Il Consiglio e il Parlamento europeo sono giunti a un accordo relativo a misure per un livello comune elevato di cibersicurezza nell’Unione, al fine di migliorare ulteriormente la resilienza e le capacità di risposta agli incidenti del settore pubblico e privato e dell’UE nel suo complesso.
Una volta adottata, la nuova direttiva, denominata “NIS 2“, sostituirà l’attuale direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS).
Migliorare la gestione dei rischi e degli incidenti e la cooperazione
La direttiva NIS 2 stabilirà una base di riferimento per le misure di gestione dei rischi di cibersicurezza e gli obblighi di segnalazione in tutti i settori contemplati dalla direttiva, in particolare l’energia, i trasporti, la salute e le infrastrutture digitali.
La direttiva riveduta mira a eliminare le divergenze per quanto riguarda gli obblighi di cibersicurezza e l’attuazione delle misure di cibersicurezza nei diversi Stati membri. A tal fine, stabilisce norme minime per un quadro normativo e istituisce meccanismi per una cooperazione efficace tra le autorità competenti di ciascuno Stato membro. Aggiorna l’elenco dei settori e delle attività soggetti agli obblighi in materia di cibersicurezza e prevede mezzi di ricorso e sanzioni per garantirne l’applicazione.
La direttiva istituirà formalmente la rete europea delle organizzazioni di collegamento per le crisi informatiche EU-CyCLONe, che sosterrà la gestione coordinata degli incidenti di cibersicurezza su vasta scala.
Cibersicurezza: ampliamento dell’ambito di applicazione delle norme
Mentre ai sensi della precedente direttiva NIS la responsabilità di determinare quali soggetti soddisfacessero i criteri per essere considerati operatori di servizi essenziali spettava agli Stati membri, la nuova direttiva NIS 2 introduce la regola della soglia di dimensione. Ciò significa che tutti i soggetti di medie e grandi dimensioni che operano nei settori o forniscono i servizi contemplati dalla direttiva rientreranno nel suo ambito di applicazione.
Benché l’accordo tra Parlamento europeo e Consiglio mantenga questa regola generale, il testo concordato in via provvisoria contiene disposizioni supplementari per garantire la proporzionalità, un livello più elevato di gestione dei rischi e criteri di criticità definiti in modo chiaro per determinare i soggetti interessati.
Il testo chiarisce inoltre che la direttiva non si applicherà ai soggetti operanti in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza, l’attività di contrasto e la giustizia. Anche i parlamenti e le banche centrali sono esclusi dall’ambito di applicazione.
Poiché anche le pubbliche amministrazioni sono spesso bersaglio di attacchi informatici, la NIS 2 si applicherà agli enti della pubblica amministrazione a livello centrale e regionale. Inoltre, gli Stati membri possono decidere che si applichi a tali enti anche a livello locale.
Altre modifiche introdotte dai colegislatori
Il Parlamento europeo e il Consiglio hanno allineato il testo alla legislazione settoriale, in particolare al regolamento relativo alla resilienza operativa digitale per il settore finanziario (DORA) e alla direttiva sulla resilienza dei soggetti critici (CER), per fornire chiarezza giuridica e garantire la coerenza tra tali atti e la NIS 2.
Un meccanismo volontario di apprendimento tra pari accrescerà la fiducia reciproca e gli insegnamenti tratti dalle buone pratiche e dalle esperienze, contribuendo in tal modo a conseguire un livello comune elevato di cibersicurezza.
I due colegislatori hanno inoltre razionalizzato gli obblighi di segnalazione per evitare di causare un eccesso di segnalazioni e di imporre oneri eccessivi ai soggetti interessati.
Gli Stati membri avranno 21 mesi di tempo dall’entrata in vigore della direttiva per recepirne le disposizioni nei rispettivi diritti nazionali.