Il Parlamento Europeo ha adottato la nuova direttiva sulla cybersicurezza NIS2. Progettata per migliorare la resilienza e le capacità di risposta agli incidenti in tutti gli stati membri, sostituisce l’attuale direttiva sulla sicurezza delle reti e dei sistemi informativi NIS.

La nuova direttiva NIS2 mira ad armonizzare i requisiti di cibersicurezza e l’attuazione delle misure nei diversi Stati membri, stabilendo la base per le misure di gestione dei rischi di cybersicurezza e gli obblighi di segnalazione in tutti i settori.

La NIS2 migliora la cooperazione nella gestione degli incidenti nell’Unione Europea

La NIS2 stabilirà la base per le misure di gestione dei rischi di sicurezza informatica e gli obblighi di segnalazione in tutti i settori coperti dalla direttiva, come l’energia, i trasporti, la salute e le infrastrutture digitali“, si legge in un comunicato stampa dell’Unione Europea.

La direttiva rivista mira ad armonizzare i requisiti e le misure di sicurezza informatica negli Stati membri stabilendo regole minime per un quadro normativo e definendo meccanismi per un’efficace cooperazione tra le autorità competenti. “Aggiorna l’elenco dei settori e delle attività soggetti agli obblighi di sicurezza informatica e prevede rimedi e sanzioni per garantirne l’applicazione”, prosegue il comunicato, citando anche la creazione dell’European Cyber Crises Liaison Organization Network (EU-CyCLONe) a supporto della gestione coordinata di incidenti e crisi di cibersicurezza su vasta scala.

Definizione dei criteri per le entità regolamentate

NIS2 introduce una nuova “regola del limite massimo” per l’identificazione delle entità regolamentate. Questo significa che “tutte le entità di medie e grandi dimensioni che operano nei settori o che forniscono servizi coperti dalla direttiva rientreranno nel suo campo di applicazione”, ha affermato il Consiglio dell’UE. “Il testo include disposizioni aggiuntive per garantire la proporzionalità, un livello più elevato di gestione del rischio e chiari criteri di criticità per consentire alle autorità nazionali di determinare ulteriori entità coperte“.

Il testo chiarisce inoltre che la direttiva non si applicherà alle entità che svolgono attività in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza e le forze dell’ordine. “Anche la magistratura, i parlamenti e le banche centrali sono esclusi dal campo di applicazione“.

Semplificazione degli obblighi di segnalazione

Inoltre, la nuova direttiva è stata allineata alla legislazione specifica di settore, in particolare il Digital Operational Resilience Act (DORA) per il settore finanziario e il Center for European Reform (CER) sulla resilienza delle entità critiche, garantendo la coerenza tra NIS2 e questi atti. “Un meccanismo volontario di apprendimento tra pari aumenterà la fiducia reciproca e l’apprendimento dalle buone pratiche e dalle esperienze nell’Unione, contribuendo così al raggiungimento di un elevato livello comune di cybersicurezza”.

La nuova legislazione semplificherà inoltre gli obblighi di segnalazione con l’obiettivo di evitare segnalazioni eccessive, sovraccaricando le entità interessate.

Il testo della NIS2 sarà pubblicato sulla Gazzetta Ufficiale dell’Unione Europea nei prossimi giorni ed entrerà in vigore il ventesimo giorno successivo alla pubblicazione. Gli Stati membri avranno 21 mesi dall’entrata in vigore per recepire le disposizioni della direttiva.

Michael Hill