Network and Information Systems esordisce ufficialmente nella versione 2.0. NIS2, questa la sigla ufficiale, prende il posto della precedente NIS con il difficile compito di potenziare la capacità di reazione e risposta ad attacchi informatici da parte delle imprese e delle PA. Soprattutto, dovrà allineare le norme europee sulla cyber security come richiesto anche dalla recente EU Policy on Cyber Defence.

I buona sostanza si tratterà di introdurre un nuovo insieme di standard minimi di cyber security che dovranno essere assimilati dalle normative dei singoli Paesi. Questi nuovi requisiti riguardano una vasta gamma di aspetti più o meno tecnici, dalle misure di gestione del rischio cyber agli obblighi di comunicazione di violazioni, e toccano tutti i settori economici e strategici principali. Tra cui energia, trasporti, Sanità, infrastrutture.

L'altro obiettivo chiave della NIS2 è armonizzare gli approcci che i vari Stati membri UE hanno sinora avuto per la cyber security. Per questo definisce le norme base di un framework di leggi sulla sicurezza cyber, delinea nuovi meccanismi di cooperazione tra le varie Authority deputate degli Stati membri (tra cui lo European Cyber Crises Liaison Organisation Network - EU-CyCLONe - per la gestione coordinata di incidenti cyber su larga scala), aggiorna l'elenco dei settori e delle attività che devono osservare specifici obblighi di cyber security.

La direttiva NIS2 cambia anche il raggio d'azione della precedente NIS. Questa delegava ai singoli Stati la scelta dei criteri per cui una generica azienda era considerata fornitrice di servizi essenziali e doveva o meno osservare la direttiva. Ora il criterio è semplicemente dimensionale: tutte le medio-grandi aziende che operano nei settori di mercato coperti dalla direttiva devono osservarla. Le norme nazionali possono ampliare questo ambito, non ridurlo.

La direttiva NIS2 si applica poi alle PA centrali e regionali, con la possibilità per i singoli Stati di estenderla alle PA anche locali. Sono escluse invece dalla NIS2 le realtà che operano nei settori Difesa, sicurezza nazionale, sicurezza pubblica, Polizia. Esclusi dalla norma sono anche tribuNali, Parlamenti, banche centrali.

Cosa succederà ora? La direttiva NIS2 sarà pubblicata a breve sulla Gazzetta Ufficiale della UE e sarà in vigore da tre settimane circa dopo questa pubblicazione. A quel punto, gli Stati membri UE avranno 21 mesi per integrare le loro norme nazionali specifiche per la cyber security con le indicazioni della nuova direttiva.