Cybersecurity, il Parlamento Ue approva la Direttiva NIS 2
La plenaria di Bruxelles del Parlamento Ue ha approvato – con 577 sì, 6 no e 31 astensioni – l’accordo tra colegislatori sulla nuova direttiva per la cybersecurity europea, la cosiddetta Nis 2, che sostituirà l’attuale direttiva sulla sicurezza delle reti e dei sistemi informativi. La Nis 2, in sintesi, stabilirà la base per le misure di gestione del rischio di sicurezza informatica e gli obblighi di segnalazione in tutti i settori coperti dalla direttiva, come l’energia, i trasporti, la salute e le infrastrutture digitali.
La nuova direttiva “rafforzerà gli obblighi di rendicontazione applicabili per le aziende in materia di incidenti. E’ importante che sia stato ampliato il campo di applicazione per includere nuovi settori e servizi. Tutto questo consentirà un approccio alla cybersicurezza armonizzato e più trasversale”, ha dichiarato Margrethe Vestager, vicepresidente esecutivo della Commissione europea con delega alla Concorrenza. In materia di cybersecurity, “verranno proposti ulteriori strumenti che rafforzeranno la nostra capacità collettiva di rispondere alle minacce informatiche, dalla prevenzione alla individuazione di minacce concrete già esistenti. L’accordo – sulla nuova direttiva per la cybersecurity europea, la cosiddetta Nis 2 – è un risultato importantissimo, ma da solo non basta. Bisognerà essere ulteriormente proattivi sui fronti più urgenti. Concretamente, vorremmo aumentare la cooperazione su tre fronti: sul piano militare tra gli Stati, tra ambito civile e militare e tra settore pubblico e privato. Non possiamo proteggere noi stessi in altro modo”.
“L’attuazione della direttiva Nis 2 richiede tempo, per questo stiamo chiedendo agli Stati membri di applicare già volontariamente quei livelli di sicurezza”, ha concluso.
Nel dettaglio, con la NIS 2 si istituirà formalmente la rete europea dell’organizzazione di collegamento per le crisi informatiche, Eu–CyClone, che sosterrà la gestione coordinata degli incidenti di sicurezza informatica su larga scala. Mentre ai sensi della vecchia direttiva Nis gli Stati membri erano responsabili di determinare quali entità avrebbero soddisfatto i criteri per qualificarsi come operatori di servizi essenziali, il nuvo testo introduce una regola di limite di dimensione. Ciò significa che rientreranno nel suo campo di applicazione tutte le medie e grandi entità operanti nei settori o che forniscono servizi contemplati dalla direttiva.
La norma include disposizioni aggiuntive per garantire la proporzionalità, un livello più elevato di gestione del rischio e criteri di criticità per la determinazione degli enti coperti. Il testo chiarisce inoltre che la direttiva non si applicherà agli enti che svolgono attività in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza, le forze dell’ordine e la magistratura. Sono esclusi dal campo di applicazione anche i Parlamenti e le banche centrali. Poiché anche le pubbliche amministrazioni sono spesso oggetto di attacchi informatici, Nis 2 si applicherà agli enti della pubblica amministrazione a livello centrale e regionale (gli Stati membri possono decidere però che si applichi anche a loro).
Il Parlamento europeo e il Consiglio hanno allineato il testo alla normativa di settore, in particolare al regolamento sulla resilienza operativa digitale per il settore finanziario (Dora) e alla direttiva sulla resilienza delle entità critiche (Cer).
I due colegislatori hanno inoltre snellito gli obblighi di segnalazione al fine di evitare di causare una segnalazione eccessiva e di creare un onere eccessivo per i soggetti interessati. Dopo l’approvazione formale del Consiglio, gli Stati membri avranno 21 mesi dall’entrata in vigore della direttiva per recepire le disposizioni nella loro legislazione nazionale.
Fonte: Key4biz
