La Commissione ha adottato oggi le prime norme di attuazione sulle misure di gestione dei rischi di sicurezza informatica e l’identificazione degli incidenti significativi, per le entità che operano in settori critici per l’economia e la società, nell’ambito degli artt. 21, par. 5 e 23, par. 11, della Direttiva sulle misure per un elevato livello comune di sicurezza informatica nell’Unione (anche nota come Direttiva NIS2).
Si ricorda che la Direttiva 2022/2555 (NIS2) è quella direttiva volta a garantire un livello elevato di sicurezza informatica in tutta l’Unione, e riguarda le entità che operano in settori critici, tra cui i fornitori di servizi pubblici di comunicazione elettronica, la gestione dei servizi TIC, i servizi digitali, la gestione delle acque reflue e dei rifiuti, lo spazio, la salute, l’energia, i trasporti, la fabbricazione di prodotti critici, i servizi postali (e di corriere) e la pubblica amministrazione.
La Direttiva NIS2 è entrata in vigore nel gennaio 2023, ed il termine per il recepimento da parte degli Stati membri è fissato al 17 ottobre 2024.
La direttiva, in particolare:
- rafforza i requisiti di sicurezza imposti alle aziende
- affronta il tema della sicurezza delle catene di approvvigionamento e delle relazioni con i fornitori
- semplifica gli obblighi di segnalazione
- introduce misure di vigilanza più rigorose per le autorità nazionali
- introduce requisiti di applicazione più severi
- mira ad armonizzare i regimi sanzionatori negli Stati membri
- contribuirà ad aumentare la condivisione delle informazioni e la cooperazione nella gestione delle crisi informatiche a livello nazionale ed europeo.
L’atto di esecuzione approvato oggi dalla Commissione descrive quindi in dettaglio le misure di gestione del rischio di cybersecurity, e i casi in cui un incidente deve essere considerato significativo, affinché le aziende che forniscono infrastrutture e servizi digitali lo segnalino alle autorità nazionali.
Il regolamento di attuazione adottato oggi si applicherà solo a specifiche categorie di aziende che forniscono servizi digitali, come:
- i fornitori di servizi di cloud computing
- i fornitori di servizi di data center
- i mercati online
- i motori di ricerca online
- le piattaforme di social network.
Per ogni categoria di fornitori di servizi, l’atto di esecuzione specifica anche quando un incidente è considerato significativo.
L’adozione odierna del regolamento di attuazione coincide con il termine ultimo entro il quale gli Stati membri devono recepire la Direttiva NIS2 nel diritto nazionale: a partire da oggi 18 ottobre 2024, tutti gli Stati membri dovranno applicare le misure necessarie per conformarsi alle norme di sicurezza informatica NIS2, comprese le misure di vigilanza e di applicazione.
Il regolamento di attuazione sarà quindi pubblicato nella Gazzetta Ufficiale dell’UE ed entrerà in vigore 20 giorni dopo.