Modulo 1.2 - Dalla NIS alla NIS2

[Audio] Bentornati al corso sulla Direttiva NIS2. In questa seconda lezione facciamo un passo indietro per capire da dove nasce questa normativa e dove vuole arrivare. Il titolo è: dalla NIS alla NIS2, evoluzione normativa, oggetto e obiettivi della Direttiva europea 2022/2555. Anche oggi useremo un linguaggio semplice, senza dare nulla per scontato: l'obiettivo non è trasformarvi in giuristi o in esperti di informatica, ma farvi capire perché esiste questa legge, come si è arrivati fin qui e quali traguardi si propone. Capire il contesto ci aiuta a dare un senso a tutte le regole pratiche che vedremo nei moduli successivi. Nei prossimi quattordici minuti ripercorreremo quindi la storia della normativa europea sulla cybersicurezza, vedremo che cosa significa concretamente la Direttiva NIS2 e quali sono i suoi obiettivi principali. Partiamo..

[Audio] Ecco il percorso della lezione, diviso in quattro tappe. Primo punto: vediamo da dove nasce questa normativa, cioè la prima legge europea dedicata alla cybersicurezza e perché, con il tempo, non era più sufficiente. Secondo: ripercorriamo le tappe principali, il cammino che dalla prima direttiva, chiamata NIS, ci porta alla NIS2 e fino al suo recepimento in Italia. Terzo: entriamo nel cuore della Direttiva 2022/2555, per capire che cosa regola e quali obiettivi concreti si pone. Quarto: mettiamo a confronto la nuova normativa con quella precedente, per cogliere le principali novità. Come vedete, andremo dal generale al particolare: prima il contesto e la storia, poi i contenuti e i traguardi. Tenete a mente questi quattro passaggi, perché ci faranno da bussola. Cominciamo dalla prima tappa: le origini..

[Audio] Partiamo dalle origini. Nel 2016 l'Unione europea ha approvato la sua prima normativa dedicata alla sicurezza informatica: si chiamava Direttiva NIS, dall'inglese Network and Information Security, cioè sicurezza delle reti e dei sistemi informativi. Era un passo importante, perché per la prima volta si chiedeva agli Stati membri di proteggere meglio i servizi più importanti per la società, come l'energia, i trasporti o la sanità. Con il passare degli anni, però, lo scenario è cambiato profondamente. Gli attacchi informatici sono diventati più frequenti e più sofisticati, e ci si è accorti che le regole venivano applicate in modo molto diverso da un Paese all'altro. In altre parole, la prima direttiva non bastava più: serviva una legge più ampia, più aggiornata e soprattutto più uniforme in tutta l'Unione. Da questa esigenza nasce la NIS2, la direttiva di cui parliamo in questo corso..

[Audio] Vediamo ora le tappe principali, come in una linea del tempo. Tutto comincia nel 2016, con la prima direttiva NIS. Nel dicembre 2020 la Commissione europea propone una versione rinnovata e più robusta, la NIS2. Dopo il percorso di approvazione, nel dicembre 2022 la Direttiva 2022/2555 viene adottata ufficialmente, e all'inizio del 2023 entra in vigore in tutta l'Unione. C'è poi una data chiave: l'ottobre 2024. Entro quel termine ogni Stato membro doveva tradurre la direttiva nella propria legge nazionale, e da quel momento la vecchia NIS viene sostituita definitivamente. In Italia il recepimento è avvenuto nel 2024 con il Decreto legislativo 138. Non serve memorizzare tutte le date: il messaggio da trattenere è semplice. La NIS2 è stata adottata nel 2022, è in vigore dal 2023 e in Italia è diventata pienamente operativa nel 2024. Da allora, è la cornice di riferimento per la cybersicurezza dei servizi essenziali..

[Audio] Concentriamoci ora sulla domanda centrale: che cos'è, in concreto, la Direttiva NIS2? Detto con le parole della norma, la Direttiva 2022/2555 stabilisce le misure per raggiungere un livello comune ed elevato di cibersicurezza in tutta l'Unione. Allo stesso tempo, abroga e sostituisce la vecchia direttiva del 2016: da oggi il punto di riferimento è soltanto la NIS2. Ma per capirla davvero, possiamo immaginarla come la risposta a tre domande molto semplici. La prima è: chi? Cioè quali organizzazioni devono proteggersi, ovvero i settori e i soggetti coinvolti. La seconda è: come? Cioè quali misure di sicurezza adottare per gestire i rischi informatici. La terza è: quando? Cioè in che modo e in quanto tempo segnalare gli incidenti. Nei prossimi moduli risponderemo a ciascuna di queste domande. Oggi ci basta avere chiara la cornice generale: la NIS2 dice chi deve agire, come e quando..

[Audio] Apriamo una breve parentesi, utile per chi non ha familiarità con il linguaggio giuridico. Perché si parla sia di una direttiva europea sia di una legge italiana? La risposta sta nel funzionamento dell'Unione europea. Una direttiva non si applica automaticamente nei singoli Paesi: fissa gli obiettivi comuni, cioè la meta da raggiungere, uguale per tutti gli Stati. Poi ciascuno Stato la traduce nella propria legge nazionale, adattandola al proprio sistema: questo passaggio si chiama recepimento. Per l'Italia, il recepimento della NIS2 è avvenuto con il Decreto legislativo 138 del 2024. In pratica, possiamo immaginarla così: la direttiva europea indica dove dobbiamo arrivare, mentre la legge italiana stabilisce la strada concreta per arrivarci. Ecco perché, quando parliamo di obblighi e scadenze, il riferimento per noi è proprio il decreto del 2024, che dà attuazione in Italia alla Direttiva NIS2..

[Audio] Vediamo ora gli obiettivi della Direttiva, quelli indicati fin dal suo primo articolo. Sono sei traguardi concreti. Il primo è garantire una sicurezza comune ed elevata, cioè un livello di protezione alto e uniforme in tutta l'Unione. Il secondo è ampliare l'ambito di applicazione, coinvolgendo più settori e più organizzazioni rispetto al passato. Il terzo è rafforzare le strategie nazionali, chiedendo a ogni Stato di dotarsi di un piano solido per la cybersicurezza. Il quarto è proteggere le catene di fornitura, prestando attenzione anche ai fornitori e ai rischi che possono introdurre. Il quinto è semplificare le segnalazioni, con regole più chiare per notificare gli incidenti alle autorità. Il sesto è designare autorità nazionali competenti, cioè enti che vigilano e coordinano. Il filo conduttore che li tiene insieme è uno solo: rendere l'Europa più sicura e più coordinata di fronte alle minacce informatiche..

[Audio] Dietro ai sei obiettivi tecnici che abbiamo appena visto, ci sono tre grandi traguardi di fondo: il senso ultimo di tutta la normativa. Il primo è la resilienza. La NIS2 vuole organizzazioni capaci non solo di difendersi, ma anche di resistere a un attacco e di tornare a funzionare il più rapidamente possibile, limitando i danni. Il secondo è l'uniformità delle regole. Fino a ieri ogni Paese andava un po' per conto proprio; l'obiettivo è ridurre queste differenze, per avere un mercato interno più equo e più sicuro, dove tutti rispettano standard simili. Il terzo è la capacità di risposta alle crisi. Significa accrescere la consapevolezza delle persone e delle organizzazioni e la capacità di affrontare insieme incidenti anche di grande portata, che possono colpire più settori o più Paesi contemporaneamente. Resilienza, uniformità e capacità di risposta: sono questi i tre risultati che la Direttiva punta a raggiungere..

[Audio] Riassumiamo le principali novità introdotte dalla NIS2 rispetto alla vecchia direttiva. Sono sei. La prima: un ambito più ampio, con molti più settori coinvolti; e, come vedremo, la sanità è compresa in modo più esteso. La seconda: un criterio uniforme per stabilire chi è coinvolto; spariscono le vecchie categorie e si introducono i soggetti essenziali e i soggetti importanti, distinti in base alla dimensione e al settore, con regole uguali per tutti gli Stati. La terza: obblighi più stringenti, con misure di sicurezza armonizzate e un sistema di segnalazione degli incidenti più strutturato. La quarta, una novità importante: la responsabilità dei vertici; la direzione aziendale è chiamata a rispondere in prima persona della cybersicurezza. La quinta: vigilanza e sanzioni; i controlli diventano più incisivi e le sanzioni più severe. La sesta: più cooperazione, con un coordinamento rafforzato a livello europeo. In sintesi, come dice la riga in basso, la NIS2 è più ampia, più uniforme e con denti più affilati: le regole, ora, vanno rispettate sul serio. E questo ci porta dritti alla domanda finale: perché tutto questo riguarda proprio noi?.

[Audio] Ci sono ancora due concetti utili da chiarire prima di concludere. Il primo si chiama armonizzazione minima. Significa che la NIS2 stabilisce una base di regole comuni, valide per tutta l'Unione, una sorta di pavimento minimo sotto il quale nessuno può scendere. Ogni Stato, però, resta libero di adottare regole ancora più severe, se desidera alzare ulteriormente il livello di protezione. La base è comune, ma si può fare di più. Il secondo concetto riguarda chi vigila in Italia. Qui il punto di riferimento è l'Agenzia per la Cybersicurezza Nazionale, che si abbrevia ACN. È l'autorità che definisce le regole di attuazione, vigila sul rispetto degli obblighi e individua concretamente i soggetti coinvolti dalla normativa. In altre parole, è l'ente con cui le organizzazioni si rapportano e che accompagna il percorso di adeguamento. Tenere a mente l'ACN ci sarà utile quando parleremo di registrazione, obblighi e scadenze..

[Audio] Siamo alla fine di questa seconda lezione. Riassumiamo i quattro messaggi da portare a casa. Primo: la NIS2 non nasce dal nulla, ma per rafforzare e aggiornare la prima legge europea sulla cybersicurezza, la NIS del 2016, che non era più sufficiente. Secondo: la NIS2 è una direttiva europea, e per questo è stata recepita in Italia nel 2024 con il Decreto legislativo 138, che la rende operativa nel nostro Paese. Terzo: il suo scopo di fondo è avere più sicurezza e più coordinamento, attraverso tre grandi traguardi, cioè più resilienza, regole più uniformi e una migliore capacità di risposta alle crisi. Quarto: rispetto al passato, la NIS2 responsabilizza di più le organizzazioni, con l'autoidentificazione, l'analisi del rischio obbligatoria e misure su misura per ogni contesto. Vi ringrazio per l'attenzione. Nel prossimo modulo entreremo nel concreto e vedremo a chi si applica la NIS2: i settori e i soggetti coinvolti. A presto..