Il testo legislativo della NIS 2 è stato adottato con 577 voti favorevoli, 6 contrari e 31 astensioni.
La plenaria di Bruxelles del Parlamento Ue ha approvato – con 577 sì, 6 no e 31 astensioni – l’accordo tra colegislatori sulla nuova direttiva per la cybersecurity europea, la cosiddetta Nis 2, che sostituirà l’attuale direttiva sulla sicurezza delle reti e dei sistemi informativi. L’accordo era stato raggiunto lo scorso maggio.
La Nis 2, in sintesi, stabilirà la base per le misure di gestione del rischio di sicurezza informatica e gli obblighi di segnalazione in tutti i settori coperti dalla direttiva, come l’energia, i trasporti, la salute e le infrastrutture digitali. Nel dettaglio, istituirà formalmente la rete europea dell’organizzazione di collegamento per le crisi informatiche, Eu-CyClone, che sosterrà la gestione coordinata degli incidenti di sicurezza informatica su larga scala. Mentre ai sensi della vecchia direttiva Nis gli Stati membri erano responsabili di determinare quali entità avrebbero soddisfatto i criteri per qualificarsi come operatori di servizi essenziali, il nuvo testo introduce una regola di limite di dimensione. Ciò significa che rientreranno nel suo campo di applicazione tutte le medie e grandi entità operanti nei settori o che forniscono servizi contemplati dalla direttiva.
La norma include disposizioni aggiuntive per garantire la proporzionalità, un livello più elevato di gestione del rischio e criteri di criticità per la determinazione degli enti coperti. Il testo chiarisce inoltre che la direttiva non si applicherà agli enti che svolgono attività in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza, le forze dell’ordine e la magistratura. Sono esclusi dal campo di applicazione anche i Parlamenti e le banche centrali. Poiché anche le pubbliche amministrazioni sono spesso oggetto di attacchi informatici, Nis 2 si applicherà agli enti della pubblica amministrazione a livello centrale e regionale (gli Stati membri possono decidere però che si applichi anche a loro).
Il Parlamento europeo e il Consiglio hanno allineato il testo alla normativa di settore, in particolare al regolamento sulla resilienza operativa digitale per il settore finanziario (Dora) e alla direttiva sulla resilienza delle entità critiche (Cer).
I due colegislatori hanno inoltre snellito gli obblighi di segnalazione al fine di evitare di causare una segnalazione eccessiva e di creare un onere eccessivo per i soggetti interessati. Dopo l’approvazione formale del Consiglio, gli Stati membri avranno 21 mesi dall’entrata in vigore della direttiva per recepire le disposizioni nella loro legislazione nazionale.
Bart Groothuis: “La direttiva renderà l’Europa un luogo sicuro in cui vivere e lavorare”
“Il ransomware e le altre minacce informatiche hanno predato l’Europa per troppo tempo. Dobbiamo agire per rendere le nostre imprese, i nostri governi e la nostra società più resistenti alle operazioni informatiche ostili”, ha dichiarato il relatore Bart Groothuis (Renew, NL).
“Questa direttiva europea aiuterà circa 160.000 enti a rafforzare la propria sicurezza e a rendere l’Europa un luogo sicuro in cui vivere e lavorare. Inoltre, consentirà di condividere le informazioni con il settore privato e con i partner di tutto il mondo. Se veniamo attaccati su scala industriale, dobbiamo rispondere su scala industriale“, ha dichiarato Groothuis.
“Questa è la migliore legislazione sulla sicurezza informatica che il Continente abbia mai visto, perché offre all’Europa una gestione proattiva degli incidenti informatici e orientata al servizio”, ha aggiunto.
Vestager: “Chiediamo agli Stati di applicare fin da subito i livelli di sicurezza della direttiva”
La nuova direttiva “rafforzerà gli obblighi di rendicontazione applicabili per le aziende in materia di incidenti. E’ importante che sia stato ampliato il campo di applicazione per includere nuovi settori e servizi. Tutto questo consentirà un approccio alla cybersicurezza armonizzato e più trasversale”.
Lo ha dichiarato Margrethe Vestager, vicepresidente esecutivo della Commissione europea con delega alla Concorrenza. In materia di cybersecurity, “verranno proposti ulteriori strumenti che rafforzeranno la nostra capacità collettiva di rispondere alle minacce informatiche, dalla prevenzione alla individuazione di minacce concrete già esistenti. L’accordo – sulla nuova direttiva per la cybersecurity europea, la cosiddetta Nis 2 – è un risultato importantissimo, ma da solo non basta. Bisognerà essere ulteriormente proattivi sui fronti più urgenti. Concretamente, vorremmo aumentare la cooperazione su tre fronti: sul piano militare tra gli Stati, tra ambito civile e militare e tra settore pubblico e privato. Non possiamo proteggere noi stessi in altro modo”.
“L’attuazione della direttiva Nis 2 richiede tempo, per questo stiamo chiedendo agli Stati membri di applicare già volontariamente quei livelli di sicurezza”.