Cyber security, via libera alla NIS 2: come cambiano le regole in materia di sicurezza informatica nell’UE

Via libera definitivo alla direttiva NIS 2, la direttiva europea in materia di cyber security che andrà a sostituire la precedente direttiva NIS (Network and Information Security Directive): con l’approvazione da parte del Consiglio, giunta nella giornata del 28 novembre, la direttiva sarà infatti presto pubblicata sulla Gazzetta Ufficiale dell’UE.

La direttiva, che introduce obblighi più stringenti in materia di cyber security e semplifica alcune procedure, entrerà in vigore nel ventesimo giorno dalla sua pubblicazione sulla Gazzetta Ufficiale. Da allora, gli Stati membri avranno 21 mesi di tempo per adeguarsi.

L’aggiornamento della direttiva, ricordiamo, era stato sollecitato proprio dai due organi legislativi europei (il Parlamento e il Consiglio), che aveva invitato la Commissione ad analizzare l’efficacia della direttiva NIS.

Il processo di revisione, iniziato con un’ampia consultazione pubblica, aveva sottolineato le lacune della direttiva davanti a una società europea sempre più digitalizzata, oltre alla mancanza di armonia nell’implementazione negli Stati membri e difficoltà per le imprese di aderire alle disposizioni comunitarie in materia di sicurezza delle infrastrutture e dei dati.

La Commissione aveva infine presentato la sua proposta di aggiornamento della direttiva e, lo scorso maggio, il Parlamento e il Consiglio avevano raggiunto un accordo sul testo.

NIS 2, cosa cambia con la nuova direttiva

La NIS 2 stabilirà la base per le misure di gestione del rischio di cyber security e gli obblighi di comunicazione in tutti i settori coperti dalla direttiva, come l’energia, i trasporti, la salute e le infrastrutture digitali.

La direttiva rivista mira ad armonizzare i requisiti di sicurezza informatica e l’attuazione delle misure di sicurezza informatica nei diversi Stati membri. A tal fine, definisce le regole minime per un quadro normativo e stabilisce i meccanismi per una cooperazione efficace tra le autorità competenti in ogni Stato membro.

La NIS 2, inoltre, aggiorna l’elenco dei settori e delle attività soggette agli obblighi di cyber security e prevede rimedi e sanzioni per garantirne l’applicazione.

La direttiva istituirà formalmente la rete dell’Organizzazione europea di collegamento per le crisi informatiche, EU-CyCLONe, che sosterrà la gestione coordinata di incidenti e crisi di cyber sicurezza su larga scala.

Mentre con la vecchia direttiva NIS gli Stati membri erano responsabili della determinazione dei soggetti che avrebbero soddisfatto i criteri per qualificarsi come operatori di servizi essenziali, la nuova direttiva NIS 2 introduce una regola dimensionale come regola generale per l’identificazione dei soggetti regolamentati.

Ciò significa che tutte le entità di medie e grandi dimensioni che operano nei settori o forniscono servizi coperti dalla direttiva rientreranno nel suo campo di applicazione.

Sebbene la direttiva riveduta mantenga questa regola generale, il suo testo include disposizioni aggiuntive per garantire la proporzionalità, un livello più elevato di gestione del rischio e criteri di criticità ben definiti per consentire alle autorità nazionali di determinare ulteriori entità coperte.

Il testo chiarisce inoltre che la direttiva non si applicherà agli enti che svolgono attività in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza e le forze dell’ordine. Anche la magistratura, i parlamenti e le banche centrali sono esclusi dal campo di applicazione.

Il NIS 2 si applicherà anche alle amministrazioni pubbliche a livello centrale e regionale. Inoltre, gli Stati membri possono decidere che si applichi anche a tali enti a livello locale.

Inoltre, la nuova direttiva è stata allineata alla legislazione specifica del settore, in particolare al regolamento sulla resilienza operativa digitale per il settore finanziario (DORA) e alla direttiva sulla resilienza delle entità critiche (CER), per fornire chiarezza giuridica e garantire la coerenza tra la NIS 2 e questi atti.

L’introduzione di un meccanismo volontario di apprendimento tra pari

La direttiva istituisce anche un meccanismo volontario di apprendimento tra pari, allo scopo di aumentare la fiducia reciproca e l’apprendimento dalle buone pratiche e dalle esperienze nell’Unione, contribuendo così a raggiungere un elevato livello comune di sicurezza informatica.

In base a questo meccanismo, gli Stati membri sono incoraggiati a scambiarsi, su base volontaria e attraverso esperti designati, conoscenze e buone pratiche inerenti la sicurezza informatica.

Infine, la nuova legislazione razionalizza gli obblighi di segnalazione per evitare di causare un eccesso di segnalazioni e di creare un onere eccessivo per le entità interessate.

© RIPRODUZIONE RISERVATA

Michelle Crisantemi

Giornalista bilingue laureata presso la Kingston University di Londra. Da sempre appassionata di politica internazionale, ho vissuto, lavorato e studiato in Spagna, Regno Unito e Belgio, dove ho avuto diverse esperienze nella gestione di redazioni multimediali e nella correzione di contenuti per il Web. Nel 2018 ho lavorato come addetta stampa presso il Parlamento europeo, occupandomi di diritti umani e affari esteri. Rientrata in Italia nel 2019, ora scrivo prevalentemente di tecnologia e innovazione.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.