Maggiori obblighi in materia di misure di sicurezza e notifica degli incidenti, rafforzamento dei poteri dell’Agenzia nazionale (in Italia, l’Agenzia per la cybersicurezza nazionale) e degli organi preposti alla risposta agli incidenti e alla gestione delle crisi informatiche. In generale, un aumento del perimetro della normativa e del suo campo d’azione, finalizzato a rendere più solide le difese digitali comunitarie. Se si volessero riassumere tutti questi concetti in una parola, si potrebbe usare Nis 2, ovvero la direttiva europea sulle misure per un elevato livello comune di sicurezza informatica nell’Unione, adottata dalla Commissione il 17 ottobre e in vigore a partire dal 18. Un provvedimento commentato da Bruxelles: “l’atto di esecuzione descrive in dettaglio le misure di gestione del rischio di cybersecurity e i casi in cui un incidente deve essere considerato significativo e le aziende che forniscono infrastrutture e servizi digitali devono segnalarlo alle autorità nazionali. Si tratta di un altro passo importante per aumentare la resilienza informatica delle infrastrutture digitali critiche europee”.

Aumentano gli obblighi, quindi, con una crescita del campo di applicazione della normativa. I settori interessati diventano 18, di cui 11 altamente critici e 7 critici, coinvolgendo oltre 80 tipologie di soggetti, distinti tra essenziali e importanti in relazione al livello di criticità delle attività svolte e del settore in cui operano. Sono previsti anche nuovi strumenti per la sicurezza informatica, come la divulgazione coordinata delle vulnerabilità, da realizzarsi attraverso la cooperazione e la condivisione delle informazioni a livello nazionale ed europeo.

Tempistica definita per i soggetti interessati: il primo passo è quello di registrarsi al portale dell’Agenzia per la cybersicurezza. Per farlo c’è tempo dal 1° dicembre 2024 fino al 28 febbraio 2025. Gli obblighi di notifica di incidente e delle misure di sicurezza verranno definiti in maniera progressiva e a valle delle consultazioni nell’ambito dei tavoli settoriali con le determine del direttore generale dell’Agenzia, che saranno adottate entro il primo quadrimestre del 2025. È prevista, inoltre, una finestra temporale di implementazione differenziata: 9 mesi per le notifiche e 18 mesi per le misure di sicurezza, decorrenti dalla data di consolidamento dell’elenco dei soggetti Nis, previsto per aprile 2025. Da aprile 2025 partirà quindi un percorso condiviso di rafforzamento della sicurezza informatica nazionale.