La direttiva (UE) 2022/2555, nota come NIS2, stabilisce un quadro normativo comune per la cibersicurezza volto a migliorare il livello di cibersicurezza nell’Unione europea (Unione), richiedendo agli Stati membri dell’Unione di rafforzare le capacità di cibersicurezza. Introduce altresì misure di gestione dei rischi e di segnalazione nei settori critici, insieme a norme sulla cooperazione, la condivisione delle informazioni, la vigilanza e l’esecuzione delle norme.
PUNTI CHIAVE
La cibersicurezza riguarda le attività necessarie per proteggere le reti e i sistemi informatici, gli utenti di tali sistemi e altre persone colpite da minacce informatiche.
Settori critici
La direttiva si applica principalmente agli organismi di medie e grandi dimensioni che operano nei seguenti settori ad alta criticità, come definiti nell’allegato I:
energia;
energia elettrica, compresi i sistemi di produzione, distribuzione e trasmissione e i punti di ricarica;
teleriscaldamento e teleraffreddamento;
petrolio, compresi oleodotti di produzione, deposito e trasmissione;
gas, compresi i sistemi di fornitura, distribuzione, trasmissione e lo stoccaggio;
idrogeno;
trasporto aereo, ferroviario, per vie d’acqua e su strada;
infrastrutture bancarie e dei mercati finanziari quali enti creditizi, gestori delle sedi di negoziazione e controparti centrali;
settore sanitario, compresi prestatori di assistenza sanitaria, soggetti che fabbricano prodotti farmaceutici di base e dispositivi medici critici e laboratori di riferimento dell’Unione;
acqua potabile;
acque reflue;
infrastruttura digitale, compresi fornitori di servizi di data center, servizi di cloud computing, reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
servizi gestiti dalle TIC (business-to-business);
spazio;
amministrazione pubblica a livello centrale e regionale, esclusi il potere giudiziario, i parlamenti e le banche centrali; la direttiva non si applica agli enti pubblici che svolgono attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’applicazione della legge.
Si applica inoltre ad altri settori critici, come definiti nell’allegato II:
servizi postali e di corriere;
gestione dei rifiuti;
fabbricazione, produzione e distribuzione di prodotti chimici;
produzione, trasformazione e distribuzione di alimenti;
fabbricazione, in particolare di dispositivi medici, computer, prodotti di elettronica e ottica, determinate apparecchiature elettriche e macchinari, veicoli a motori e altri mezzi di trasporto;
fornitori di servizi digitali di mercati online, motori di ricerca e reti sociali;
organizzazioni di ricerca.
Strategia nazionale per la cibersicurezza
Ogni Stato membro deve adottare una strategia nazionale per raggiungere e mantenere un elevato livello di cibersicurezza nei settori critici, tra cui:
un quadro di governance che chiarisca i ruoli e le responsabilità dei pertinenti portatori di interessi a livello nazionale;
politiche relative alla sicurezza delle catene di approvvigionamento;
politiche di gestione delle vulnerabilità;
politiche di promozione e sviluppo dell’istruzione e della formazione sulla cibersicurezza;
misure per migliorare la consapevolezza in materia di cibersicurezza tra la cittadinanza.
Gli Stati membri devono redigere un elenco di enti essenziali e importanti, insieme agli enti che forniscono servizi di registrazione dei nomi di dominio, entro il . Devono riesaminare e, se del caso, aggiornare tale elenco regolarmente e, successivamente, almeno ogni due anni. La Commissione europea ha adottato degli orientamenti relativi alle informazioni che devono essere raccolte al momento della stesura di tali elenchi, nonché un modello per la loro compilazione.
La Commissione ha inoltre pubblicato orientamenti che chiariscono le norme sulla relazione tra la direttiva (UE) 2022/2555 e gli atti giuridici settoriali dell’Unione, attuali e futuri, che affrontano le misure di gestione del rischio per la cibersicurezza o gli obblighi di segnalazione degli incidenti. L’appendice agli orientamenti fornisce un elenco non esaustivo degli atti giuridici settoriali che la Commissione ritiene rientrino nell’ambito di applicazione dell’articolo 4 della direttiva (UE) 2022/2555.
I team di risposta agli incidenti di sicurezza informatica (CSIRT) forniscono assistenza tecnica ai soggetti, attraverso:
il monitoraggio e l’analisi delle minacce informatiche, delle vulnerabilità e degli incidenti a livello nazionale;
l’emissione di preallarmi, allerte e bollettini e la divulgazione di informazioni ai soggetti interessati e agli altri portatori di interessi pertinenti, in merito a minacce informatiche, vulnerabilità e incidenti, se possibile in tempo prossimo al reale;
la risposta agli incidenti e l’assistenza, se del caso;
la raccolta e l’analisi di dati forensi, fornendo un’analisi dinamica dei rischi e degli incidenti, nonché una consapevolezza situazionale riguardo alla cibersicurezza;
l’effettuazione, su richiesta, di una scansione proattiva dei sistemi informatici e di rete per rilevare le vulnerabilità con un impatto potenzialmente significativo.
