NIS 2 vs NIS 1: cosa è effettivamente cambiato
L'articolo 41 della direttiva (UE) 2022/2555 ha abrogato la direttiva NIS 1 con effetto dal 18 ottobre 2024. Questa pagina descrive cosa ciò significa nella pratica.
Panoramica
La NIS 1 era la direttiva (UE) 2016/1148. Copriva sette settori e suddivideva i destinatari in 'operatori di servizi essenziali' (OES) e 'fornitori di servizi digitali' (DSP). Gli Stati membri designavano gli OES individualmente.
La NIS 2 è la direttiva (UE) 2022/2555. Copre 15 settori nell'allegato I e 7 settori nell'allegato II, sostituisce la distinzione OES/DSP con 'soggetti essenziali' e 'soggetti importanti' e utilizza un criterio dimensionale esplicito (50 o più dipendenti, oppure fatturato annuo superiore a 10 milioni di euro).
L'articolo 41 della NIS 2 ha abrogato la direttiva NIS 1 con effetto dal 18 ottobre 2024. Laddove il diritto degli Stati membri faccia ancora riferimento alla vecchia direttiva, tali riferimenti rinviano ora alla NIS 2. Le leggi nazionali di recepimento (come il BSIG tedesco nella sua versione NIS 2) sostituiscono la precedente architettura dell'IT-Sicherheitsgesetz 2.0.
Direttiva (UE) 2022/2555 articolo 41
La direttiva (UE) 2016/1148 è abrogata con effetto dal 18 ottobre 2024.
La data di abrogazione è anche il termine di recepimento. I riferimenti alla NIS 1 in altri atti UE si leggono come riferimenti alla NIS 2.
Regolamento di esecuzione (UE) 2024/2690 della Commissione
Il presente regolamento stabilisce i requisiti tecnici e metodologici delle misure di cui all'articolo 21(2) della direttiva (UE) 2022/2555 [...]
Il CIR specifica le misure dell'articolo 21(2) per un ristretto insieme di tipi di entità dell'infrastruttura digitale. Il catalogo dell'articolo 21 stesso si applica a tutte le entità NIS 2.
Germania: BSIG (versione NIS 2)
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz).
La Germania recepisce la NIS 2 modificando il BSIG. La precedente architettura dell'IT-Sicherheitsgesetz 2.0 (solo operatori KRITIS) è sostituita da un ambito più ampio che include soggetti essenziali e importanti.
Da 7 settori e designazione OES a 15 più 7 settori con una regola dimensionale
La NIS 1 copriva sette settori e richiedeva agli Stati membri di designare gli OES uno per uno. La NIS 2 elenca 15 settori nell'allegato I (essenziali) e 7 settori nell'allegato II (importanti), e si applica automaticamente alle entità di questi settori che soddisfano il criterio dimensionale (50 o più dipendenti o oltre 10 milioni di euro di fatturato). Diversi tipi di entità rientrano nell'ambito indipendentemente dalle dimensioni.
Dalle misure di alto livello dell'articolo 14 all'articolo 21 con 10 aree di misure più articolo 20 e articolo 23
L'articolo 14 NIS 1 richiedeva misure adeguate e proporzionate in termini piuttosto generali. L'articolo 21(2) NIS 2 nomina 10 specifiche aree di misure (analisi dei rischi, gestione degli incidenti, continuità operativa, catena di approvvigionamento, gestione delle vulnerabilità, efficacia, igiene informatica di base e formazione, crittografia, controllo degli accessi e gestione degli asset, autenticazione a più fattori e comunicazioni sicure). L'articolo 20 aggiunge obblighi espliciti per l'organo di gestione, l'articolo 23 aggiunge una cascata di segnalazione strutturata e l'articolo 27 aggiunge la registrazione dei dati dell'entità presso l'autorità competente.
Dalla discrezionalità degli Stati membri a massimali sanzionatori minimi a livello UE
La NIS 1 lasciava le sanzioni in gran parte al diritto nazionale e produceva ampie variazioni tra gli Stati membri. L'articolo 34 NIS 2 fissa massimali minimi a livello UE: per i soggetti essenziali almeno 10 milioni di euro o il 2 per cento del fatturato mondiale annuo totale, applicandosi l'importo più elevato; per i soggetti importanti almeno 7 milioni di euro o l'1,4 per cento. L'articolo 32 e l'articolo 33 conferiscono inoltre alle autorità di vigilanza un elenco più ampio di poteri.
Le misure tecniche in gran parte si trasferiscono
Un'entità che ha già attuato le misure dell'articolo 14 NIS 1 riconoscerà gran parte dell'articolo 21(2) NIS 2: gestione degli incidenti, continuità operativa, catena di approvvigionamento, igiene informatica di base e formazione sono presenti in entrambi i testi. Le etichette e la profondità sono cambiate, l'idea sottostante no.
Governance e segnalazione sono nuove
L'articolo 20 rende l'organo di gestione responsabile dell'approvazione delle misure di gestione del rischio di cybersicurezza, della sorveglianza sulla loro attuazione e della propria formazione. L'articolo 23 introduce una cascata in tre fasi (preallarme entro 24 ore, notifica di incidente entro 72 ore, relazione finale entro un mese). Nessuno dei due costrutti esisteva nella NIS 1 a questo livello di dettaglio.
