Con l’ultima seduta del Consiglio dei ministri prima della pausa estiva è scattato il via libera al decreto che attua il recepimento della direttiva Network and Information Security 2 (Nis2). Il primo sì al dispositivo era arrivato a giugno: ieri il Cdm, sotto la presidenza di Giorgia Meloni, ha introdotto nell’ordinamento italiano la direttiva 2022/2555, che risponde all’esigenza di rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi nell’Unione europea.
Contestualmente, è stata attuata anche la direttiva 2022/2557, relativa alla resilienza dei soggetti critici che abroga la direttiva 2008/114/ce del consiglio. I testi approvati, si legge in un comunicato di Palazzo Chigi, tengono conto dei pareri espressi dalle competenti Commissioni parlamentari e, ove previsto, dalla Conferenza unificata e dal Garante per la protezione dei dati personali.
Dalla sicurezza alla resilienza: un cambio di paradigma
La Nis2 introduce una serie di novità sul piano della cybersecurity, spostando il focus sul concetto di resilienza delle filiere dal punto di vista informatico. La direttiva innanzitutto comporta l’ampliamento dell’ambito di applicazione della disciplina, formulando la distinzione tra “soggetti essenziali” e “soggetti importanti” e sancendo nuovi criteri dimensionali per la loro individuazione.
L’obiettivo fondamentale del framework è quello di istituire standard che consentano di omogeneizzare soprattutto le procedure di individuazione e comunicazione dei rischi e degli incidenti informatici, razionalizzando i requisiti minimi di sicurezza e i processi di notifica obbligatoria.
Promuovendo l’adozione di un approccio “multirischio”, la direttiva, che sostituisce la precedente Network and Information Security del 2016, si articola su quattro principi chiave: protezione dei dati personali, diritti fondamentali, safety e cybersecurity.
Sono coinvolti tutti gli organismi di medie e grandi dimensioni che operano nei settori definiti ad alta criticità: si va dal comparto energetico a quello dei trasporti, passando per il settore bancario e delle infrastrutture dei mercati finanziari, fino alla sanità e al mondo dei fornitori di soluzioni digitali. La Nis2 chiama in causa anche la pubblica amministrazione a livello centrale e regionale, e ai servizi postali e di corriere, mentre esclude dall’ambito di applicazione i soggetti attivi nell’ambito della sicurezza nazionale, della pubblica sicurezza e della difesa.
Il tema della cooperazione e lo schema sanzionatorio
Oltre a resilienza, l’altra parola d’ordine della Nis2 è cooperazione. La direttiva introduce un’organizzazione ad hoc e incorpora la regolamentazione della divulgazione coordinata delle vulnerabilità e le specifiche funzioni di coordinamento attribuite agli CSIRT nazionali. Allo stesso modo, esplica l’implementazione delle misure di collaborazione a livello comunitario, al fine di sostenere la gestione coordinata sul piano operativo degli incidenti e delle crisi di cybersicurezza su vasta scala.
È infine previsto un nuovo apparato sanzionatorio, più stringente e allo stesso tempo armonizzato a livello europeo, per garantire la massima uniformità nell’adozione dei principi introdotti dalla Nis in tutta Europa. Lo schema individuato secondo il principio di proporzionalità prevede sanzioni amministrative pecuniarie fino a 10 milioni di euro.
