Descrizione
La scorsa settimana la Commissione ha adottato le prime norme di attuazione in materia di cibersicurezza dei soggetti e delle reti critici a norma della direttiva relativa a misure per un livello comune elevato di cibersicurezza nell'Unione (direttiva NIS 2). L’atto di esecuzione descrive in dettaglio le misure di gestione dei rischi di cibersicurezza nonché i casi in cui un incidente dovrebbe essere considerato significativo e le imprese che forniscono infrastrutture e servizi digitali dovrebbero segnalarlo alle autorità nazionali.
Il regolamento di esecuzione adottato il 17 ottobre si applicherà a categorie specifiche di imprese che forniscono servizi digitali, come i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i mercati online, i motori di ricerca online e le piattaforme di social networking, per citarne alcuni. Per ciascuna categoria di prestatori di servizi, l'atto di esecuzione specifica anche quando un incidente è considerato significativo.
L'adozione del regolamento di esecuzione coincide con il termine entro il quale gli Stati membri devono recepire la direttiva NIS2 nel diritto nazionale. A partire dal 18 ottobre 2024, tutti gli Stati membri devono applicare le misure necessarie per conformarsi alle norme di cibersicurezza NIS2, comprese le misure di vigilanza e di esecuzione.
Il regolamento di applicazione sarà pubblicato nella Gazzetta ufficiale a tempo debito ed entrerà in vigore 20 giorni dopo.
La prima legge a livello dell'UE sulla cibersicurezza, la direttiva NIS, è entrata in vigore nel 2016 e ha contribuito a raggiungere un livello comune di sicurezza delle reti e dei sistemi informativi in tutta l'UE. La direttiva NIS ha lo scopo di rafforzare la sicurezza informatica in tutti i settori che si basano prevalentemente sulla tecnologia dell'informazione e della comunicazione. Nell'ambito del suo obiettivo strategico fondamentale di preparare l'Europa all'era digitale, nel dicembre 2020 la Commissione ha proposto la revisione della direttiva sulla sicurezza delle reti e dell'informazione. Dopo essere entrati in vigore nel gennaio 2023, gli Stati membri dovevano recepire la direttiva NIS2 nel diritto nazionale entro il 17 ottobre 2024.
La direttiva NIS2 mira a garantire un livello elevato di cibersicurezza in tutta l'Unione. Riguarda i soggetti che operano in settori critici per l'economia e la società, compresi i fornitori di servizi pubblici di comunicazione elettronica, la gestione dei servizi TIC (tecnologie dell'informazione e della comunicazione), i servizi digitali, la gestione delle acque reflue e dei rifiuti, lo spazio, la sanità, l'energia, i trasporti, la fabbricazione di prodotti critici, i servizi postali e di corriere e la pubblica amministrazione.
La direttiva rafforza i requisiti di sicurezza imposti alle imprese e affronta la questione della sicurezza delle catene di approvvigionamento e dei rapporti con i fornitori. Essa, inoltre, semplifica gli obblighi di segnalazione, introduce misure di vigilanza più rigorose per le autorità nazionali, nonché requisiti di applicazione più rigorosi, e mira ad armonizzare i regimi sanzionatori in tutti gli Stati membri. Infine, la direttiva contribuirà ad aumentare la condivisione delle informazioni e la cooperazione in materia di gestione delle crisi informatiche a livello nazionale e dell'UE.
Fonte: Commissione europea
Proprietario dell’immagine: Commissione europea