Rete di CSIRT
La direttiva stabilisce una rete di CSIRT nazionali al fine di promuovere una cooperazione operativa rapida ed efficace.
La direttiva istituisce un gruppo di cooperazione per sostenere e facilitare la cooperazione strategica e lo scambio di informazioni. È composto da rappresentanti degli Stati membri, della Commissione e dell’ENISA. Se del caso, il gruppo di cooperazione può invitare il Parlamento europeo e i rappresentanti dei portatori di interessi pertinenti a partecipare ai lavori.
La rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe) comprende rappresentanti delle autorità di gestione delle crisi informatiche degli Stati membri, insieme alla Commissione nei casi in cui un incidente di cibersicurezza su vasta scala potenziale o in corso abbia o possa avere un impatto significativo sui settori contemplati dalla direttiva. Negli altri casi, la Commissione partecipa alle attività della rete in qualità di osservatrice.
La rete sostiene la gestione coordinata degli incidenti di cibersicurezza su vasta scala a livello operativo e garantisce lo scambio regolare di informazioni tra gli Stati membri e le istituzioni, gli organi, gli uffici e le agenzie dell’Unione.
La rete è inoltre incaricata di:
coordinare la gestione degli incidenti e delle crisi di cibersicurezza su vasta scala e sostenere il processo decisionale a livello politico;
aumentare il livello di preparazione;
sviluppare una conoscenza situazionale condivisa;
valutare le conseguenze e l’impatto dei pertinenti incidenti e delle pertinenti crisi di cibersicurezza su vasta scala e proporre possibili misure di attenuazione.
Misure di gestione dei rischi per la cibersicurezza
I soggetti devono adottare misure tecniche, operative e organizzative appropriate per la gestione dei rischi legati alla cibersicurezza. Il catalogo delle misure comprende, tra l’altro, le politiche di sicurezza dell’analisi dei rischi e del sistema informatico, la gestione degli incidenti, la continuità operativa, la gestione delle crisi e il conseguente recupero, la sicurezza della catena di approvvigionamento, la gestione e la divulgazione della vulnerabilità, le pratiche igieniche di base, le politiche e le procedure relative all’uso della crittografia (e della cifratura, se del caso), la sicurezza delle risorse umane e l’utilizzo di soluzioni di autenticazione a più fattori o di autenticazione continua. Tali misure devono basarsi su un approccio multirischio.
Gli organi di gestione devono approvare tali misure e sovrintenderne l’attuazione e possono essere ritenuti responsabili per le infrazioni.
Segnalazione
I soggetti devono notificare al loro CSIRT o all’autorità competente qualsiasi incidente che:
ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
si è ripercosso o è in grado di ripercuotersi su altre persone causando perdite materiali o immateriali considerevoli.
Inoltre, l’ENISA produrrà, congiuntamente alla Commissione e al gruppo di cooperazione, una relazione biennale sullo stato della cibersicurezza nell’Unione, che sarà anche presentata al Parlamento.
Vigilanza ed esecuzione
La direttiva prevede misure e sanzioni per garantire l’esecuzione.
Revisioni tra pari
Vengono introdotte revisioni tra pari per trarre insegnamenti dalle esperienze condivise, rafforzare la fiducia reciproca e conseguire un livello comune elevato di cibersicurezza, migliorare le capacità e le politiche in materia di cibersicurezza degli Stati membri necessarie per l’attuazione della presente direttiva. Tali revisioni comportano visite in loco o virtuali e scambi di informazioni a distanza. La partecipazione a tali revisioni tra pari è volontaria.
Il regolamento di esecuzione (UE) 2024/2690 stabilisce le norme per l’applicazione della direttiva (UE) 2022/2555 per quanto riguarda i requisiti tecnici e metodologici delle misure di gestione del rischio per la cibersicurezza e specifica inoltre i casi in cui un incidente è considerato significativo per quanto riguarda:
fornitori di servizi di sistema per nomi di dominio;
registri dei nomi di dominio di primo livello;
fornitori di servizi di cloud computing;
fornitori di servizi di data center;
fornitori di reti di distribuzione dei contenuti;
fornitori di servizi gestiti;
fornitori di servizi di sicurezza gestiti;
fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network; e
prestatori di servizi fiduciari.
