LE NUOVE REGOLE UE

Infrastrutture critiche più sicure, in vigore le direttive Nis 2 e Cer

Nel primo provvedimento nuove misure per un elevato livello comune di cybersicurezza, nel secondo aggiornato l’impianto normativo che mira ad aumentare la resilienza. Focus sulle minacce online e offline, si allargano i campi di applicazione. La Commissione: “Gli Stati membri passino rapidamente all’attuazione”

Pubblicato il 16 Gen 2023

Patrizia Licata

giornalista

europa-161130181629
Sono entrate in vigore nell’Unione europea la direttiva Nis 2, che contiene le misure per un elevato livello comune di cybersicurezza in tutta l’Unione e la direttiva Cer sulla resilienza delle entità critiche.
Gli Stati membri hanno 21 mesi di tempo per recepire entrambe le direttive nel proprio diritto nazionale, ma la Commissione europea ha sottolineato l’importanza di agire presto: “Oggi entrano in vigore due direttive fondamentali sulle infrastrutture critiche e digitali, che rafforzeranno la resilienza dell’Ue contro le minacce online e offline, dagli attacchi informatici alla criminalità, ai rischi per la salute pubblica o alle catastrofi naturali: la direttiva sulle misure per un elevato livello comune di cybersicurezza in tutta l’Unione (direttiva Nis 2) e la direttiva sulla resilienza delle entità critiche (direttiva Cer)”, ha affermato un portavoce della Commissione Ue. “È importante che gli Stati membri attuino rapidamente le direttive”.  

Direttiva Nis 2, più campi di applicazione

La direttiva Nis 2 amplierà i settori e le tipologie di entità critiche che rientrano nel campo di applicazione, comprendendo fornitori di reti e servizi pubblici di comunicazione elettronica, i servizi dei centri dati, la gestione delle acque reflue e dei rifiuti, la fabbricazione di prodotti critici, i servizi postali e di corriere e gli enti della pubblica amministrazione, nonché, più in generale, il settore sanitario.
Saranno rafforzati i requisiti di gestione del rischio di sicurezza informatica che le aziende sono tenute a rispettare e saranno snelliti gli obblighi di segnalazione degli incidenti con disposizioni più precise in materia di segnalazione, contenuto e tempistica.

Direttiva Cer, più resilienza per 11 settori

La direttiva Cer sostituisce invece la direttiva europea sulle infrastrutture critiche del 2008. Le nuove norme rafforzeranno la resilienza delle infrastrutture critiche a una serie di minacce, tra cui i rischi naturali, gli attacchi terroristici, le minacce interne o il sabotaggio.
Gli Stati membri Ue dovranno adottare una strategia nazionale ed effettuare valutazioni periodiche del rischio per identificare le entità considerate critiche o vitali per la società e l’economia. Saranno coperti in totale 11 settori: energia,trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue,infrastrutture digitali, pubblica amministrazione, spazio e cibo.

Nis 2, le novità nel dettaglio

Il 10 novembre il Parlamento europeo, a larga maggioranza, ha approvato la Direttiva Nis2 (Network and information system security). Ad oggi, in Italia, la normativa di riferimento nazionale in materia di sicurezza dei dati è rappresentata dalla Legge 4 agosto 2021, n. 109 recante “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”. Tale normativa ha recepito a livello nazionale la direttiva Nis 2016/1148 “Sulla sicurezza delle reti e dei sistemi informativi”, con cui la Commissione europea ha posto le basi necessarie per normare e disciplinare gli aspetti essenziali della sicurezza informatica.

La direttiva Nis mette l’accento sugli Operatori dei servizi essenziali (Ose): quelle aziende che, secondo la definizione dell’Anssi “forniscono un servizio essenziale la cui interruzione avrebbe un impatto significativo sull’andamento dell’economia o della società”.

Vista la trasformazione della minaccia, l’evoluzione del testo è stata inevitabile, in particolare per ampliare il campo di applicazione e preparare le aziende alle sfide attuali e future della cyber sicurezza. È questa constatazione che ha portato la Commissione a proporre una revisione della direttiva, sotto il nome di Nis 2.

Tra i capisaldi della direttiva Nis 2 ci sono:

  1. rideterminazione e ampliamento dell’ambito di applicazione delle norme in materia di sicurezza dei dati;
  2. potenziamento degli organi e delle attività di supervisione a livello comunitario, con l’obiettivo di migliorare la collaborazione per contrastare la minaccia informatica globale, grazie alla condivisione delle esperienze tra gli stati membri;
  3. razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria degli incidenti informatici;
  4. estensione dei concetti di gestione del rischio e di valutazione delle vulnerabilità a tutta la supply chain, coinvolgendo tutti o un maggior numero di stakeholder coinvolti.

Cer, che cosa cambia

Il 28 giugno scorso il Parlamento Europeo e il Consiglio dell’Unione Europea hanno raggiunto un accordo circa l’approvazione della Direttiva sulla resilienza delle infrastrutture critiche (Cer), proposta dalla Commissione nel dicembre 2020. Le nuove norme hanno lo scopo di rafforzare il livello di preparazione delle infrastrutture critiche di fronte a una serie di minacce, tra cui i rischi naturali, gli attacchi terroristici, le minacce interne o il sabotaggio, nonché le emergenze sanitarie come la recente pandemia di Covid-19.

La nuova normativa stabilisce l’obbligo per gli Stati membri di:

  1. adottare misure volte a garantire la fornitura, nel mercato interno, dei servizi essenziali per la società e individuare i soggetti critici;
  2. rafforzare la loro resilienza e la loro capacità operativa;
  3. fissare regole sulla vigilanza e sull’applicazione delle norme nei confronti dei tali enti.

Ogni Paese Ue è chiamato ad adottare una sua strategia nazionale, ha l’onere di indicare una o più autorità competenti responsabili della corretta applicazione e del rispetto della direttiva a livello nazionale e dovrà designare, all’interno dell’autorità competente, un unico punto di contatto per assicurare la cooperazione transfrontaliera con le autorità competenti degli altri Stati membri.Gli Stati membri devono assicurarsi che i soggetti critici adottino misure tecniche e organizzative per garantire la loro resilienza, ivi comprese quelle di prevenzione degli incidenti; protezione fisica delle aree sensibili; mitigazione delle conseguenze degli incidenti; recupero dagli incidenti; gestione della sicurezza dei dipendenti; aumento della consapevolezza tra il personale.

Una novità introdotta dalla direttiva è la creazione del Gruppo per la resilienza delle infrastrutture critiche, che ha il compito di supportare la Commissione nella cooperazione strategica e nello scambio di informazioni nonché la funzione di valutare le varie strategie e di coadiuvare gli Stati nell’individuazione delle infrastrutture critiche.

Infine, la direttiva prevede apposite misure affinché le autorità competenti dei vari Paesi possano valutare l’applicazione della normativa da parte delle entità critiche attraverso ispezioni in loco e audit.

@RIPRODUZIONE RISERVATA

Valuta questo articolo

La tua opinione è importante per noi!

Articolo 1 di 5