La Commissione europea ha deciso di deferire Irlanda, Spagna, Francia e Paesi Bassi alla Corte di giustizia dell’Unione europea per non aver notificato le misure di recepimento della direttiva Nis2 sulla sicurezza delle reti e dei sistemi informativi nel diritto nazionale.
Indice degli argomenti
La decisione della Commissione
Per i vertici delle istituzioni di Bruxelles si tratta di una mancanza in grave, in quanto la direttiva ha l’obiettivo specifico di rafforzare la cibersicurezza dell’Unione stabilendo standard elevati per gli enti che operano in 18 settori critici, tra cui sanità, energia, trasporti e settore pubblico. La sua piena attuazione, dunque, è fondamentale per migliorare la resilienza e la capacità di risposta agli incidenti degli enti pubblici e privati che operano in questi settori critici, nonché dell’Ue nel suo complesso.
Gli Stati membri avevano tempo fino al 17 ottobre 2024 per recepire la direttiva. Sebbene la maggior parte si sia adeguata, Spagna, Francia, Irlanda e Paesi Bassi non hanno ancora notificato il recepimento completo. La Commissione aveva inviato lettere di messa in mora il 28 novembre 2024 e pareri motivati il 7 maggio 2025.
I rinvii includono una richiesta alla Corte di imporre sanzioni pecuniarie, consistenti in una somma forfettaria e sanzioni giornaliere fino alla notifica del completo recepimento.
Cosa prevede la procedura formale
Quella della Commissione è una decisione scontata, coerente con la procedura formale che scatta automaticamente in caso di infrazione. Se un Paese Ue interessato non comunica le misure che recepiscono pienamente le disposizioni delle direttive, o non pone rimedio alla presunta violazione del diritto dell’Unione, la Commissione può avviare una procedura formale che segue una serie di fasi previste dai trattati, ognuna delle quali si conclude con una decisione formale. L’iter, di solito, è questo:
1. La Commissione invia una lettera di messa in mora al Paese interessato, richiedendo ulteriori informazioni. Il Paese è tenuto a fornire una risposta dettagliata entro un termine specificato, di solito 2 mesi.
2. Se la Commissione conclude che il Paese non adempie ai propri obblighi ai sensi del diritto dell’Ue, può inviare un parere motivato: una richiesta formale di conformità al diritto. Tale parere spiega perché la Commissione ritiene che il Paese lo stia violando e richiede al Paese di informare la Commissione in merito alle misure adottate, entro un termine specificato, di solito due mesi.
3. Se il Paese continua a non conformarsi, la Commissione può decidere di deferire la questione alla Corte di giustizia, come nel caso in questione. La maggior parte dei casi si risolve prima di essere deferita alla Corte.
4. Se uno Stato membro dell’Ue non comunica tempestivamente le misure di attuazione di una direttiva, la Commissione può chiedere alla Corte di giustizia di imporre sanzioni.
5. Se la Corte di giustizia accerta che uno Stato membro ha violato il diritto dell’Ue, le autorità nazionali sono tenute ad adottare provvedimenti per conformarsi alla sentenza.
Che cosa prevede la direttiva Nis2
La direttiva Nis2 stabilisce un quadro giuridico unificato per garantire la sicurezza informatica in 18 settori critici in tutta l’Ue. Invita inoltre gli Stati membri a definire strategie nazionali di sicurezza informatica e a collaborare con l’Ue per la reazione e l’applicazione transfrontaliera.
La sicurezza informatica implica la protezione dei sistemi di rete e informativi, dei loro utenti e di altri soggetti interessati da incidenti e minacce informatiche. Per rispondere alla crescente esposizione dell’Europa alle minacce informatiche, la direttiva 2022/2555, nota anche come Nis2, ha sostituito la precedente direttiva 2016/1148 (Nis).
Il nuovo framework innalza il livello di ambizione comune dell’Ue in materia di sicurezza informatica, attraverso un ambito di applicazione più ampio, norme più chiare e strumenti di vigilanza più efficaci. Richiede agli Stati membri di potenziare le proprie capacità in materia di sicurezza informatica, introducendo al tempo stesso misure di gestione del rischio e obblighi di segnalazione per le entità di un maggior numero di settori e stabilendo norme per la cooperazione, la condivisione delle informazioni, la vigilanza e l’applicazione delle misure di sicurezza informatica.
La direttiva impone inoltre a ciascuno Stato membro di adottare una strategia nazionale di sicurezza informatica, che includa politiche per la sicurezza della catena di approvvigionamento, la gestione delle vulnerabilità e la formazione e sensibilizzazione in materia di sicurezza informatica. Gli Stati membri devono inoltre istituire e aggiornare regolarmente un elenco degli operatori di servizi essenziali, garantendo che tali soggetti rispettino i requisiti della direttiva.
Le novità rispetto alla prima Nis
Oltre ai settori già contemplati dalla direttiva Nis – energia, trasporti, sanità, finanza, gestione delle risorse idriche e infrastrutture digitali – le nuove norme si applicano anche ai fornitori di comunicazioni elettroniche pubbliche, a un maggior numero di servizi digitali (come le piattaforme social), alla gestione dei rifiuti e delle acque reflue, alla produzione di beni critici, ai servizi postali e di corriere e alla pubblica amministrazione a livello centrale e regionale, nonché al settore spaziale. Di norma, le medie e grandi imprese operanti in questi settori critici dovranno adottare misure adeguate di gestione del rischio informatico e notificare alle autorità nazionali competenti gli incidenti significativi. Si tratta di incidenti che potrebbero causare interruzioni o danni considerevoli.
La direttiva include anche disposizioni in materia di vigilanza, applicazione e revisioni volontarie tra pari per rafforzare la fiducia reciproca e le capacità di cybersicurezza in tutta l’Ue. Introduce inoltre la responsabilità del top management in caso di mancato rispetto delle misure di gestione del rischio informatico, portando così la cybersicurezza all’attenzione del consiglio di amministrazione.
La direttiva istituisce infine una rete di squadre di risposta agli incidenti di sicurezza informatica (Csirt) per lo scambio di informazioni sulle minacce informatiche e la risposta agli incidenti. Queste squadre sono fondamentali per mantenere la consapevolezza della situazione e offrire assistenza. Per gestire incidenti o crisi di cybersicurezza su larga scala, la direttiva crea la rete europea di collegamento per le crisi informatiche (Eu-Cyclone). Questa rete supporta la gestione coordinata e garantisce uno scambio regolare di informazioni tra gli Stati membri e le istituzioni dell’Ue in caso di incidenti e crisi su larga scala.
Il 20 gennaio 2026, nell’ambito di un nuovo pacchetto sulla cibersicurezza, la Commissione ha proposto modifiche mirate alla direttiva Nis2 per aumentarne la chiarezza giuridica. Le modifiche semplificheranno la conformità alle norme Ue in materia di cibersicurezza e ai requisiti di gestione del rischio per le organizzazioni di business (il target è composto da 28.700 aziende, tra cui 6.200 micro e piccole imprese) che operano nell’Unione.




Partecipa alla community