Approvato in via preliminare lo schema di decreto legislativo che recepisce in Italia la cosiddetta Direttiva Nis2, il framework che l’Unione europea ha concepito per indirizzare le nuove sfide della resilienza informatica.
Il Consiglio dei ministri si è riunito ieri a Palazzo Chigi, sotto la presidenza del vice presidente, Antonio Tajani e – su proposta su proposta della presidente Giorgia Meloni, e del ministro per gli Affari Europei, il Sud, le Politiche di Coesione e il Pnrr, Raffaele Fitto – ha permesso allo schema in esame di fare un passo in avanti sulla procedura di recepimento. Più nello specifico, la direttiva 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, modifica il regolamento n. 910/2014 e la direttiva 2018/1972 e abroga la direttiva 2016/1148, ovvero la prima Nis (Network and Information Security).
La definizione dei soggetti critici: focus sulla resilienza
In conseguenza all’introduzione del nuovo framework, il Consiglio dei ministri ha anche approvato un decreto legislativo per il recepimento della direttiva 2022/2557 relativa alla resilienza dei soggetti critici, che abroga la direttiva 2008/114/Ce del Consiglio.
Con la direttiva Cer (Critical entities resilience) si interviene al fine di realizzare un adeguato livello di armonizzazione nell’individuazione dei settori, dei sottosettori e delle categorie dei soggetti qualificabili come critici, rafforzare la loro resilienza, intesa come capacità di prevenire, proteggere, rispondere, resistere, mitigare, assorbire, adattarsi e ripristinare le proprie capacità operative a seguito di incidenti che possono perturbare la fornitura di servizi essenziali.
Il decreto individua dunque i cosiddetti soggetti critici nei settori dell’energia, dei trasporti, bancario, delle acque potabili e reflue, della produzione, trasformazione e distribuzione di alimenti, della salute, dello spazio, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali, nonché enti della pubblica amministrazione.
Il dispositivo stabilisce che gli stessi soggetti critici dovranno effettuare una valutazione del rischio, adottare misure tecniche, di sicurezza e organizzative, adeguate e proporzionate per garantire la propria resilienza, ripristinare le proprie capacità operative in caso di incidenti. Al tempo stesso sarà obbligatorio notificare senza indebito ritardo all’autorità competente gli incidenti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali. Il decreto prevede l’adozione di una strategia ad hoc e regola le modalità di individuazione dei soggetti critici di particolare rilevanza a livello europeo. Contiene poi misure volte a consentire di reagire rapidamente e adeguatamente agli incidenti (di carattere fisico) e stabilisce procedure comuni di cooperazione e comunicazione sull’applicazione della direttiva (in particolare deve essere assicurato il coordinamento con la normativa in materia di sicurezza cibernetica di cui alla direttiva Nis2).
Cosa prevede la Direttiva Nis2
Come accennato, la direttiva 2022/2555, denominata Nis2, risponde all’esigenza di rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi di aziende e pubbliche amministrazioni dell’Unione europea. Le principali novità introdotte dal framework (entrata in vigore il 17 gennaio 2023 e vincolante dal 17 ottobre 2024, con la sostituzione della prima Nis) e recepite dal decreto legislativo approvato riguardano:
– l’ampliamento dell’ambito soggettivo di applicazione della disciplina;
– distinzione tra “soggetti essenziali” e “soggetti importanti” con l’adozione di un criterio dimensionale per la loro individuazione;
– la razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria;
– l’adozione di un approccio “multirischio”;
– la regolamentazione della divulgazione coordinata delle vulnerabilità e le specifiche funzioni di coordinamento attribuite agli Csirt (Computer Security Incident Response Team) nazionali;
– l’implementazione delle misure di cooperazione, al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di cybersicurezza su vasta scala.