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Il BSI è l'autorità competente ai sensi del BSIG. Per la migrazione gestisce un registro delle entità, pubblica Handreichungen sulla formazione dell'organo di gestione e su altri obblighi, e vigila sui soggetti essenziali e importanti. Gli operatori KRITIS continuano a esistere come sottoinsieme con obblighi aggiuntivi.
Agenzia dell'Unione europea per la cybersicurezza (ENISA)
ENISA pubblica la guida tecnica di attuazione per le misure dell'articolo 21(2) e gestisce il database europeo delle vulnerabilità ai sensi dell'articolo 12. I suoi testi sono non vincolanti ma le autorità di vigilanza li citano come base di riferimento pratica.
Il BSIG sostituisce l'architettura dell'IT-Sicherheitsgesetz 2.0
La Germania recepisce la NIS 2 modificando il BSIG. Il precedente modello dell'IT-Sicherheitsgesetz 2.0 si concentrava sugli operatori KRITIS. La versione NIS 2 del BSIG estende l'ambito ai soggetti essenziali e importanti e aggiunge gli obblighi di gestione dell'articolo 20, la segnalazione dell'articolo 23 e la registrazione dell'articolo 27.
La nostra documentazione NIS 1 si trasferisce alla NIS 2.
Le misure tecniche in gran parte si trasferiscono, ma l'involucro giuridico no. La NIS 2 introduce obblighi per l'organo di gestione (articolo 20), una cascata di segnalazione in tre fasi (articolo 23), la registrazione dell'entità (articolo 27) e un catalogo strutturato dell'articolo 21(2). La vecchia documentazione NIS 1 di solito presenta lacune in governance, tempistiche di segnalazione e nella sezione sulla catena di approvvigionamento. Tratta i documenti NIS 1 come un punto di partenza, non come un fascicolo completato.
È la stessa autorità di regolamentazione, quindi è lo stesso regime.
In diversi Stati membri l'autorità di vigilanza per la NIS 1 vigila anche sulla NIS 2 (in Germania, il BSI). L'istituzione è rimasta la stessa; i suoi poteri di legge e il catalogo delle entità vigilate no. Gli articoli 32 e 33 NIS 2 conferiscono alle autorità di vigilanza un elenco più ampio di poteri di ispezione, audit ed enforcement, e l'articolo 34 fissa massimali sanzionatori minimi a livello UE che non esistevano sotto la NIS 1.
Nulla di sostanziale è cambiato.
Ambito (15 più 7 settori con una regola dimensionale), governance (obblighi di gestione dell'articolo 20), segnalazione (cascata dell'articolo 23), registrazione (articolo 27) e sanzioni (massimali dell'articolo 34) sono tutti cambiati. La stessa formulazione 'adeguate e proporzionate' compare in entrambe le direttive, ma il catalogo che la circonda è molto più specifico nella NIS 2.
Nella pratica la migrazione è raramente una ripartenza pulita. La maggior parte delle entità riutilizza parti del proprio registro dei rischi NIS 1, del playbook degli incidenti e dell'elenco dei fornitori, poi aggiunge le nuove parti: una decisione dell'organo di gestione sulle misure dell'articolo 21(2), un workflow di segnalazione dell'articolo 23 con le marche temporali di 24 ore, 72 ore e un mese, una voce di registrazione dell'articolo 27 e una sezione sulla catena di approvvigionamento conforme all'articolo 21(2)(d).
Il cambiamento visibile più comune è la segnalazione. L'unica notifica 'senza indebito ritardo' della NIS 1 diventa tre documenti distinti nella NIS 2, ciascuno con il proprio termine e il proprio destinatario all'interno dell'entità. I professionisti di solito ricostruiscono per primo il workflow degli incidenti, perché è lì che le nuove regole di tempistica mordono rapidamente.
Il registro degli obblighi è strutturato attorno agli articoli della NIS 2. Le misure dell'articolo 21(2) sono tracciate come requisiti individuali, le tempistiche di segnalazione dell'articolo 23 sono tracciate come un workflow di incidenti in tre fasi, la registrazione dell'articolo 27 è tracciata come record separato e la decisione dell'organo di gestione dell'articolo 20 è tracciata come approvazione.
Se un'entità dispone già di prove NIS 1, queste possono essere allegate al corrispondente requisito NIS 2. La piattaforma non presuppone il trasferimento; ciascun requisito è riesaminato e contrassegnato come soddisfatto, parzialmente soddisfatto o aperto, con una data e una persona responsabile.
- Direttiva (UE) 2022/2555, articolo 41 (abrogazione della direttiva (UE) 2016/1148), articoli 20, 21, 23, 27, 32, 33, 34, allegato I e allegato II (EUR-Lex).
- Direttiva (UE) 2016/1148, articolo 14 (requisiti di sicurezza per gli OES) e articolo 16 (requisiti di sicurezza per i DSP) (EUR-Lex).
- Regolamento di esecuzione (UE) 2024/2690 della Commissione del 17 ottobre 2024, considerando e allegato (EUR-Lex).
- Bundesamt für Sicherheit in der Informationstechnik (BSI), pagine informative NIS 2 e riferimenti al BSIG (bsi.bund.de).
- ENISA, guida tecnica di attuazione sulle misure dell'articolo 21(2) NIS 2 (enisa.europa.eu).