Accordo raggiunto, tra le delegazioni del Parlamento Ue e del Consiglio Ue, sulla nuova direttiva per la cybersecurity europea, NIS 2, che sostituirà l’attuale direttiva sulla sicurezza delle reti e dei sistemi informativi.
Accordo fatto. La Nis 2, presto, stabilirà la base per le misure di gestione del rischio di sicurezza informatica e gli obblighi di segnalazione in tutti i settori coperti dalla direttiva, come l’energia, i trasporti, la salute e le infrastrutture digitali.
La nuova direttiva, grazie all’accordo raggiunto tra le varie delegazioni, mira a rimuovere le divergenze nei requisiti cyebr e nell’attuazione delle misure di sicurezza informatica nei diversi Stati membri. Per questo stabilisce regole minime per un quadro normativo e stabilisce meccanismi per un’efficace cooperazione tra le autorità competenti in ciascuno Stato membro. Aggiorna l’elenco dei settori e delle attività soggetti agli obblighi di sicurezza informatica e prevede rimedi e sanzioni per garantirne l’applicazione.
“Nel dettaglio – sintetizza una nota del Consiglio – “la direttiva istituirà formalmente la rete europea dell’organizzazione di collegamento per le crisi informatiche, Eu-CyClone, che sosterrà la gestione coordinata degli incidenti di sicurezza informatica su larga scala. Mentre ai sensi della vecchia direttiva Nis gli Stati membri erano responsabili di determinare quali entità avrebbero soddisfatto i criteri per qualificarsi come operatori di servizi essenziali, la nuova direttiva introduce una regola di limite di dimensione. Ciò significa che rientreranno nel suo campo di applicazione tutte le medie e grandi entità operanti nei settori o che forniscono servizi contemplati dalla direttiva”.
– Sebbene l’accordo tra il Parlamento europeo e il Consiglio mantenga questa regola generale, il testo concordato in via provvisoria – e che ora dovrà essere confermato dai due colegislatori – include disposizioni aggiuntive per garantire la proporzionalità, un livello più elevato di gestione del rischio e criteri di criticità chiari per la determinazione degli enti coperti. Il testo chiarisce inoltre che la direttiva non si applicherà agli enti che svolgono attività in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza, le forze dell’ordine e la magistratura. Sono esclusi dal campo di applicazione anche i parlamenti e le banche centrali. Poiché anche le pubbliche amministrazioni sono spesso oggetto di attacchi informatici, Nis 2 si applicherà agli enti della pubblica amministrazione a livello centrale e regionale (gli Stati membri possono decidere però che si applichi anche a loro).
“Le minacce informatiche sono diventate più audaci e complesse. Era fondamentale adattare il nostro quadro di sicurezza alle nuove realtà e garantire che i nostri cittadini e le nostre infrastrutture fossero protetti. Nel panorama odierno della sicurezza informatica, la cooperazione e la condivisione rapida delle informazioni sono di fondamentale importanza. Con l’accordo di Nis 2, modernizziamo le regole per garantire servizi più critici per la società e l’economia”, commenta così l’accordo raggiunto tra i colegislatori sulla direttiva Nis 2 per la cybersicurezza, Thierry Breton, commissario per il Mercato interno. “Questo è quindi un importante passo avanti. Integreremo questo approccio con il prossimo Cyber resilience act che garantirà che i prodotti digitali sono anche più sicuri ogni volta che vengono utilizzati”.