Obblighi di governance, doveri di segnalazione, sicurezza della catena di approvvigionamento, divulgazione delle vulnerabilità dei sistemi e certificazioni obbligatorie di cybersecurity: le novità della NIS 2
La normativa europea sulla sicurezza informatica, introdotta nel 2016 con la ancora vigente direttiva NIS1 (direttiva (UE) 2016/1148), è stata aggiornata dalla direttiva NIS 2 (direttiva (UE) 2022/2555), entrata in vigore il 17 gennaio 2023 che abrogherà, a partire dal 18 ottobre 2024, la precedente direttiva NIS 1.
L'obiettivo della direttiva NIS 2 è quello di affrontare un panorama di minacce mutato radicalmente e ovviare alle problematiche che hanno impedito alla direttiva NIS 1 di ottenere i risultati sperati, nonostante abbia certamente consentito di compiere significativi progressi nell’aumentare il livello di cyber-resilienza all’interno dell’Unione.
La direttiva NIS 2 ha infatti modernizzato il quadro giuridico esistente per tenere il passo con la crescente digitalizzazione e l'evoluzione del panorama delle minacce alla sicurezza informatica. Ampliando l'ambito di applicazione delle norme di cybersecurity a nuovi settori ed entità, migliora ulteriormente la resilienza e le capacità di risposta agli incidenti degli enti pubblici e privati, delle autorità competenti e dell'Unione Europea nel suo complesso.
Tramite questo Whitepaper, EY offre un’analisi dettagliata del nuovo testo normativo, evidenziando – anche attraverso un confronto tra le normative che si sono succedute nel tempo – i principali aspetti di novità della direttiva NIS 2 rispetto ai quali i soggetti rientranti nel perimetro di applicazione dovranno adeguarsi. Tra queste novità vengono esaminate le più rilevanti, ovvero: obblighi di governance, doveri di segnalazione, sicurezza della catena di approvvigionamento, divulgazione delle vulnerabilità dei sistemi e certificazioni obbligatorie di cybersecurity
Infine, il documento espone quelli che, in attesa della normativa nazionale di recepimento, rappresentano i principali punti aperti così come i punti di discussione che stanno attualmente occupando gli esperti – tecnici e legali – in materia di cybersicurezza.