Nonostante i suoi notevoli risultati, la direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS), che ha aperto la strada a un cambiamento significativo nella mentalità, nell'approccio istituzionale e normativo in materia di cibersicurezza in molti Stati membri, ha ormai dimostrato i suoi limiti. La trasformazione digitale della società (intensificata dalla crisi COVID-19) ha ampliato il panorama delle minacce e sta creando nuove sfide, che richiedono risposte adeguate e innovative.
Ora, qualsiasi perturbazione, anche quella inizialmente limitata a un'entità o a un settore, può avere effetti a cascata più in generale, con potenziali effetti negativi di vasta portata e di lunga durata sulla fornitura di servizi in tutto il mercato interno.
Per affrontare tali sfide, come annunciato nella comunicazione "Formare il futuro digitale dell'Europa", la Commissione ha accelerato il riesame della direttiva fino alla fine del 2020, ha effettuato una valutazione d'impatto e ha presentato una nuova proposta legislativa.
Elementi chiave della proposta della Commissione
La nuova proposta della Commissione mira a colmare le carenze della precedente direttiva NIS, ad adattarla alle esigenze attuali e a renderla adeguata alle esigenze future.
A tal fine, la proposta della Commissione amplia l'ambito di applicazione dell'attuale direttiva NIS aggiungendo nuovi settori basati sulla loro criticità per l'economia e la società e introducendo un limite di dimensioni chiaro, il che significa che tutte le medie e grandi imprese in settori selezionati saranno incluse nel campo di applicazione. Allo stesso tempo, lascia agli Stati membri una certa flessibilità nell'individuare entità più piccole con un elevato profilo di rischio per la sicurezza.
La proposta elimina inoltre la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali. Le entità sarebbero classificate in base alla loro importanza e suddivise rispettivamente in categorie essenziali e importanti, con la conseguenza di essere soggette a regimi di vigilanza diversi.
La proposta rafforza i requisiti di sicurezza per le imprese, imponendo un approccio di gestione del rischio che fornisca un elenco minimo di elementi di sicurezza di base che devono essere applicati. La proposta introduce disposizioni più precise sul processo di segnalazione degli incidenti, sul contenuto delle relazioni e sulle scadenze.
La Commissione propone inoltre di affrontare il problema della sicurezza delle catene di approvvigionamento e delle relazioni con i fornitori, imponendo alle singole imprese di affrontare i rischi di cibersicurezza nelle catene di approvvigionamento e nelle relazioni con i fornitori. A livello europeo, la proposta rafforza la cibersicurezza della catena di approvvigionamento per le tecnologie chiave dell'informazione e della comunicazione. Gli Stati membri, in collaborazione con la Commissione e l'ENISA, effettueranno valutazioni coordinate dei rischi delle catene di approvvigionamento critiche, sulla base dell'approccio positivo adottato nel contesto della raccomandazione della Commissione sulla cibersicurezza delle reti 5G.
La proposta introduce misure di vigilanza più rigorose per le autorità nazionali, requisiti di applicazione più rigorosi e mira ad armonizzare i regimi sanzionatori in tutti gli Stati membri.
La proposta rafforza inoltre il ruolo del gruppo di cooperazione nell'elaborazione delle decisioni strategiche sulle tecnologie emergenti e sulle nuove tendenze e aumenta la condivisione delle informazioni e la cooperazione tra le autorità degli Stati membri. Rafforza inoltre la cooperazione operativa, anche in materia di gestione delle crisi informatiche.
La proposta della Commissione istituisce un quadro di base con attori chiave responsabili sulla divulgazione coordinata delle vulnerabilità per le vulnerabilità recentemente scoperte in tutta l'UE e sulla creazione di un registro dell'UE su quello gestito dall'Agenzia dell'Unione europea per la cibersicurezza (ENISA).
I prossimi passi
Le azioni successive pertinenti sono le seguenti:
- La proposta sarà oggetto di negoziati tra i colegislatori, in particolare il Consiglio dell'UE e il Parlamento europeo.
- Una volta che la proposta sarà approvata e di conseguenza adottata, gli Stati membri dovranno recepire la direttiva NIS2 entro 18 mesi.
- La Commissione deve riesaminare periodicamente la direttiva NIS2 e riferire per la prima volta in merito al riesame 54 mesi dopo l'entrata in vigore.
- La Commissione europea attende con interesse l'attuazione della nuova strategia in materia di cibersicurezza nei prossimi mesi.
Related content
Policy and legislation | 16 Dicembre 2020
-