Il Parlamento europeo ha approvato nuove norme in materia di cybersicurezza (cd. “Direttiva NIS2”), per migliorare la resilienza e le capacità di reazione agli incidenti del settore pubblico e privato. La Direttiva sulla sicurezza delle reti e dell’informazione NIS2 tenta di arginare le limitazioni e criticità della previgente disciplina (cd. “NIS1”), per rispondere più efficacemente alle crescenti minacce poste dall’aumento degli attacchi informatici.
Il Parlamento europeo ha approvato lo scorso 10 novembre, con 577 voti favorevoli, 6 contrari e 31 astensioni, nuove norme in materia di cybersicurezza (cd. “Direttiva NIS2”), per migliorare la resilienza e le capacità di reazione agli incidenti del settore pubblico e privato.
La nuova Direttiva sulla sicurezza delle reti e dell’informazione NIS2 tenta di arginare le limitazioni e criticità della previgente disciplina (cd. “NIS1”), per rispondere più efficacemente alle crescenti minacce poste dall’aumento degli attacchi informatici.
La Direttiva 2016/1148 sulla sicurezza delle reti e dell’informazione (NIS1) ha rappresentato il primo atto legislativo europeo sulla sicurezza informatica, emanato per raggiungere un elevato livello comune di sicurezza informatica in tutti gli Stati membri.
Tuttavia, se per un verso le capacità degli Stati membri in materia di sicurezza informatica sono state incrementate, per altro verso la sua attuazione si è rivelata particolarmente ardua e frastagliata, causando una frammentazione a diversi livelli nel mercato interno e a livello giuridico.
Nondimeno, una delle principali criticità della Direttiva NIS1 insiste sulla vaghezza operativa: in particolare, la Direttiva NIS1 disponeva degli obblighi troppo generici, che hanno comportato una consistente disomogeneità tra i vari Stati membri dell’Unione Europea.
Per questa ragione, il legislatore europeo ha modernizzato il quadro regolatorio, al fine di precisare tali obblighi, rafforzarli e ampliare il novero dei destinatari degli stessi. Il testo normativo, che era già stato concordato con il Consiglio nel maggio scorso, stabilisce dunque obblighi più severi in materia di cibersicurezza per quanto riguarda la gestione del rischio, gli obblighi di segnalazione e la condivisione delle informazioni.
La direttiva NIS 2 si articola su quattro principi chiave:
- Protezione dei dati personali
- Diritti fondamentali.
- Safety.
- Cybersecurity.
In dettaglio, i principali obiettivi della Direttiva NIS2 consistono nel:
- Rafforzare i requisiti di sicurezza;
- Affrontare la sicurezza delle catene di approvvigionamento;
- Semplificare gli obblighi di segnalazione;
- Introdurre misure di vigilanza più rigorose e requisiti di applicazione più severi, comprese sanzioni armonizzate in tutta l’UE.
Inoltre, una delle principali novità della Direttiva NIS2 è il suo ambito di applicazione. Infatti, oltre ad essere confermati i settori originariamente previsti dalla Direttiva NIS1 (si pensi, ad esempio, al settore delle telecomunicazioni, dell’energia, dei trasporti, nonché al settore bancario e dei mercati finanziari, ovvero a quello sanitario) l’attuale disciplina sulla cybersecurity si applica anche ad un novero di società che operano in determinati settori, eliminando in tal modo il potere discrezionale degli Stati membri di rimodulare l’ambito soggettivo di applicazione. A titolo esemplificativo, la Direttiva si applicherà a tutte quelle società di grandi dimensioni che forniscono servizi (i) digitali (come ad esempio servizi di cloud computing, comunicazione elettronica e data center), (ii) sanitari (si pensi, in particolare, alle società produttrici di dispositivi medici) e (iii) di produzione del cibo, ivi compresa la filiera della grande distribuzione.
Il testo chiarisce inoltre che la direttiva non si applicherà ai soggetti operanti nei settori della difesa e sicurezza nazionale, pubblica sicurezza, dell’attività di contrasto e della giustizia. Anche i parlamenti e le banche centrali sono esclusi dall’ambito di applicazione.
Per quanto riguarda, invece, le pubbliche amministrazioni, il legislatore europeo ha rilevato come queste siano spesso bersaglio di attacchi informatici. Per tali ragioni, la Direttiva NIS 2 si applicherà agli enti della pubblica amministrazione a livello centrale e regionale; gli Stati membri potranno invece decidere se la disciplina sia applicabile anche a livello locale.
In conclusione, la Direttiva NIS2 costituisce un’importante occasione per la modernizzazione dei sistemi di cybersicurezza europei. Peraltro, essa concorre al raggiungimento degli obiettivi di digitalizzazione delineati nel Digital Compass (da realizzare entro il 2030), ponendosi in maniera complementare al Regolamento 2019/881 relativo all’ENISA, attraverso il quale è stato introdotto nell’ordinamento dell’Unione europea un quadro comune di certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione (“TIC”).
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale