di cybersicurezza L a Direttiva NIS2, ovvero la Direttiva (UE) 2022/2555 del Parlamento euro- peo e del Consiglio del 14 dicembre 2022 relativa amisure per un livello co- mune elevato di cibersicurezza nell’U- nione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 - recepi- ta in Italia con il decreto legislativo 4 settembre 2024, n. 138 si basa su tre pilastri: Responsabilità degli Stati membri: a livello nazionale ogni Stato deve prevedere una strategia di cybersecurity e strutturarsi con un’autorità nazionale competente (ACN) e un gruppo di risposta agli incidenti di sicurezza informatica (Csirt), oltre a garantire una poli- tica coordinata di divulgazione delle vulne- rabilità (vedi box) e una struttura di gestione delle crisi di sicurezza informatica. Cooperazione tra Stati membri: la direttiva NIS2 promuove la collaborazione a livello UE attraverso reti e gruppi dedicati. Ogni Stato membro partecipa a tre reti, ciascuna con un diverso mandato: il gruppo di cooperazione NIS, costituito dalle autorità nazionali com- petenti, facilita la cooperazione strategica e lo scambio di informazioni fra Stati membri; la rete dei gruppi Csirt degli Stati membri coopera per affrontare gli incidenti tran- sfrontalieri a livello tecnico, e la rete CyClone (Rete europea delle organizzazioni di colle- gamento per le crisi informatiche), costituita Cristina Paveri Direttiva NIS dalle autorità nazionali di gestione delle crisi di sicurezza informatica, supporta la gestione coordinata degli incidenti e delle crisi di sicu- rezza informatica su vasta scala a livello ope- rativo. Lo scopo della collaborazione fra Stati membri è aumentare le capacità di cyberse- curity dei singoli e imparare dalle esperienze condivise per ottenere un elevato livello di sicurezza informatica comune e, attraverso la mutua collaborazione tra le singole autorità competenti, potenziare la supervisione tran- sfrontaliera. Gli Stati membri devono, inoltre, cooperare in merito a divulgazione delle vul- nerabilità, valutazione dei rischi delle supply chain critiche e gestione degli incidenti su vasta scala. Obblighi dei soggetti: misure di gestione dei rischi di cybersecurity, segnalazione degli incidenti e responsabilità degli organismi di gestione sono i requisiti principali che sa- ranno approfonditi nelle sezioni successive dell’articolo. La Direttiva NIS2 introduce diverse novità: • Amplia l’ambito di applicazione a più settori e sottosettori in base al loro grado di digitalizzazione, interconnes- sione e criticità per l’economia e la so- cietà. Distingue, inoltre, tra soggetti essenziali e importanti. • Amplia le misure di gestione dei rischi di cybersecurity e aumenta le responsabi- lità dei vertici aziendali. • Modifica e struttura gli obblighi di no- tifica degli incidenti introducendo sca- denze specifiche per gli incidenti che hanno un impatto significativo. • Rafforza la supervisione dei soggetti con l’introduzione di requisiti minimi distinti per soggetti essenziali e importanti e di meccanismi di collaborazione transfron- taliera. • Introduce il registro transfrontaliero eu- ropeo dove, gli Stati membri sono tenuti a registrare i soggetti, e un database Whois gestito dai singoli Stati membri con i dati di registrazione dei nomi di dominio e i dettagli di contatto di tito- lari e amministratori per rafforzare la sicurezza, la stabilità e la resilienza DNS - Domain Name System. • Infine, la Direttiva introduce un pro- cesso strutturato di segnalazione delle vulnerabilità per fabbricanti o fornitori di servizi, al fine di garantire che le vul- nerabilità stesse siano gestite e risolte tempestivamente. Fig. 1 - Novità della NIS2 decreto legislativo 4 settembre 2024, n. 138 figura Enisa