# La Direttiva Europea Nis2: Un Nuovo Scudo per la Cybersecurity in Europa

Negli ultimi anni, le minacce informatiche hanno assunto una new dimensione, rivelandosi un pericolo crescente per le aziende e le istituzioni pubbliche. La Direttiva Europea Nis2 si propone di affrontare questa sfida con regole più rigorose per la sicurezza delle reti e delle informazioni. Questo nuovo quadro normativo, che aggiorna linee guida risalenti al 2016, è stato elaborato in risposta a eventi come la pandemia da COVID-19 e l’invasione dell’Ucraina, che hanno messo a dura prova il sistema informatico europeo.

### Obiettivi della Direttiva Nis2

L’obiettivo principale di Nis2 è di innalzare i livelli di sicurezza cibernetica in Europa attraverso una cooperazione più forte tra gli Stati membri. Ciò implica una responsabilizzazione maggiore per le aziende pubbliche e private, obbligandole a rafforzare le loro contromisure contro le minacce informatiche. A partire da metà ottobre 2024, la normativa è diventata operativa in Italia, segnando un passo importante verso un’architettura informatica più resiliente.

### Settori Soggetti a Regole Gratuite

La direttiva coinvolge un ampio spettro di settori ritenuti essenziali per l’economia europea. In particolare, le norme interesseranno le grandi aziende (con oltre 250 dipendenti o un fatturato superiore ai 50 milioni di euro) e le medie imprese (fino a 50 dipendenti o fatturato di oltre dieci milioni di euro). Inoltre, anche le piccole e le microimprese potranno essere coinvolte, a seconda del loro ruolo o importanza nella catena del valore.

I settori che dovranno adeguarsi sono ben diciotto, suddivisi in due categorie. Dieci sono considerati “ad alta criticità” e includono:

– Fornitori di energia
– Trasporti
– Settore bancario
– Infrastrutture dei mercati finanziari
– Sanità
– Distribuzione di acqua
– Raccolta e smaltimento delle acque reflue
– Infrastrutture digitali
– Tecnologie dell’informazione e della comunicazione (ICT)
– Servizi spaziali

Gli “altri settori critici” comprendono invece:

– Servizi postali
– Rifiuti
– Fabbricazione e distribuzione di sostanze chimiche
– Settore alimentare
– Produzione di dispositivi tecnologici
– Fornitori di servizi digitali
– Organizzazioni di ricerca

In questo contesto, la pubblica amministrazione e altre attività come il trasporto pubblico sono anch’esse incluse tra i soggetti a cui la normativa si applica.

### Il Ruolo dell’Agenzia per la Cybersicurezza Nazionale

L’Agenzia per la cybersicurezza nazionale (Acn) è chiamata a ricoprire un ruolo fondamentale nell’attuazione della Direttiva Nis2. Essa fungerà non solo da punto di riferimento per le istituzioni europee in materia di cybersecurity, ma anche da ente preposto alla gestione degli incidenti informatici nel paese.

In particolare, l’Acn avrà il compito di classificare le aziende in due categorie: essenziali e importanti. Questa distinzione, basata su criteri di rilevanza settoriale, permetterà di applicare le nuove normative in modo proporzionale e specifico. Le aziende classificate come essenziali saranno soggette a sanzioni più severe in caso di inadempimento alle direttive.

### Come Fanno le Aziende a Saperne di Più

Le aziende interesser vogliono sapere se la Nis2 le riguarda devono registrarsi sulla piattaforma dedicata dell’Acn. A partire dal 1° dicembre 2024, il punto di contatto all’interno dell’organizzazione dovrà effettuare l’iscrizione, compilando una serie di informazioni richieste, tra cui il titolo giuridico, il codice fiscale e il codice IPA dell’impresa.

Dopo la registrazione, l’Acn invierà un link di convalida, attraverso il quale le imprese dovranno inserire altre informazioni per determinare se rientrano nel perimetro della Nis2. Questo processo di registrazione dovrà essere completato entro il 28 febbraio 2025, ma con scadenze differenziate per alcune categorie di servizi critici, che dovranno registrarsi entro il 17 gennaio 2025.

Entro il 31 marzo 2025, le aziende