La direttiva NIS 2 stabilisce un quadro normativo volto a migliorare il livello di cibersicurezza dell'Unione europea. La Direttiva si applica principalmente agli organismi di medie e grandi dimensioni che operano nei settori elencati nell'allegato I ("Settori ad alta criticità", tra cui l'energia, i trasporti e il settore bancario) e nell'allegato II ("Altri settori critici", tra cui i servizi postali, la gestione dei rifiuti e la produzione di alimenti).
La Direttiva NIS2 rappresenta un passo significativo verso il rafforzamento della cybersecurity all’interno dell’Unione Europea. La NIS2, che sostituirà la direttiva NIS, persegue l’obiettivo di una creazione di un framework di cybersicurezza europeo che armonizzi e superi le discrasie applicative fra stati membri della precedente direttiva.
L'Autorità per la cybersicurezza nazionale (ACN) ha di recente pubblicato il report “La minaccia cibernetica al settore sanitario", in cui analizza le dinamiche degli attacchi cyber per il periodo gennaio 2022 – agosto 2024 per poi formulare specifiche raccomandazioni volte a rafforzare la resilienza del settore.
Il 17 ottobre la Commissione UE ha approvato un importante atto di esecuzione in tema di cybersicurezza, tuttavia, in molti Paesi membri dell'Unione si registra una significativa carenza di competenze nel settore, con una domanda di esperti che supera di gran lunga l'offerta.
Il 27 dicembre 2022 è stata pubblicata sulla Gazzetta Ufficiale dell’Unione Europea la Direttiva UE 2022/2555, nota come Direttiva NIS 2, con l’obiettivo di migliorare la capacità di prevenzione, risposta e resilienza agli incidenti di cybersecurity di operatori definiti come “Essenziali” e “Importanti”, che forniscono beni e/o servizi di specifica rilevanza per la collettività.
La recente Direttiva NIS 2 si integra con le varie normative e linee guida europee in tema di protezione dati e privacy: l’obiettivo è rafforzare le misure di cybersecurity. La NIS 2 introduce significative novità come, ad esempio, un approccio multirischio e misure di sicurezza specifiche.
Prima denuncia di attacchi informatici entro 24 ore e, a seguire, notifica completa entro 72 ore: sono questi alcuni degli obblighi specifici, in caso di data breach, previsti dallo schema di decreto legislativo di recepimento della direttiva UE 2022/2555 (nota con l’acronimo NIS 2) licenziato, in via preliminare, del consiglio dei ministri del 10/6/2024.
Per leggere questo articolo devi essere registrato ed effettuare il login!
Manager in allarme: in caso di violazione degli obblighi di cybersicurezza sono messi in panchina. La normativa “NIS2” prevede, infatti, la possibilità di applicare sanzioni temporanee di natura interdittiva (sospensione dalle funzioni) direttamente agli organi di amministrazione e direttivi delle aziende. È quanto mette in evidenza Assonime con la circolare n. 1 del 30/1/2025.
Per leggere questo articolo devi essere registrato ed effettuare il login!
È noto che dal 16 ottobre 2024 è in vigore la nuova normativa Network and Information Security (NIS2). Tale normativa prevede obblighi e adempimenti in capo ai soggetti interessati, per garantire l’aumento del livello di sicurezza informatica del Paese.
Privacy e cibersicurezza a braccetto. Ma si applica il ne bis in idem delle sanzioni in caso di data breach. Le imprese e le pubbliche amministrazioni, tenute agli adempimenti di cibersicurezza, devono anche osservare gli obblighi del Gdpr, tra cui la notifica del data breach al Garante della privacy.
Per leggere questo articolo devi essere registrato ed effettuare il login!
