Il Consiglio dell’Unione europea (UE) ha adottato una legislazione per un livello comune elevato di cybersicurezza in tutta l’Unione, per migliorare ulteriormente la resilienza e le capacità di risposta agli incidenti sia del settore pubblico che di quello privato e dell’UE nel suo complesso.
Denominata NIS2, la direttiva è destinata a sostituire l’attuale direttiva sulla sicurezza delle reti e dei sistemi informativi.
Essa stabilirà la base per le misure di gestione dei rischi di cybersicurezza e gli obblighi di comunicazione in tutti i settori coperti dalla direttiva, come l’energia, i trasporti, la sanità e le infrastrutture digitali. La direttiva rivista mira ad armonizzare i requisiti di sicurezza informatica e l’attuazione delle misure di sicurezza informatica nei diversi Stati membri.
Per raggiungere questo obiettivo, la legislazione NIS2 stabilisce regole minime per un quadro normativo e stabilisce meccanismi per un’efficace cooperazione tra le autorità competenti in ciascuno Stato membro. Aggiorna l’elenco dei settori e delle attività soggetti agli obblighi di sicurezza informatica e prevede rimedi e sanzioni per garantirne l’applicazione. Spinge inoltre più entità e settori ad adottare misure coerenti, rafforzare i requisiti di sicurezza e affrontare la sicurezza delle catene di approvvigionamento. Semplificherà inoltre gli obblighi di segnalazione e introdurrà misure di vigilanza più rigorose e requisiti di applicazione più severi, comprese sanzioni armonizzate in tutta l’UE.
Inoltre, la nuova direttiva NIS2 è stata allineata alla normativa di settore, in particolare al regolamento sulla resilienza operativa digitale per il settore finanziario (DORA) e alla direttiva sulla resilienza delle entità critiche (CER), per fornire chiarezza giuridica e garantire coerenza tra NIS2 e questi atti. Semplifica inoltre gli obblighi di segnalazione per evitare di causare segnalazioni eccessive e creare un onere eccessivo per le entità interessate.
La direttiva NIS2 istituirà formalmente la rete europea di organizzazioni di collegamento per le crisi informatiche, EU-CyCLONe, che supporterà la gestione coordinata di incidenti e crisi di cybersicurezza su larga scala. Mentre ai sensi della vecchia direttiva NIS gli Stati membri erano responsabili di determinare quali entità avrebbero soddisfatto i criteri per qualificarsi come operatori di servizi essenziali, la nuova direttiva NIS2 introduce una regola di massimale dimensionale come regola generale per l’identificazione delle entità regolamentate. La mossa prevede che tutti i soggetti di medie e grandi dimensioni che operano nei settori o che forniscono servizi coperti dalla direttiva rientrino nel suo campo di applicazione. Sebbene la direttiva riveduta
mantenga questa regola generale, il suo testo include disposizioni aggiuntive per garantire la proporzionalità, un livello più elevato di gestione del rischio e criteri di criticità chiari per consentire alle autorità nazionali di determinare ulteriori entità coperte. Il testo chiarisce inoltre che la direttiva non si applicherà alle entità che svolgono attività in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza e le forze dell’ordine. Anche il potere giudiziario, i parlamenti e le banche centrali sono esclusi dal campo di applicazione.
La direttiva NIS2 stabilisce la linea di base per le misure di gestione dei rischi e gli obblighi di segnalazione in tutti i settori che rientrano nel suo ambito di applicazione. Per evitare la frammentazione delle disposizioni degli atti giuridici dell’Unione, laddove si ritengano necessari ulteriori atti giuridici settoriali dell’Unione per garantire un elevato livello di cybersicurezza in tutta l’Unione, la Commissione dovrebbe valutare se tali ulteriori disposizioni potrebbero essere stipulate in un atto di esecuzione ai sensi della direttiva.
Inoltre, qualora tale atto di esecuzione non fosse adatto a tale scopo, gli atti giuridici settoriali dell’Unione potrebbero contribuire a garantire un livello elevato di sicurezza in tutta l’Unione, tenendo pienamente conto delle specificità e della complessità dei settori interessati. Se un atto giuridico settoriale dell’Unione contiene disposizioni che impongono a entità essenziali o importanti di adottare misure di gestione del rischio o di notificare incidenti significativi e se tali requisiti hanno un effetto almeno equivalente agli obblighi stabiliti nella direttiva, tali disposizioni, anche in materia di vigilanza e applicazione, dovrebbero applicarsi a tali soggetti. Se un atto giuridico settoriale dell’Unione non copre tutte le entità di un settore specifico che rientrano nell’ambito di applicazione della direttiva, le pertinenti disposizioni della direttiva dovrebbero continuare ad applicarsi alle entità non contemplate da tale atto.
Dunque le disposizioni relative alle notifiche degli incidenti dell’atto giuridico settoriale dell’Unione dovrebbero fornire ai CSIRT, alle autorità competenti o ai punti di contatto unici ai sensi della direttiva un accesso immediato all’incidente notifiche presentate a norma dell’atto giuridico settoriale dell’Unione. In particolare, tale accesso immediato può essere garantito se le notifiche di incidente sono inoltrate senza indebito ritardo al CSIRT, all’autorità competente o al punto di contatto unico ai sensi della direttiva.
Scrivi un commento
Devi accedere, per commentare.