iStock photo Getty images Plus
Le norme garantiranno un' Europa più sicura e più forte ampliando in modo significativo i settori e il tipo di entità che rientrano nel suo ambito di applicazione e rafforzando i requisiti di sicurezza per le imprese.
Le minacce recenti hanno intensificato la necessità di rafforzare rapidamente e congiuntamente la cibersicurezza dell'UE per la protezione dei cittadini e delle imprese. È inoltre fondamentale che i settori e le infrastrutture critici rimangano sicuri e resilienti. Affrontando queste sfide, la direttiva NIS 2 sostituisce le norme sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS), che sono state la prima normativa a livello dell'UE in materia di cibersicurezza che ha aperto la strada a un approccio normativo più innovativo in materia di cibersicurezza in molti Stati membri.
Salvaguardare altri settori fondamentali
L'aumento dell'interconnessione e della digitalizzazione di alcuni settori comporta maggiori minacce informatiche. Garantire che un maggior numero di settori e soggetti debbano adottare misure di gestione dei rischi di cibersicurezza aumenterà il livello di cibersicurezza in Europa. La direttiva NIS 2 copre ora altri settori critici per l'economia e la società, tra cui i fornitori di reti e servizi pubblici di comunicazione elettronica, i servizi dei centri dati, la gestione delle acque reflue e dei rifiuti, la fabbricazione di prodotti critici, i servizi postali e di corriere e gli enti della pubblica amministrazione. Le norme riguardano anche il settore sanitario in senso più ampio, ad esempio includendo la ricerca e lo sviluppo di medicinali o la fabbricazione di medicinali. Gli Stati membri avranno una certa discrezionalità nell'individuare le entità più piccole con un profilo di sicurezza elevato che dovrebbero essere incluse nell'ambito di applicazione della direttiva.
Miglioramento dei requisiti di sicurezza per le imprese
La direttiva NIS 2 rafforza inoltre i requisiti in materia di gestione dei rischi di cibersicurezza che le imprese sono tenute a rispettare. Come previsto dalla direttiva NIS, le imprese dovranno adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi di cibersicurezza, prevenire e ridurre al minimo l'impatto di potenziali incidenti. Tale requisito diventa molto più concreto nell'ambito della NIS 2 con un elenco di misure mirate, tra cui la risposta agli incidenti e la gestione delle crisi, la gestione e la divulgazione delle vulnerabilità, le politiche e le procedure per valutare l'efficacia delle misure di gestione dei rischi di cibersicurezza o l'igiene e la formazione in materia di cibersicurezza.
Per contribuire ad aumentare la condivisione delle informazioni e la cooperazione in materia di gestione delle crisi informatiche a livello sia nazionale che dell'UE, la direttiva semplifica gli obblighi di segnalazione degli incidenti con disposizioni più precise in materia di segnalazione, contenuto e calendario. Vi sono inoltre misure di vigilanza più rigorose per le autorità nazionali, nonché requisiti di applicazione più rigorosi, unitamente all'elenco delle sanzioni amministrative, comprese le sanzioni pecuniarie per violazione degli obblighi di gestione dei rischi di cibersicurezza e di segnalazione.
Prossime fasi
Gli Stati membri disporranno di 21 mesi per recepire la direttiva NIS 2 nel diritto nazionale. Durante tale periodo gli Stati membri adottano e pubblicano le misure necessarie per conformarsi alla presente direttiva.
Nel dicembre 2022 il Consiglio ha adottato una raccomandazione su un approccio di coordinamento a livello dell'Unione per rafforzare la resilienza delle infrastrutture critiche, in cui gli Stati membri sono invitati ad accelerare i lavori preparatori per il recepimento e l'applicazione della direttiva NIS 2 e della direttiva sulla resilienza dei soggetti critici (CER).
Contesto
La cibersicurezza è una priorità della Commissione e una pietra angolare dell'Europa digitale e connessa.
La prima normativa dell'UE sulla cibersicurezza, la direttiva NIS, entrata in vigore nel 2016, ha contribuito a conseguire un livello comune elevato di sicurezza delle reti e dei sistemi informatici in tutta l'UE. La direttiva NIS riguardava diversi settori, tra cui l'energia, i trasporti, il settore bancario e finanziario, la sanità, l'approvvigionamento e la distribuzione di acqua potabile, nonché le infrastrutture digitali. Ha riguardato anche i fornitori di servizi digitali, in particolare i fornitori di servizi cloud, i mercati online e i motori di ricerca online.
Nel dicembre 2020 la Commissione ne ha proposto la revisione nell'ambito dell'obiettivo strategico principale di rendere l'Europa pronta per l' era digitale. Il regolamento dell'UE sulla cibersicurezza, in vigore dal 2019, ha dotato l'Europa di un quadro per la certificazione della cibersicurezza di prodotti, servizi e processi e ha rafforzato il mandato dell'Agenzia dell'UE per la cibersicurezza (ENISA). Nel settembre 2022 la Commissione ha adottato la proposta di legge sulla ciberresilienza, che stabilisce i requisiti di cibersicurezza per i prodotti con un elemento digitale, che riguardano sia l'hardware che il software.