L’attuale direttiva Nis sulla sicurezza delle reti e dei sistemi informativi in Europa è ormai acqua passata: il Consiglio Ue ha infatti adottato la nuova legislazione finalizzata ad istituire “un livello comune elevato di cibersicurezza in tutta l’Unione, per migliorare ulteriormente la resilienza e le capacità di risposta agli incidenti sia del settore pubblico che di quello privato e dell’Ue nel suo insieme”. La novità si concretizza nella neonata direttiva Nis2, che sarà pubblicata a giorni nella Gazzetta Ufficiale dell’Unione: gli Stati membri avranno 21 mesi dall’entrata in vigore della direttiva per recepire le disposizioni nella loro legislazione nazionale.
Gestione e cooperazione più forti di rischi e incidenti
La direttiva Nis2 costituirà la base per le misure di gestione dei rischi di cibersicurezza e gli obblighi di comunicazione in tutti i settori coperti, come l’energia, i trasporti, la sanità e le infrastrutture digitali. La nuova legislazione, in particolare, mira ad armonizzare i requisiti di sicurezza informatica e l’attuazione delle misure di sicurezza informatica nei diversi Stati membri. Per raggiungere questo obiettivo, stabilisce regole minime per un quadro normativo e stabilisce meccanismi per un’efficace cooperazione tra le autorità competenti in ciascuno Stato membro. Aggiorna inoltre l’elenco dei settori e delle attività soggetti agli obblighi di cibersicurezza e prevede rimedi e sanzioni per garantirne l’applicazione.
La direttiva istituirà formalmente la rete europea di organizzazioni di collegamento per le crisi informatiche, EU-CyCLONe , che supporterà la gestione coordinata di incidenti e crisi di sicurezza informatica su larga scala .
Ampliamento del campo di applicazione delle norme
Mentre ai sensi della vecchia direttiva Nis gli Stati membri erano responsabili di determinare quali entità avrebbero soddisfatto i criteri per qualificarsi come operatori di servizi essenziali, la nuova direttiva Nis2 introduce una regola di massimale dimensionale come regola generale per l’identificazione delle entità regolamentate. Ciò significa che tutti i soggetti di medie e grandi dimensioni che operano nei settori o forniscono servizi coperti dalla direttiva rientreranno nel suo campo di applicazione.
Sebbene la direttiva riveduta mantenga questa regola generale, il suo testo include disposizioni aggiuntive per garantire la proporzionalità, un livello più elevato di gestione del rischio e criteri di criticità chiari per consentire alle autorità nazionali di determinare ulteriori entità coperte. Il testo chiarisce inoltre che la direttiva non si applicherà agli enti che svolgono attività in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza e le forze dell’ordine. Anche il potere giudiziario, i parlamenti e le banche centrali sono esclusi dal campo di applicazione. Nis2 si applicherà anche alle pubbliche amministrazioni a livello centrale e regionale. Inoltre, gli Stati membri possono decidere che si applichi anche a tali entità a livello locale.
Altre novità introdotte dalla nuova legge
Inoltre, la nuova direttiva è stata allineata alla legislazione specifica del settore, in particolare il regolamento sulla resilienza operativa digitale per il settore finanziario (Dora) e la direttiva sulla resilienza delle entità critiche (Cer), per fornire chiarezza giuridica e garantire la coerenza tra Nis2 e questi atti. Un meccanismo volontario di apprendimento tra pari aumenterà la fiducia reciproca e l’apprendimento dalle buone pratiche e dalle esperienze nell’Unione, contribuendo così al raggiungimento di un elevato livello comune di cibersicurezza. La nuova legislazione razionalizza inoltre gli obblighi di segnalazione al fine di evitare di causare un eccesso di segnalazione e di creare un onere eccessivo per le entità interessate.
“Non c’è dubbio che la sicurezza informatica rimarrà una sfida chiave per gli anni a venire. La posta in gioco per le nostre economie e per i nostri cittadini è enorme. Oggi abbiamo fatto un altro passo per migliorare la nostra capacità di contrastare questa minaccia”, afferma Ivan Bartoš, vice primo ministro ceco per la digitalizzazione e ministro dello sviluppo regionale.
