Key4biz

NIS 2, lo schema del decreto legislativo con cui l’Italia dovrà recepire la direttiva

Il Consiglio dei ministri, su proposta su proposta del Presidente Giorgia Meloni, e del Ministro per gli Affari Europei, il Sud, le Politiche di Coesione e il Pnrr, Raffaele Fitto, ha approvato un decreto legislativo relativo al recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (DIRETTIVA NIS2).

Lo schema in esame è volto a recepire la direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148.

Perché l’UE ha approvato una nuova direttiva NIS

La nuova Direttiva (UE) 2022/2555 (NIS 2) abroga la Direttiva (UE) 2016/1148 (NIS), e rafforza il quadro della sicurezza cibernetica a livello europeo, aumentando la sicurezza delle infrastrutture tecnologiche e combattendo in maniera efficace i rischi causati dal cosiddetto cyber crime.

La direttiva NIS 2 si articola su quattro principi chiave:

La Direttiva (UE) 2016/1148 (NIS) stabiliva la responsabilità assoluta, da parte degli Stati membri, di decidere quali entità potevano qualificarsi come operatori di servizi essenziali, rientrando quindi tra i soggetti ai quali la direttiva veniva rivolta.

Settori critici

La direttiva si applica principalmente agli organismi di medie e grandi dimensioni che operano nei seguenti settori ad alta criticità, come definiti nell’allegato I:

Si applica inoltre ad altri settori critici, come definiti nell’allegato II:

Strategia nazionale per la cibersicurezza

Ogni Stato membro deve adottare una strategia nazionale per raggiungere e mantenere un elevato livello di cibersicurezza nei settori critici, tra cui:

Team di risposta agli incidenti di sicurezza informatica

I team di risposta agli incidenti di sicurezza informatica (CSIRT) forniscono assistenza tecnica ai soggetti, attraverso:

Rete di CSIRT

La direttiva stabilisce una rete di CSIRT nazionali al fine di promuovere una cooperazione operativa rapida ed efficace.

Gli Stati membri devono:

L’Agenzia dell’Unione europea per la cibersicurezza (ENISA) deve istituire e mantenere una banca dati europea delle vulnerabilità.

La direttiva istituisce un gruppo di cooperazione per sostenere e facilitare la cooperazione strategica e lo scambio di informazioni. È composto da rappresentanti degli Stati membri, della Commissione europea e dell’ENISA. Se del caso, il gruppo di cooperazione può invitare il Parlamento europeo e i rappresentanti dei portatori di interessi pertinenti a partecipare ai lavori.

EU-CyCLone

La rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLone) è composta da rappresentanti delle autorità di gestione delle crisi informatiche degli Stati membri e, nei casi in cui un incidente di cibersicurezza su vasta scala potenziale o in corso abbia o abbia probabilità di avere un impatto significativo sui servizi e sulle attività che rientrano nell’ambito di applicazione della presente direttiva, della Commissione. Negli altri casi, la Commissione partecipa alle attività della rete in qualità di osservatrice. La rete sostiene la gestione coordinata gli incidenti di cibersicurezza su vasta scala a livello operativo e garantisce lo scambio regolare di informazioni tra gli Stati membri e le istituzioni, gli organi e le agenzie dell’Unione.

La rete è inoltre incaricata di:

Il ruolo dello CSIRT

I soggetti devono notificare al loro CSIRT o all’autorità competente qualsiasi incidente che:

Inoltre, l’ENISA produrrà, in collaborazione con la Commissione e il gruppo di cooperazione, una relazione biennale sullo stato della cibersicurezza nell’Unione, che sarà anche presentata al Parlamento.

La direttiva prevede misure e sanzioni per garantire l’esecuzione.

Da recepire entro il 17 ottobre 2024

Vengono introdotte revisioni tra pari per trarre insegnamenti dalle esperienze condivise, rafforzare la fiducia reciproca e conseguire un livello comune elevato di cibersicurezza, migliorare le capacità e le politiche in materia di cibersicurezza degli Stati membri necessarie per l’attuazione della direttiva. Tali revisioni comportano visite in loco fisiche o virtuali e scambi di informazioni a distanza. La partecipazione a tali revisioni tra pari è volontaria.

La direttiva deve essere recepita nel diritto nazionale entro il 17 ottobre 2024. Le norme dovrebbero applicarsi a partire dal 18 ottobre 2024.

Exit mobile version