L’UE lavora costantemente per costruire la resilienza alle sempre crescenti minacce informatiche e garantire la sicurezza della società e dell’economia digitali. Il Consiglio Europeo ha approvato la sua posizione (“orientamento generale”) relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, al fine di migliorare ulteriormente la resilienza e le capacità di risposta agli incidenti del settore pubblico e privato e dell’UE nel suo complesso.
Una volta adottata, la nuova direttiva, denominata “NIS 2“, sostituirà l’attuale direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS).
Abbiamo constatato un rapido aumento nel numero di attacchi informatici al settore pubblico e privato e ai nostri cittadini, e siamo consapevoli del notevole impatto che tali attacchi hanno sulla nostra società, non da ultimo perché viviamo in un mondo sempre più digitalizzato. La posta in gioco è elevata e la nuova direttiva NIS svolgerà un ruolo molto importante nel rafforzamento della nostra cibersicurezza. Dimostrerà inoltre che l’Europa è leader nella legislazione in materia di cibersicurezza.Boštjan Koritnik, ministro sloveno per la Pubblica amministrazione
Cibersicurezza, migliorare la gestione dei rischi e degli incidenti e la cooperazione
La NIS 2 stabilirà una base di riferimento per le misure di gestione dei rischi e gli obblighi di segnalazione in tutti i settori contemplati dalla direttiva, quali l’energia, i trasporti, la sanità e le infrastrutture digitali.
La direttiva riveduta mira a eliminare le divergenze per quanto riguarda gli obblighi di cibersicurezza e l’attuazione delle misure di cibersicurezza nei diversi Stati membri. A tal fine, stabilisce norme minime per un quadro normativo e istituisce meccanismi per una cooperazione efficace tra le autorità competenti di ciascuno Stato membro. Aggiorna l’elenco dei settori e delle attività soggetti agli obblighi in materia di cibersicurezza e prevede mezzi di ricorso e sanzioni per garantirne l’applicazione.
La direttiva istituirà formalmente la rete europea delle organizzazioni di collegamento per le crisi informatiche EU-CyCLONe, che sosterrà la gestione coordinata degli incidenti di cibersicurezza su vasta scala.
Ampliamento dell’ambito di applicazione delle regole a seguito delle modifiche introdotte dal Consiglio
Mentre ai sensi della precedente direttiva NIS la responsabilità di determinare quali soggetti soddisfacessero i criteri per essere considerati operatori di servizi essenziali spettava agli Stati membri, la nuova direttiva NIS 2 introduce la regola della soglia di dimensione. Ciò significa che tutti i soggetti di medie e grandi dimensioni che operano nei settori o forniscono i servizi contemplati dalla direttiva rientreranno nel suo ambito di applicazione.
Pur mantenendo questa regola generale, la posizione del Consiglio contiene disposizioni supplementari per garantire la proporzionalità, un livello più elevato di gestione del rischio e criteri di criticità definiti in modo chiaro per determinare i soggetti interessati.
Il testo del Consiglio chiarisce inoltre che la direttiva non si applicherà ai soggetti operanti in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza, l’attività di contrasto e la giustizia. Anche i parlamenti e le banche centrali sono esclusi dall’ambito di applicazione.
Poiché anche le pubbliche amministrazioni sono spesso bersaglio di attacchi informatici, la NIS 2 si applicherà agli enti della pubblica amministrazione delle amministrazioni centrali. Inoltre, gli Stati membri possono decidere che si applichi anche a tali enti a livello regionale e locale.
Altre modifiche introdotte dal Consiglio
Il Consiglio ha allineato il testo alla legislazione settoriale, in particolare al regolamento relativo alla resilienza operativa digitale per il settore finanziario (DORA) e alla direttiva sulla resilienza dei soggetti critici (CER), per fornire chiarezza giuridica e garantire la coerenza tra tali atti e la NIS 2.
Un meccanismo volontario di apprendimento tra pari accrescerà la fiducia reciproca e gli insegnamenti tratti dalle buone pratiche e dalle esperienze, contribuendo in tal modo a conseguire un livello comune elevato di cibersicurezza.
Il Consiglio ha inoltre razionalizzato gli obblighi di segnalazione per evitare di causare un eccesso di segnalazioni e di imporre oneri eccessivi ai soggetti interessati.
Gli Stati membri avrebbero due anni di tempo dall’entrata in vigore della direttiva per recepirne le disposizioni nel diritto nazionale.