Abrogazione
La direttiva (UE) 2022/2555 ha abrogato la direttiva (UE) 2016/1148 (si veda la sintesi) a partire dal , e il regolamento di esecuzione (UE) 2024/2690 ha abrogato il regolamento di esecuzione (UE) 2018/151, che ha stabilito le norme per l’applicazione della direttiva (UE) 2016/1148.
A PARTIRE DA QUANDO SI APPLICANO LE NORME?
La direttiva doveva essere recepita nel diritto nazionale entro il . Le norme si applicano dal .
Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del , relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (GU L 333 del , pag. 80).
I successivi emendamenti alla direttiva (UE) 2022/2555 sono stati incorporati nel documento originale. La versione consolidata ha esclusivamente valore documentale.
DOCUMENTI CORRELATI
Regolamento di esecuzione (UE) 2024/2690 della Commissione, del , recante modalità di applicazione della direttiva (UE) 2022/2555 per quanto riguarda i requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza e l’ulteriore specificazione dei casi in cui un incidente è considerato significativo per quanto riguarda i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network e i prestatori di servizi fiduciari (GU L, 2024/2690, ).
Comunicazione della Commissione — Orientamenti della Commissione sull’applicazione dell’articolo 3, paragrafo 4, della direttiva (UE) 2022/2555 (direttiva NIS 2) 2023/C 324/02 (GU C 324 del , pag. 2).
Comunicazione della Commissione — Orientamenti della Commissione sull’applicazione dell’articolo 4, paragrafi 1 e 2, della direttiva (UE) 2022/2555 (direttiva NIS 2) 2023/C 328/02 (GU C 328 del , pag. 2).
Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del , relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (GU L 333 del , pag. 1).
Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del , relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio (GU L 333 del , pag. 164).
Regolamento (UE) 2021/696 del Parlamento europeo e del Consiglio, del , che istituisce il programma spaziale dell’Unione e l’Agenzia dell’Unione europea per il programma spaziale e che abroga i regolamenti (UE) n. 912/2010, (UE) n. 1285/2013 e (UE) n. 377/2014 e la decisione n. 541/2014/UE (GU L 170 del , pag. 69).
Regolamento (UE) 2021/694 del Parlamento europeo e del Consiglio, del , che istituisce il programma Europa digitale e abroga la decisione (UE) 2015/2240 (GU L 166 dell’, pag. 1).
Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del , relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 (regolamento sulla cibersicurezza) (GU L 151 del , pag. 15).
Raccomandazione (UE) 2019/534 della Commissione, del , Cibersicurezza delle reti 5G (GU L 88 del , pag. 42).
Regolamento (UE) 2018/1139 del Parlamento europeo e del Consiglio, del , recante norme comuni nel settore dell’aviazione civile, che istituisce un’Agenzia dell’Unione europea per la sicurezza aerea e che modifica i regolamenti (CE) n. 2111/2005, (CE) n. 1008/2008, (UE) n. 996/2010, (UE) n. 376/2014 e le direttive 2014/30/UE e 2014/53/UE del Parlamento europeo e del Consiglio, e abroga i regolamenti (CE) n. 552/2004 e (CE) n. 216/2008 del Parlamento europeo e del Consiglio e il regolamento (CEE) n. 3922/91 del Consiglio (GU L 212 del , pag. 1).
Direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio, dell’, che istituisce il codice europeo delle comunicazioni elettroniche (rifusione) (GU L 321 del , pag. 36).
Decisione di esecuzione (UE) 2018/1993 del Consiglio, dell’, relativa ai dispositivi integrati dell’Unione per la risposta politica alle crisi (GU L 320 del , pag. 28).
Raccomandazione (UE) 2017/1584 della Commissione, del , relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala (GU L 239 del , pag. 36).
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del , relativo alla protezione delle persone fisiche in materia di trattamento dei dati personali e alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (GU L 119 del , pag. 1).
Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del , in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (GU L 257 del , pag. 73).
Direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del , relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio (GU L 218 del , pag. 8).
Decisione n. 1313/2013/UE del Parlamento europeo e del Consiglio, del , su un meccanismo unionale di protezione civile (GU L 347 del , pag. 924).
Direttiva 2011/93/UE del Parlamento europeo e del Consiglio, del , relativa alla lotta contro l’abuso e lo sfruttamento sessuale dei minori e la pornografia minorile, e che sostituisce la decisione quadro 2004/68/GAI del Consiglio (GU L 335 del , pag. 1).
Regolamento (CE) n. 300/2008 del Parlamento europeo e del Consiglio, dell’, che istituisce norme comuni per la sicurezza dell’aviazione civile e che abroga il regolamento (CE) n. 2320/2002 (GU L 97 del , pag. 72).
Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del , relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del , pag. 37).