Il 13 maggio il Consiglio e il Parlamento europeo hanno raggiunto un accordo sulle misure per la cybersicurezza in Europa, al fine di migliorare ulteriormente la resilienza e le capacità di risposta agli incidenti sia nel settore pubblico che in quello privato. Una volta adottata, la nuova direttiva, denominata “NIS 2” sostituirà l’attuale direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS).
Migliorare la gestione dei rischi e degli incidenti e la cooperazione
La direttiva NIS 2 mira a migliorare la gestione dei rischi e degli incidenti con misure dirette alla gestione dei rischi di cibersicurezza e agli obblighi di segnalazione in particolare nei settori dell’energia, dei trasporti, della salute e delle infrastrutture digitali.
La direttiva riveduta mira a eliminare le attuali differenze tra Stati membri quanto a obblighi di cibersicurezza e misure di attuazione della cibersicurezza. A tal fine, stabilisce norme minime essenziali e istituisce meccanismi di cooperazione tra le autorità competenti degli Stati membri. Inoltre, aggiorna l’elenco dei settori e delle attività soggetti agli obblighi in materia di cibersicurezza e la previsione di mezzi di ricorso e sanzioni per garantirne l’applicazione.
La direttiva istituirà formalmente la rete europea delle organizzazioni di collegamento per le crisi informatiche EU-CyCLONe a supporto della gestione coordinata degli incidenti di cibersicurezza su vasta scala.
Ampliamento dell’ambito di applicazione delle norme
Mentre ai sensi della precedente direttiva NIS la responsabilità di determinare quali soggetti soddisfacessero i criteri per essere considerati operatori di servizi essenziali spettava agli Stati membri, la nuova direttiva NIS 2 introduce la regola della soglia di dimensione. Ciò significa che tutti i soggetti di medie e grandi dimensioni che operano nei settori o, comunque, forniscono i servizi contemplati dalla direttiva rientreranno nel suo ambito di applicazione.
Benché l’accordo tra Parlamento europeo e Consiglio mantenga questa regola generale, il testo concordato in via provvisoria contiene disposizioni supplementari per garantire la proporzionalità, un livello più elevato di gestione dei rischi e criteri di criticità definiti in modo chiaro per determinare i soggetti interessati.
La direttiva non si applicherà ai soggetti operanti in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza, l’attività di contrasto e la giustizia. Anche i parlamenti e le banche centrali sono esclusi dall’ambito di applicazione.
Poiché anche le pubbliche amministrazioni sono spesso bersaglio di attacchi informatici, la NIS 2 si applicherà agli enti della pubblica amministrazione a livello centrale e regionale, ma gli Stati membri possono decidere di estenderne l’applicazione anche agli enti locali.
Altre modifiche introdotte dai colegislatori
Il Parlamento europeo e il Consiglio hanno allineato il testo alla legislazione di settore, in particolare, al regolamento relativo alla resilienza operativa digitale per il settore finanziario (DORA) e alla direttiva sulla resilienza dei soggetti critici (CER), per fornire chiarezza giuridica e garantire la coerenza tra tali atti e la NIS 2.
La Commissione introdurrà un meccanismo volontario di apprendimento tra paria al fine di accrescere la fiducia reciproca e gli insegnamenti derivanti dalle buone prassi ed esperienze nei singoli Stati membri, per conseguire un livello comune elevato di cibersicurezza.
I due colegislatori hanno inoltre razionalizzato gli obblighi di segnalazione per limitare le segnalazioni ed evitare oneri eccessivi ai soggetti interessati.
L’accordo provvisorio deve essere approvato dal Consiglio e dal Parlamento europeo. La presidenza francese del Consiglio intende presentare in tempi brevi l’accordo al COREPER (Comitato dei rappresentanti permanenti) per l’approvazione.
Dall’entrata in vigore della direttiva, gli Stati membri avranno 21 mesi per recepirne le disposizioni nel diritto nazionale.
Cibersicurezza: la risposta dell’UE alle minacce informatiche (informazioni generali)
Un futuro digitale per l’Europa (informazioni generali)
L’azione dell’UE per rispondere alle crisi e costruire la resilienza (informazioni generali)
