La direttiva NIS2 entra nel vivo dal 17 ottobre, data in cui il provvedimento dovrà essere recepito dai singoli Stati UE. I rapporti con microimprese e mondo sanitario
1. Cos'è la direttiva europea NIS2 e qual è la sua finalità
La direttiva NIS2 (direttiva UE 2022/2555) è una normativa UE avente l’obiettivo di potenziare la sicurezza delle reti e dei sistemi informatici, all’interno degli Stati dell’Unione. Si tratta di una sorta di aggiornamento dell’anteriore direttiva NIS1, risalente al 2016, che include requisiti più stringenti per le organizzazioni operanti in settori essenziali a livello economico e sociale, e a rischio di attacco da parte di cybercriminali (sabotaggio e furto di dati sensibili).
Entrata in vigore il 17 gennaio 2023, la direttiva NIS2 dovrà essere recepita dai singoli Stati membri entro il 17 ottobre prossimo.
Ma per quale motivo si è resa necessaria una nuova direttiva nelle stesse aree di intervento della NIS1? Ebbene l’emanazione della direttiva NIS 2 è giustificata dalle divergenze nell’attuazione dell’anteriore direttiva, da parte degli Stati dell’Unione. La situazione creatasi ha condotto infatti a livelli disomogenei di sicurezza e vulnerabilità dei dati sensibili all’interno del territorio europeo, in contrasto con gli obiettivi del primo provvedimento.
Ma, proprio come il GDPR (regolamento UE 2016/679), la direttiva NIS2 mira ad armonizzare le misure e gli approcci negli Stati membri, introducendo sanzioni più severe per chi viola le regole.
2. Microimprese
La NIS2 prescrive alle aziende UE e a enti pubblici e privati, operanti nel mercato interno, l’applicazione di una serie di misure di cybersicurezza e attività di gestione del rischio. I destinatari sono i soggetti che svolgono primarie funzioni per l’economia e la società nel suo insieme.
Considerata la fitta rete di di microimprese operanti nel territorio italiano, la domanda potrebbe sorgere spontanea: qual è l’impatto della NIS2 su queste ultime? Ai sensi della Raccomandazione 2003/361/CE si definiscono microimprese tutte quelle aziende che:
- occupano meno di 10 persone;
- hanno un fatturato oppure un totale di bilancio annuo non maggiore di 2 milioni di euro.
Come si può leggere nel suo testo, la NIS 2 si rivolge espressamente alle cd. entità essenziali e entità importanti, ossia imprese che per caratteristiche di fatturato e numero di dipendenti si distinguono nettamente dalle microimprese. Si tratta inoltre di soggetti che svolgono attività in uno dei settori espressamente definiti dalla direttiva NIS2 ad alta criticità o a rischio informatico, come ad es. energia o trasporti.
In sintesi, la direttiva si applica a soggetti pubblici e privati di medie e grandi dimensioni, operanti in settori strategici per l’economia e la società di un paese, mentre le microimprese – in linea generale – non sono soggette agli obblighi della direttiva NIS2, salvo eccezioni specifiche.
Infatti anche una microimpresa potrebbe essere tenuta al rispetto degli obblighi della direttiva, qualora operi in un settore particolarmente sensibile o contribuisca alla fornitura di servizi essenziali per la sicurezza nazionale o il benessere della collettività. Al di là delle dimensioni dell’impresa, saranno quindi assoggettate alla direttiva NIS 2 anche ulteriori tipologie di soggetti come ad es. i fornitori di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico.
Sebbene per la maggior parte delle microimprese, la NIS2 non imporrà nuovi effettivi obblighi, è comunque assai opportuno approntare buone pratiche di sicurezza informatica, per proteggersi da possibili cyberattacchi.
3. Professionisti e strutture sanitarie
Tutelare il dato sensibile è oggi più che mai essenziale, specialmente in campo sanitario. Un incidente informatico in un servizio sanitario, infatti, può esporre le persone a conseguenze assai gravi. Come indica la direttiva, il settore sanità è incluso non a caso tra quelli di primario rilievo nell’economia UE, ed è quindi soggetto ai requisiti e agli obblighi che scaturiscono dalla NIS2.
La direttiva si rivolge anche alle strutture sanitarie perché il settore salute è considerato ad alta criticità e coinvolge dati sensibili e sistemi che, se compromessi, possono avere gravi ripercussioni sulla salute pubblica e la sicurezza nazionale.
È da sottolineare che, rispetto alla precedente direttiva del 2016, il campo di applicazione della NIS2 in sanità è stato esteso al fine di coprire un elenco maggiore di soggetti, tra cui oggi vi sono ad esempio oltre ai prestatori di assistenza sanitaria (come definiti all’art. 3, lettera g) direttiva 2011/24/UE) anche i produttori di dispositivi medici considerati critici nelle emergenze sanitarie pubbliche.
4. Tempistiche di adeguamento alla direttiva NIS2
Come accennato, gli Stati membri UE dovranno recepire la direttiva NIS2 nell’ordinamento nazionale entro il 17 ottobre prossimo. Ogni paese avrà poi tempo fino al 17 gennaio del prossimo anno per informare la Commissione Europea delle regole e delle misure adottate, e fino al 17 aprile 2025 per presentare l’elenco dei soggetti a cui si applicheranno le norme.
Le aziende e i soggetti destinatari degli obblighi verosimilmente avranno un certo periodo di tempo per adeguarsi a quanto stabilito dalle norme interne. Tuttavia, è auspicabile che le imprese inizino a prepararsi appena possibile, in quanto i requisiti della direttiva NIS2 impongono l’implementazione di rilevanti soluzioni tecniche e organizzative, per la gestione dei rischi legati alla sicurezza informatica.
Conclusioni
Il ruolo del consulente privacy è fondamentale per aiutare gli imprenditori a garantire la conformità alle normative sulla privacy e adempiere agli obblighi in materia di protezione dei dati personali. Un consulente privacy è un professionista esperto nel campo della privacy e della protezione dei dati che fornisce consulenza e assistenza alle aziende per gestire e proteggere correttamente i dati personali e li supporta nel processo di analisi della organizzazione per definire se e come quest’ultima debba adeguarsi alla direttiva NIS 2 . Datawave si trova a Pesaro, in viale della Vittoria 161.
Richiedi maggiori informazioni.