Via libera dal Consiglio Ue Telecomunicazioni al mandato negoziale sulla cosiddetta direttiva Nis2, per un elevato livello comune di cybersicurezza nell’Unione. Con questo ok potranno ora partire i negoziati trilaterali (triloghi) con il Parlamento europeo, che ha già approvato il suo mandato negoziale. Una volta adottata, la nuova direttiva, sostituirà l’attuale direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva Nis).
Ai sensi della precedente direttiva Nis la responsabilità di determinare quali soggetti soddisfacessero i criteri per essere considerati operatori di servizi essenziali spettava agli Stati membri, la nuova direttiva Nis 2 introduce la regola della soglia di dimensione. Ciò significa che tutti i soggetti di medie e grandi dimensioni che operano nei settori o forniscono i servizi contemplati dalla direttiva rientreranno nel suo ambito di applicazione. Pur mantenendo questa regola generale, la posizione del Consiglio contiene disposizioni supplementari per garantire la proporzionalità, un livello più elevato di gestione del rischio e criteri di criticità definiti in modo chiaro per determinare i soggetti interessati.
Coinvolta anche la Pubblica amministrazione centrale
Il testo del Consiglio chiarisce inoltre che la direttiva non si applicherà ai soggetti operanti in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza, l’attività di contrasto e la giustizia. Anche i parlamenti e le banche centrali sono esclusi dall’ambito di applicazione. Poiché anche le pubbliche amministrazioni sono spesso bersaglio di attacchi informatici, la Nis 2 si applicherà agli enti della pubblica amministrazione delle amministrazioni centrali. Inoltre, gli Stati membri possono decidere che si applichi anche a tali enti a livello regionale e locale. Il Consiglio ha allineato il testo alla legislazione settoriale, in particolare al regolamento relativo alla resilienza operativa digitale per il settore finanziario (Dora) e alla direttiva sulla resilienza dei soggetti critici (Cer), per fornire chiarezza giuridica e garantire la coerenza tra tali atti e la Nis 2.
Un meccanismo volontario di apprendimento tra pari accrescerà la fiducia reciproca e gli insegnamenti tratti dalle buone pratiche e dalle esperienze, contribuendo in tal modo a conseguire un livello comune elevato di cybersicurezza. Il Consiglio ha inoltre razionalizzato gli obblighi di segnalazione per evitare di causare un eccesso di segnalazioni e di imporre oneri eccessivi ai soggetti interessati. Gli Stati membri, infine, avrebbero due anni di tempo dall’entrata in vigore della direttiva per recepirne le disposizioni nel diritto nazionale.
Breton: “Dannoso non coinvolgere le amministrazioni locali”
“È importante mantenere alto il livello di ambizione. L’esclusione delle amministrazioni regionali contraddice la realtà con la quale ci confrontiamo. L’infrastruttura pubblica svolge un ruolo cruciale e troviamo dannoso che la direttiva Nis non possa applicarsi alle amministrazioni locali”. A dirlo è stato il commissario al Mercato interno Thierry Breton, durante il dibattito al Consiglio Ue Telecomunicazioni. Per Breton, inoltre, è “importante assicurare la coerenza tra il testo della Nis 2 e il testo legislativo per la resilienza delle entità critiche“.
Etno: “Serve garantire la sicurezza della catena di approvvigionamento”
Per Etno, l’associazione che rappresenta i principali operatori di telecomunicazioni europei, la direttiva rappresenta “un’opportunità per realizzare un quadro coerente per la sicurezza delle reti e dei servizi nel settore delle telecomunicazioni che razionalizzi il panorama esistente delle norme europee e nazionali, che in alcuni casi hanno portato all’incertezza giuridica e alla frammentazione a causa della diversa sicurezza standard in tutti i mercati dell’Ue. A tal fine – scrive l’associazione in una nota -, sarebbe imperativo che i colegislatori garantissero una gestione del rischio e obblighi di segnalazione degli incidenti chiari e proporzionati, nonché un sistema di controllo e applicazione sensato che si basasse sulla lunga esperienza del settore delle telecomunicazioni nella protezione dell’integrità delle infrastrutture cruciali”.
“Tuttavia – puntualizza ancora Etno -, restano irrisolte alcune lacune della proposta di direttiva. Ci rammarichiamo in particolare che le posizioni sul tavolo non riescano a colmare adeguatamente le lacune nella sicurezza delle catene di approvvigionamento Ict critiche. Le catene di approvvigionamento stanno diventando più complesse e globali, con una moltitudine di attori coinvolti. Le reti di telecomunicazioni stanno diventando più sofisticate a causa del passaggio al 5G e a un’infrastruttura virtualizzata, definita da software e basata su cloud. Le telecomunicazioni, così come tutte le organizzazioni di ogni settore, dipendono sempre più dai servizi Ict, in particolare dal software, il che significa che il ruolo dei fornitori di questi servizi nel determinare la resilienza dell’infrastruttura digitale è diventato essenziale. Ciò deve tradursi in un’allocazione più efficace della responsabilità per la gestione del rischio delle reti e dei sistemi It dei settori chiave, poiché i fornitori di Ict sono nella posizione migliore per analizzare e mitigare i rischi per la sicurezza nei propri prodotti e servizi. La decisione degli Stati membri di ampliare la portata degli obblighi della Nis 2 alla gestione dei servizi Ict business-to-business, compresi i fornitori di servizi gestiti e i fornitori di servizi di sicurezza gestiti, segna un passo avanti introducendo la gestione diretta del rischio e gli obblighi di comunicazione a carico di questi fornitori di servizi chiave. Tuttavia, questa nuova categoria esclude i fornitori di software e firmware che supportano le funzioni critiche svolte da entità regolamentate e che spesso diventano parte integrante delle reti e dei servizi forniti ai cittadini e alle imprese europee“.
“Mentre i colegislatori si preparano ad avviare i negoziati per finalizzare la direttiva – conclude Etno -, li invitiamo a riflettere adeguatamente l’importanza della sicurezza della catena di approvvigionamento dando uno sguardo più ampio ai fornitori di servizi Ict e fornendo un quadro di cibersicurezza completo e a prova di futuro per tutti fornitori Ict cruciali, a tutto vantaggio della resilienza complessiva dei settori vitali dell’economia e della società europea”.
