- La NIS 2 introduce obblighi più stringenti in materia di cyber security, mirati a armonizzare i requisiti di sicurezza e l’attuazione delle misure tra gli Stati membri.
- Stabilisce regole minime per un quadro normativo comune e meccanismi di cooperazione tra le autorità competenti.
- La direttiva aggiorna l’elenco dei settori e delle attività soggette agli obblighi di cyber security, includendo entità di medie e grandi dimensioni. Esclude specifici settori come la difesa e la sicurezza nazionale, ma si applica alle amministrazioni pubbliche centrali e regionali, con la possibilità di estensione a livello locale.
Via libera definitivo alla direttiva NIS 2, la direttiva europea in materia di cyber security che andrà a sostituire la precedente direttiva NIS (Network and Information Security Directive): con l’approvazione da parte del Consiglio, giunta nella giornata del 28 novembre, la direttiva sarà infatti presto pubblicata sulla Gazzetta Ufficiale dell’UE.
La direttiva, che introduce obblighi più stringenti in materia di cyber security e semplifica alcune procedure, entrerà in vigore nel ventesimo giorno dalla sua pubblicazione sulla Gazzetta Ufficiale. Da allora, gli Stati membri avranno 21 mesi di tempo per adeguarsi.
L’aggiornamento della direttiva, ricordiamo, era stato sollecitato proprio dai due organi legislativi europei (il Parlamento e il Consiglio), che aveva invitato la Commissione ad analizzare l’efficacia della direttiva NIS.
Il processo di revisione, iniziato con un’ampia consultazione pubblica, aveva sottolineato le lacune della direttiva davanti a una società europea sempre più digitalizzata, oltre alla mancanza di armonia nell’implementazione negli Stati membri e difficoltà per le imprese di aderire alle disposizioni comunitarie in materia di sicurezza delle infrastrutture e dei dati.
La Commissione aveva infine presentato la sua proposta di aggiornamento della direttiva e, lo scorso maggio, il Parlamento e il Consiglio avevano raggiunto un accordo sul testo.
Indice degli argomenti
NIS 2, cosa cambia con la nuova direttiva
La NIS 2 stabilirà la base per le misure di gestione del rischio di cyber security e gli obblighi di comunicazione in tutti i settori coperti dalla direttiva, come l’energia, i trasporti, la salute e le infrastrutture digitali.
La direttiva rivista mira ad armonizzare i requisiti di sicurezza informatica e l’attuazione delle misure di sicurezza informatica nei diversi Stati membri. A tal fine, definisce le regole minime per un quadro normativo e stabilisce i meccanismi per una cooperazione efficace tra le autorità competenti in ogni Stato membro.
La NIS 2, inoltre, aggiorna l’elenco dei settori e delle attività soggette agli obblighi di cyber security e prevede rimedi e sanzioni per garantirne l’applicazione.
La direttiva istituirà formalmente la rete dell’Organizzazione europea di collegamento per le crisi informatiche, EU-CyCLONe, che sosterrà la gestione coordinata di incidenti e crisi di cyber sicurezza su larga scala.
Mentre con la vecchia direttiva NIS gli Stati membri erano responsabili della determinazione dei soggetti che avrebbero soddisfatto i criteri per qualificarsi come operatori di servizi essenziali, la nuova direttiva NIS 2 introduce una regola dimensionale come regola generale per l’identificazione dei soggetti regolamentati.
Ciò significa che tutte le entità di medie e grandi dimensioni che operano nei settori o forniscono servizi coperti dalla direttiva rientreranno nel suo campo di applicazione.
Sebbene la direttiva riveduta mantenga questa regola generale, il suo testo include disposizioni aggiuntive per garantire la proporzionalità, un livello più elevato di gestione del rischio e criteri di criticità ben definiti per consentire alle autorità nazionali di determinare ulteriori entità coperte.
Il testo chiarisce inoltre che la direttiva non si applicherà agli enti che svolgono attività in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza e le forze dell’ordine. Anche la magistratura, i parlamenti e le banche centrali sono esclusi dal campo di applicazione.
Il NIS 2 si applicherà anche alle amministrazioni pubbliche a livello centrale e regionale. Inoltre, gli Stati membri possono decidere che si applichi anche a tali enti a livello locale.
Inoltre, la nuova direttiva è stata allineata alla legislazione specifica del settore, in particolare al regolamento sulla resilienza operativa digitale per il settore finanziario (DORA) e alla direttiva sulla resilienza delle entità critiche (CER), per fornire chiarezza giuridica e garantire la coerenza tra la NIS 2 e questi atti.
L’introduzione di un meccanismo volontario di apprendimento tra pari
La direttiva istituisce anche un meccanismo volontario di apprendimento tra pari, allo scopo di aumentare la fiducia reciproca e l’apprendimento dalle buone pratiche e dalle esperienze nell’Unione, contribuendo così a raggiungere un elevato livello comune di sicurezza informatica.
In base a questo meccanismo, gli Stati membri sono incoraggiati a scambiarsi, su base volontaria e attraverso esperti designati, conoscenze e buone pratiche inerenti la sicurezza informatica.
Infine, la nuova legislazione razionalizza gli obblighi di segnalazione per evitare di causare un eccesso di segnalazioni e di creare un onere eccessivo per le entità interessate.
