Rafforzare la cybersicurezza e la resilienza a livello dell'UE

Rafforzare la cybersicurezza e la resilienza a livello dell'UE

L’accordo provvisorio del Consiglio e del Parlamento europeo in grado di garantire un elevato livello di cybersicurezza in tutta l'Unione, al fine di migliorare la resilienza e le capacità di risposta agli incidenti nell'UE nel suo complesso.

Si chiama NIS 2 la nuova direttiva, che sostituirà l'attuale direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS). Ecco come tale direttiva garantirà una migliore gestione e cooperazione dei rischi e degli incidenti informatici. Essa si applicherà in tutti i settori contemplati dalla direttiva, come l'energia, i trasporti, la sanità e le infrastrutture digitali.

La direttiva aggiornata mira a eliminare le divergenze nei requisiti di cybersicurezza e nell'attuazione delle misure di cybersicurezza nei diversi Stati membri. A tal fine, essa stabilisce norme minime per il quadro normativo e stabilisce meccanismi per una cooperazione efficace tra le autorità competenti in ciascuno Stato membro.

Essa aggiorna l'elenco dei settori e delle attività soggetti agli obblighi di cybersicurezza e prevede mezzi di ricorso e sanzioni per garantirne l'applicazione.

La direttiva istituirà formalmente la rete europea di organizzazioni di collegamento per le crisi informatiche, chiamata EU-CyCLONe, che sosterrà la gestione coordinata degli incidenti di cybersicurezza su larga scala.

Pubblicità

Libri e Manuali - La progettazione delle sale di controllo: la serie ISO 11064 ed altre norme - eBook in pdf Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti.

Ampliamento del campo di applicazione delle norme

Mentre ai sensi della vecchia direttiva NIS gli Stati membri erano responsabili nel determinare quali soggetti avrebbero soddisfatto i criteri per qualificarsi come operatori di servizi essenziali, la nuova direttiva NIS2 introduce una regola di limitazione dimensionale. Ciò significa che tutte le medie e grandi entità, che operano nei settori o che forniscono servizi coperti dalla direttiva, rientreranno automaticamente nel suo campo di applicazione.

Sebbene l'accordo tra il Parlamento europeo e il Consiglio mantenga questa regola generale, il testo concordato in via provvisoria include disposizioni aggiuntive per garantire la proporzionalità, un livello più elevato di gestione del rischio e chiari criteri di criticità, per determinare le entità interessate.

Il testo chiarisce inoltre che la direttiva non si applicherà alle entità che svolgono attività in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza, l'applicazione della legge e il sistema giudiziario. Anche i parlamenti e le banche centrali sono esclusi dal campo di applicazione.

Poiché anche le pubbliche amministrazioni sono spesso bersaglio di attacchi informatici, NIS2 si applicherà agli enti della pubblica amministrazione a livello centrale e regionale.

Inoltre, gli Stati membri possono decidere che essa si applichi a tali entità anche a livello locale.

Altre modifiche introdotte dai legislatori

Il Parlamento europeo e il Consiglio hanno allineato il testo alla legislazione settoriale, in particolare al regolamento sulla resilienza operativa digitale per il settore finanziario (DORA) ed alla direttiva sulla resilienza delle entità critiche (CER), al fine di fornire chiarezza giuridica e garantire la coerenza tra NIS2 e tali atti.

Un meccanismo volontario di apprendimento aumenterà la fiducia reciproca e l'apprendimento dalle buone pratiche ed esperienze, contribuendo in tal modo al raggiungimento di un elevato livello comune di cybersicurezza.

I due enti legislatori hanno inoltre razionalizzato gli obblighi di comunicazione, al fine di evitare troppe segnalazioni, creando un onere eccessivo per le entità interessate.

Gli Stati membri disporranno di 21 mesi dall'entrata in vigore della direttiva per recepire le disposizioni nel diritto nazionale.

Prossime tappe

L'accordo provvisorio appena concluso è ora soggetto all'approvazione del Consiglio e del Parlamento europeo.

Da parte del Consiglio, la presidenza francese intende sottoporre prossimamente l'accordo all'approvazione del Comitato dei rappresentanti permanenti del Consiglio.

Direttiva NIS 2 bozza (pdf)

Adalberto Biasiotti

Licenza Creative Commons

I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.