Le Direttive NIS sono atti normativi dell’Unione europea che disciplinano la Network and Information Security, da cui l’acronimo NIS.
La Direttiva NIS 1 (Direttiva 2016/1148) è stata adottata nel 2016 e rappresenta la prima misura legislativa a livello europeo volta a migliorare la cooperazione tra gli Stati membri e creare un primo livello di armonizzazione in materia di sicurezza cibernetica. Nel 2022 è intervenuta sulla stessa materia la Direttiva NIS 2 (Direttiva (UE) 2022/2555), che ha aggiornando il quadro regolatorio e abrogato la NIS 1.

L’obiettivo principale della direttiva NIS 2 è aumentare la resilienza delle infrastrutture critiche e migliorare la gestione dei rischi di sicurezza informatica, alla luce di un panorama digitale sempre più complesso e vulnerabile agli attacchi cyber. Gli Stati membri dell’UE erano tenuti a recepire la direttiva nei rispettivi ordinamenti nazionali entro il 17 ottobre 2024. In Italia, la direttiva è stata recepita dal d.lgs. 138/2024, cd “Decreto NIS”.

Tra le principali novità della Direttiva NIS 2 si segnala, innanzitutto, l’ampliamento dell’ambito di applicazione: vengono ricompresi più settori considerati critici, che si affiancano a quelli già coperti dalla NIS 1, come energia, trasporti e sanità. In particolare, la NIS 2 estende la propria portata anche a settori quali i servizi postali e di corriere, la gestione dei rifiuti, l’industria chimica, alimentare e manifatturiera, includendo automaticamente tutte le imprese di medie e grandi dimensioni che operano in tali ambiti.

La nuova normativa prevede anche più stringenti requisiti di sicurezza. Le organizzazioni che rientrano nel campo di applicazione della direttiva sono tenute ad adottare misure tecniche e organizzative adeguate alla gestione dei rischi informatici, tra cui l’implementazione di sistemi di prevenzione, rilevamento e risposta agli incidenti, lo sviluppo di piani di continuità operativa per garantire la resilienza dei servizi essenziali, nonché la valutazione e mitigazione dei rischi derivanti dalla supply chain e dai fornitori terzi.

Sono, inoltre, introdotti obblighi più rigorosi in materia di notifica degli incidenti: le organizzazioni devono segnalare gli incidenti significativi entro 24 ore dalla loro individuazione, e fornire una relazione dettagliata entro 72 ore, specificando le misure adottate e l’impatto complessivo dell’evento.

Dal punto di vista istituzionale, la NIS 2 rafforza anche i meccanismi di cooperazione tra Stati membri, promuovendo un maggiore coordinamento a livello europeo attraverso la creazione di un Gruppo di Cooperazione e il potenziamento della rete CSIRTs (Computer Security Incident Response Teams), al fine di facilitare lo scambio di informazioni e la gestione coordinata delle crisi cyber.

Infine, viene definito un quadro sanzionatorio più incisivo, che impone agli Stati membri di prevedere sanzioni efficaci, proporzionate e dissuasive in caso di violazione degli obblighi previsti dalla direttiva. Le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale annuo dell’impresa, a seconda di quale dei due importi risulti maggiore.