Al via da oggi due direttive fondamentali per innalzare le difese informatiche a livello europeo. Stiamo parlando della direttiva sulle misure per un elevato livello comune di cybersicurezza in tutta l’Unione (la cosiddetta Nis 2) e la direttiva sulla resilienza delle entità critiche (direttiva Cer), due direttive pubblicate in Gazzetta Ufficiale lo scorso 27 dicembre 2022.
La NIS 2
La NIS 2 sostituisce le norme sulla sicurezza delle reti e dei sistemi informativi, la prima legislazione a livello europeo sulla sicurezza informatica. “La direttiva Nis 2 garantirà un’Europa più sicura e più forte ampliando in modo significativo i settori e le tipologie di entità critiche che rientrano nel suo campo di applicazione. Tra questi figurano i fornitori di reti e servizi pubblici di comunicazione elettronica, i servizi di centri dati, la gestione delle acque reflue e dei rifiuti, la fabbricazione di prodotti critici, i servizi postali e di corriere e gli enti della pubblica amministrazione, nonché, più in generale, il settore sanitario. Inoltre, rafforzerà i requisiti di gestione del rischio di cybersicurezza che le aziende sono tenute a rispettare, nonché snellirà gli obblighi di segnalazione degli incidenti con disposizioni più precise in materia di segnalazione, contenuto e tempistica”, spiega Bruxelles in una nota.
NIS 2: in dettaglio
Nel dettaglio, con la NIS 2 si istituisce formalmente la rete europea dell’organizzazione di collegamento per le crisi informatiche, Eu–CyClone, che sosterrà la gestione coordinata degli incidenti di sicurezza informatica su larga scala. Mentre ai sensi della vecchia direttiva Nis gli Stati membri erano responsabili di determinare quali entità avrebbero soddisfatto i criteri per qualificarsi come operatori di servizi essenziali, il nuovo testo introduce una regola di limite di dimensione. Ciò significa che rientreranno nel suo campo di applicazione tutte le medie e grandi entità operanti nei settori o che forniscono servizi contemplati dalla direttiva.
La norma include disposizioni aggiuntive per garantire la proporzionalità, un livello più elevato di gestione del rischio e criteri di criticità per la determinazione degli enti coperti. Il testo chiarisce inoltre che la direttiva non si applicherà agli enti che svolgono attività in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza, le forze dell’ordine e la magistratura. Sono esclusi dal campo di applicazione anche i Parlamenti e le banche centrali. Poiché anche le pubbliche amministrazioni sono spesso oggetto di attacchi informatici, Nis 2 si applicherà agli enti della pubblica amministrazione a livello centrale e regionale (gli Stati membri possono decidere però che si applichi anche a loro).
La nuova Cer sostituisce la direttiva europea sulle infrastrutture critiche del 2008
“Le nuove norme rafforzeranno la resilienza delle infrastrutture critiche a una serie di minacce, tra cui i rischi naturali, gli attacchi terroristici, le minacce interne o il sabotaggio. Saranno coperti 11 settori: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione, spazio e cibo. Gli Stati membri – si legge – dovranno adottare una strategia nazionale ed effettuare valutazioni periodiche del rischio per identificare le entità considerate critiche o vitali per la società e l’economia”.
I Paesi Ue hanno 21 mesi di tempo per recepire entrambe le direttive nel diritto nazionale. Durante questo periodo, gli Stati membri dovranno adottare e pubblicare le misure necessarie per conformarsi ad esse entro e non oltre il 17 ottobre 2024.