Registrazione delle entità essenziali e importanti
Entro il 17 aprile 2025, gli Stati membri devono identificare le entità essenziali e importanti nell'ambito della Direttiva NIS2. Gli Stati membri possono consentire alle entità di registrarsi autonomamente. Pertanto, le entità dovranno determinare se i loro servizi rientrano nell'ambito della NIS2, identificare l'elenco degli Stati membri in cui forniscono servizi "in ambito" e registrarsi entro la scadenza in ogni Stato membro.
La registrazione richiederà alle entità di fornire almeno le seguenti informazioni:
- Il loro nome, indirizzo e numero di registrazione
- Il settore o sottosettore nell'ambito della NIS2 a cui appartengono
- I loro dettagli di contatto aggiornati
- Gli Stati membri in cui operano
- L'elenco dei loro indirizzi IP assegnati
Il processo di registrazione finale e l'elenco delle informazioni richieste saranno definiti come parte del recepimento della Direttiva nella legislazione.
Migliore cooperazione (piattaforma CSIRT)
Un altro elemento importante della nuova Direttiva è l'intenzione di migliorare la cooperazione degli Stati membri dell'UE riguardo agli incidenti e alle minacce informatiche. L'Agenzia dell'Unione Europea per la Cybersecurity (ENISA) avrà il mandato di stabilire un database europeo di divulgazione delle vulnerabilità per facilitare la condivisione delle conoscenze tra gli Stati membri.
Segnalazione degli incidenti
Come già stabilito per la NIS1, ogni Stato membro avrà un punto di contatto centrale per la conformità alla Direttiva e un CSIRT (Computer Security Incident Response Teams) coordinatore per la segnalazione degli incidenti o un'autorità competente. In Italia, ad esempio, questo sarà il ruolo di ACN (Agenzia per la Cybersicurezza Nazionale).
La NIS2 ha progettato un nuovo cronoprogramma per la segnalazione degli incidenti. Ogni incidente con impatto significativo deve essere notificato dalle entità essenziali e importanti senza indebito ritardo. Entro 24 ore, un avviso preliminare deve essere comunicato, così come alcune prime ipotesi riguardo al tipo di incidente all'autorità competente o al CSIRT. Dopo 72 ore, deve essere comunicato un rapporto di notifica completo, contenente la valutazione dell'incidente, la gravità e l'impatto e gli indicatori di compromissione. Dopo 1 mese, deve essere comunicato un rapporto finale.
A tal riguardo, la Direttiva incoraggia gli Stati membri a semplificare il processo di segnalazione degli incidenti implementando un punto di accesso unico per ridurre l'onere amministrativo, anche per gli incidenti transfrontalieri. Il CSIRT, o se applicabile l'autorità competente, deve riferire ad ENISA gli incidenti ogni tre mesi, utilizzando informazioni anonime. Con tutte queste informazioni, ENISA a sua volta riferirà ogni sei mesi sugli incidenti nell'UE. Questa segnalazione aiuterà le organizzazioni e gli Stati membri a imparare da altri incidenti ed è un cambiamento cruciale nella nuova Direttiva NIS2.
Focus sulle catene di approvvigionamento chiave
Gli incidenti recenti in tutto il mondo hanno dimostrato l'importanza della continuità all'interno delle catene di approvvigionamento critiche, motivo per cui la NIS2 l'ha introdotta come uno dei punti focali chiave. Le singole imprese saranno responsabili di affrontare i rischi di cybersecurity nelle proprie catene di approvvigionamento, così come nei rapporti con i fornitori.
Questo requisito potrebbe influenzare indirettamente molti fornitori che non rientrano nell'ambito della nuova Direttiva NIS2, ma che potrebbero fornire servizi o prodotti a un'entità nell'ambito della NIS2. Pertanto, il loro cliente potrebbe imporre una maturità minima in materia di cybersecurity al fornitore. Il fornitore non sarà supervisionato dalle autorità nazionali riguardo alla NIS2, ma dal cliente. Quindi, anche se l’organizzazione non è nell'ambito, potrebbe comunque essere influenzata a seconda dei servizi e del settore.
Responsabilità della gestione
Un'altra importante aggiunta alla NIS1 è la responsabilità che la nuova Direttiva assegna alla gestione delle organizzazioni nell'ambito. Sarà obbligatorio per la gestione assumersi la responsabilità riguardo alla propria maturità in materia di cybersecurity. Questo includerà la conduzione di valutazione del rischio e l'approvazione dei piani di risk management da implementare, tra altri compiti. Per svolgere queste azioni, la gestione dovrà seguire una formazione in cybersecurity. La Direttiva suggerisce anche di formare non solo la gestione, ma anche i dipendenti, per una conoscenza più approfondita della cybersecurity.
Complessità giurisdizionale
Secondo la Direttiva NIS2, le entità essenziali e importanti sono considerate sotto la giurisdizione dello Stato membro in cui forniscono i loro servizi.Se l'entità fornisce servizi in più di uno Stato membro, essa dovrebbe ricadere sotto la giurisdizione di ciascuno di questi Stati membri. Per le entità in cui il servizio è fornito o dipende da operazioni al di fuori dell'UE, esse devono garantire la continuità dei loro servizi nell'UE in caso di interruzione delle loro operazioni extra-UE.
Sanzioni
La NIS1 prevedeva sanzioni per la non conformità da parte degli OES e dei DSP, mentre la NIS2 introduce sanzioni più severe per la non conformità, inclusi multe fino al 10% del fatturato annuale di un'entità. Per le entità essenziali: sanzioni amministrative fino a €10.000.000 o almeno il 2% del fatturato mondiale totale annuo nell'anno fiscale precedente della società a cui appartiene l'entità essenziale, a seconda di quale importo sia superiore. Per le entità importanti: sanzioni amministrative fino a €7.000.000 o almeno l'1,4% del fatturato mondiale totale annuo nell'anno fiscale precedente della società a cui appartiene l'entità importante, a seconda di quale importo sia superiore. r.