Il Parlamento europeo e il Consiglio UE hanno trovato l’accordo sulla direttiva NIS 2 con cui l’ Europa punta a raggiungere un più alto livello di cyber security.
La proposta della direttiva NIS 2 era stata avanzata dalla Commissione UE nel dicembre 2020.
Prossimo step, l’approvazione formale dell’accordo. Poi la direttiva sarà pubblicata nella Gazzetta Ufficiale europea ed entrerà in vigore venti giorni dopo. Gli Stati avranno invece ventuno mesi per recepirla nei propri ordinamenti nazionali.
Si tratta di una norma importante per ridefinire la sicurezza in Europa alla luce delle crescenti minacce cyber che gravano sulle organizzazioni. La direttiva NIS 2 interviene in particolare su esponenti di settori strategici dal punto di vista socio-economico in Europa.
Indice degli argomenti
L’antefatto: la direttiva NIS
Come spiega la Commissione UE in una nota ufficiale, le attuali norme per la sicurezza delle reti e dei sistemi informativi (direttiva NIS) “sono state il primo atto legislativo a livello dell’UE sulla cyber security e hanno spianato la strada a un significativo cambiamento della mentalità e dell’approccio istituzionale e normativo alla cyber security in molti Stati membri. Nonostante gli importanti risultati conseguiti e il loro impatto positivo, è stato necessario aggiornarle a causa del crescente grado di digitalizzazione e interconnessione della nostra società e dell’aumento del numero di attività informatiche dolose a livello mondiale”.
NIS 2, i soggetti coinvolti
La direttiva NIS 2 interviene sui soggetti che operano in ambiti strategici come:
- PA
- Service provider pubblici di comunicazione elettronica,
- Provider di servizi digitali,
- Fornitori del trattamento delle acque reflue e la gestione dei rifiuti
- Chi opera nella fabbricazione di prodotti essenziali
- servizi postali e di corriere
- Settore sanitario
Gli obiettivi
La direttiva contempla una serie di regole che tali soggetti dovranno seguire per aumentare il livello di sicurezza, tra cui:
- più rigorosi requisiti di sicurezza imposti alle imprese
- sicurezza della supply chain e delle relazioni con i fornitori
- responsabilità dei vertici delle organizzazioni in caso di condotte omissive rispetto agli obblighi in materia di cyber security
- semplifica gli obblighi di notifica,
- misure di vigilanza più rigorose per le autorità nazionali
- obblighi di esecuzione severi
- sistemi sanzionatori comuni tra gli Stati.
Come ha spiegato Thierry Breton, Commissario per il Mercato interno UE, “le minacce informatiche si fanno più pericolose e complesse. Era imperativo adattare il quadro della sicurezza alle nuove realtà e tutelare i nostri cittadini e le nostre infrastrutture. Nell’attuale panorama della cyber security, è capitale poter cooperare e condividere tempestivamente le informazioni. Con l’accordo sulla NIS 2 aggiorniamo le norme per garantire un maggior numero di servizi essenziali alla società e all’economia. Si tratta quindi di un importante passo avanti. Questa strategia andrà ad arricchirsi della futura legge sulla ciberresilienza, che garantirà una maggior sicurezza d’uso dei prodotti digitali”.