Il Consiglio e il Parlamento europeo hanno concordato un pacchetto di misure per raggiungere un livello comune elevato di cybersecurity in tutta l’Unione. L’obiettivo della “Nis2“, che una volta adottata sostituirà l’attuale direttiva sulla sicurezza delle reti e dei sistemi informativi (Network and Information Systems, Nis), è quello di migliorare ulteriormente la resilienza e le capacità di risposta agli incidenti del settore pubblico e privato e dell’Ue nel suo insieme.
Gestione del rischio e cooperazione rafforzate
Il framework Nis2, si legge in una nota congiunta, definirà la base per le misure di gestione del rischio di cybersecurity e gli obblighi di segnalazione in tutti i settori coperti dalla direttiva, come l’energia, i trasporti, la salute e le infrastrutture digitali.
La direttiva rivista mira a rimuovere le divergenze nei requisiti di cybersecurity e nell’attuazione delle misure di sicurezza informatica nei diversi Stati membri. A tal fine, stabilisce regole minime per un quadro normativo e identifica meccanismi per un’efficace cooperazione tra le autorità competenti in ciascuno Stato membro. Aggiorna inoltre l’elenco dei settori e delle attività soggetti agli obblighi di sicurezza informatica e prevede rimedi e sanzioni per garantirne l’applicazione.
La direttiva istituirà formalmente la rete europea dell’organizzazione di collegamento per le crisi informatiche (European Cyber Crises Liaison Organisation Network, Eu-Cyclone), che sosterrà la gestione coordinata degli incidenti di sicurezza informatica su larga scala.
Le differenze con la prima direttiva Nis
Mentre ai sensi della vecchia direttiva Nis gli Stati membri erano responsabili di determinare quali entità avrebbero soddisfatto i criteri per qualificarsi come operatori di servizi essenziali, la nuova direttiva Nis2 introduce una regola di limite di dimensione. Ciò significa che rientreranno nel suo campo di applicazione tutte le medie e grandi entità operanti nei settori o che forniscono servizi contemplati dalla direttiva.
Sebbene l’accordo tra il Parlamento europeo e il Consiglio mantenga questa regola generale, il testo concordato in via provvisoria include disposizioni aggiuntive per garantire la proporzionalità, un livello più elevato di gestione del rischio e criteri di criticità chiari per la determinazione degli enti coperti.
Il testo chiarisce inoltre che la direttiva non si applicherà agli enti che svolgono attività in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza, le forze dell’ordine e la magistratura. Sono esclusi dal campo di applicazione anche i parlamenti e le banche centrali.
Poiché anche le pubbliche amministrazioni sono spesso oggetto di attacchi informatici, Nis2 si applicherà agli enti della pubblica amministrazione dei governi centrali. Inoltre, gli Stati membri possono decidere che si applichi a tali enti anche a livello regionale e locale.
La direttiva Nis2 rende anche più rigorosi i requisiti di sicurezza imposti alle imprese, tratta della sicurezza delle catene di fornitura e delle relazioni con i fornitori e prevede che l’alta dirigenza sia ritenuta responsabile in caso di mancato rispetto degli obblighi in materia di sicurezza; semplifica gli obblighi di notifica, introduce misure di vigilanza più rigorose per le autorità nazionali e obblighi di esecuzione più severi e intende armonizzare i regimi sanzionatori in tutti gli Stati membri. La direttiva contribuirà ad aumentare la condivisione delle informazioni e la cooperazione in materia di gestione delle crisi informatiche a livello nazionale e dell’Ue.
Altre novità introdotte nel dispositivo
Il Parlamento europeo e il Consiglio hanno allineato il testo alla normativa di settore, in particolare il regolamento sulla resilienza operativa digitale per il settore finanziario (Digital Operational Resilience for the financial sector, Dora) e la direttiva sulla resilienza delle entità critiche (Critical entities Resilience, Cer), per fornire chiarezza giuridica e garantire coerenza tra Nis2 e questi atti.
“Un meccanismo volontario di apprendimento tra pari aumenterà la fiducia reciproca e l’apprendimento dalle buone pratiche ed esperienze, contribuendo così al raggiungimento di un livello comune elevato di sicurezza informatica”, comunicano Consiglio e Parlamento. I due colegislatori hanno inoltre snellito gli obblighi di segnalazione al fine di evitare di causare una segnalazione eccessiva e di creare un onere eccessivo per i soggetti interessati.
“Le minacce informatiche si fanno più pericolose e complesse”, commenta Thierry Breton, Commissario per il Mercato interno. “Era imperativo adattare il quadro della sicurezza alle nuove realtà e tutelare i nostri cittadini e le nostre infrastrutture. Nell’attuale panorama della cybersecurity, è capitale poter cooperare e condividere tempestivamente le informazioni. Con l’accordo sulla Nis2 aggiorniamo le norme per garantire un maggior numero di servizi essenziali alla società e all’economia. Si tratta quindi di un importante passo avanti. Questa strategia andrà ad arricchirsi della futura legge sulla cyber-resilienza, che garantirà una maggior sicurezza d’uso dei prodotti digitali.”
I prossimi passi
L’accordo provvisorio è ora soggetto all’approvazione del Consiglio e del Parlamento europeo. Da parte del Consiglio, la Presidenza francese intende sottoporre l’accordo al Comitato dei Rappresentanti Permanenti del Consiglio per l’approvazione alla fine di maggio 2022.
Gli Stati membri avranno 21 mesi dall’entrata in vigore della direttiva per recepire le disposizioni nella loro legislazione nazionale.
