Il Consiglio Ue e il Parlamento europeo hanno trovato un’intesa sulle misure per ottenere un livello comune elevato di cybersicurezza in tutta l’Unione, al fine di migliorare ulteriormente la resilienza e le capacita’ di risposta agli incidenti del settore pubblico e privato. Una volta adottata, la nuova direttiva, denominata “NIS2”, sostituira’ l’attuale direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS). NIS2 definira’ la base per le misure di gestione del rischio di cybersicurezza e gli obblighi di segnalazione in tutti i settori coperti dalla direttiva, come l’energia, i trasporti, la salute e le infrastrutture digitali.
– La direttiva rivista mira a rimuovere le divergenze nei requisiti di cybersicurezza e nell’attuazione delle misure relative nei diversi Stati membri. A tal fine, stabilisce regole minime per un quadro normativo e meccanismi per un’efficace cooperazione tra le autorita’, aggiorna l’elenco dei settori e delle attivita’ soggetti agli obblighi di sicurezza informatica e prevede rimedi e sanzioni per garantirne l’applicazione. La direttiva istituira’ formalmente la rete europea dell’organizzazione di collegamento per le crisi informatiche, EU-CyCLONe, che sosterra’ la gestione coordinata degli incidenti di sicurezza informatica su larga scala.
Mentre ai sensi della vecchia direttiva NIS gli Stati membri erano responsabili di determinare quali entita’ avrebbero soddisfatto i criteri per qualificarsi come operatori di servizi essenziali, la nuova direttiva NIS2 introduce una regola di limite di dimensione. Cio’ significa che rientreranno nel suo campo di applicazione tutte le medie e grandi entita’ operanti nei settori o che forniscono servizi contemplati dalla direttiva. Sebbene l’accordo tra il Parlamento europeo e il Consiglio mantenga questa regola generale, il testo concordato in via provvisoria include disposizioni aggiuntive per garantire la proporzionalita’, un livello piu’ elevato di gestione del rischio e criteri di criticita’ chiari per la determinazione degli enti coperti.
Il testo, indica il Consiglio, chiarisce inoltre che la direttiva non si applichera’ agli enti che svolgono attivita’ in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza, le forze dell’ordine e la magistratura.
Sono esclusi dal campo di applicazione anche i parlamenti e le banche centrali.
Poiche’ anche le pubbliche amministrazioni sono spesso oggetto di attacchi informatici, NIS2 si applichera’ agli enti della pubblica amministrazione a livello centrale e regionale. Inoltre, gli Stati membri possono decidere che si applichi anche a tali enti a livello locale.
Il Parlamento europeo e il Consiglio hanno allineato il testo alla normativa di settore, in particolare il regolamento sulla resilienza operativa digitale per il settore finanziario (Dora) e la direttiva sulla resilienza delle entita’ critiche (Cer), per fornire chiarezza giuridica e garantire coerenza tra NIS2 e questi atti. Gli Stati membri avranno 21 mesi dall’entrata in vigore della direttiva per recepire le disposizioni nella loro legislazione nazionale.
L’accordo provvisorio concluso oggi e’ ora soggetto all’approvazione del Consiglio e del Parlamento europeo.
