La Commissione UE ha adottato le prime norme di attuazione in materia di cibersicurezza dei soggetti e delle reti critici a norma della direttiva relativa a misure per un livello comune elevato di cibersicurezza nell'Unione (direttiva NIS 2). Il presente atto di esecuzione descrive in dettaglio le misure di gestione dei rischi di cibersicurezza nonché i casi in cui un incidente dovrebbe essere considerato significativo e le imprese che forniscono infrastrutture e servizi digitali dovrebbero segnalarlo alle autorità nazionali. Si tratta di un altro passo importante per rafforzare la ciberresilienza delle infrastrutture digitali critiche europee.
Il regolamento di esecuzione adottato si applicherà a categorie specifiche di imprese che forniscono servizi digitali, come i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i mercati online, i motori di ricerca online e le piattaforme di social networking, per citarne alcuni. Per ciascuna categoria di prestatori di servizi, l'atto di esecuzione specifica anche quando un incidente è considerato significativo.
L'adozione del regolamento di esecuzione coincide con il termine entro il quale gli Stati membri devono recepire la direttiva NIS2 nel diritto nazionale. A partire dal 18 ottobre 2024, tutti gli Stati membri devono applicare le misure necessarie per conformarsi alle norme di cibersicurezza NIS2, comprese le misure di vigilanza e di esecuzione.
Il regolamento di applicazione sarà pubblicato nella Gazzetta ufficiale a tempo debito ed entrerà in vigore 20 giorni dopo.
Contesto
La prima legge a livello dell'UE sulla cibersicurezza, la direttiva NIS, è entrata in vigore nel 2016 e ha contribuito a raggiungere un livello comune di sicurezza delle reti e dei sistemi informativi in tutta l'UE. Nell'ambito del suo obiettivo strategico fondamentale di preparare l'Europa all'era digitale, nel dicembre 2020 la Commissione ha proposto la revisione della direttiva sulla sicurezza delle reti e dell'informazione. Dopo essere entrati in vigore nel gennaio 2023, gli Stati membri dovevano recepire la direttiva NIS2 nel diritto nazionale entro il 17 ottobre 2024.
La direttiva NIS2 mira a garantire un livello elevato di cibersicurezza in tutta l'Unione. Riguarda i soggetti che operano in settori critici per l'economia e la società, compresi i fornitori di servizi pubblici di comunicazione elettronica, la gestione dei servizi TIC, i servizi digitali, la gestione delle acque reflue e dei rifiuti, lo spazio, la sanità, l'energia, i trasporti, la fabbricazione di prodotti critici, i servizi postali e di corriere e la pubblica amministrazione.
La direttiva rafforza i requisiti di sicurezza imposti alle imprese e affronta la questione della sicurezza delle catene di approvvigionamento e dei rapporti con i fornitori. Semplifica gli obblighi di segnalazione, introduce misure di vigilanza più rigorose per le autorità nazionali, nonché requisiti di applicazione più rigorosi, e mira ad armonizzare i regimi sanzionatori in tutti gli Stati membri. Contribuirà ad aumentare la condivisione delle informazioni e la cooperazione in materia di gestione delle crisi informatiche a livello nazionale e dell'UE.
Maggiori informazioni: