Il Parlamento europeo ha approvato con 577 voti favorevoli, 6 contrari e 31 astensioni le nuove norme sulla direttiva per la cybersecurity dell’EU, la cosiddetta NIS2, che sostituirà l’attuale direttiva sulla sicurezza delle reti e dei sistemi informativi.
La legislazione, già concordata tra i deputati e il Consiglio nel maggio scorso, stabilirà obblighi più severi in materia di cybersecurity per quanto riguarda la gestione del rischio, gli obblighi di segnalazione e la condivisione delle informazioni. I requisiti riguardano, tra l’altro, la risposta agli incidenti, la sicurezza della catena di approvvigionamento, la crittografia e la divulgazione delle vulnerabilità.
La direttiva sulla sicurezza delle reti e delle informazioni (NIS2) introduce nuove regole per promuovere un livello comune elevato di sicurezza informatica in tutta l’UE, sia per le aziende che per i paesi. Rafforza inoltre i requisiti di sicurezza informatica per le entità di medie e grandi dimensioni che operano e forniscono servizi in settori chiave.
Un numero maggiore di entità e settori dovrà adottare misure per proteggersi. I “settori essenziali”, come quelli dell’energia, dei trasporti, delle banche, della sanità, delle infrastrutture digitali, della pubblica amministrazione e dello spazio, saranno coperti dalle nuove disposizioni in materia di sicurezza. Nel dettaglio, istituirà formalmente la rete europea dell’organizzazione di collegamento per le crisi informatiche, Eu-CyClone, che sosterrà la gestione coordinata degli incidenti di sicurezza informatica su larga scala.
Durante i negoziati, i deputati hanno insistito sulla necessità di regole chiare per le aziende e sono riusciti a includere il maggior numero possibile di enti governativi e pubblici nel campo di applicazione della direttiva.
Le nuove norme proteggeranno anche i cosiddetti “settori importanti” come i servizi postali, la gestione dei rifiuti, i prodotti chimici, gli alimenti, la produzione di dispositivi medici, l’elettronica, i macchinari, i veicoli a motore e i fornitori di servizi digitali. Tutte le medie e grandi imprese dei settori selezionati dovranno rispettare le nuove regole.
Il testo stabilisce inoltre un quadro per una migliore cooperazione e condivisione delle informazioni tra le diverse autorità e gli Stati membri e crea una banca dati europea sulle vulnerabilità.
Il Parlamento europeo e il Consiglio hanno allineato il testo alla normativa di settore, in particolare al regolamento sulla resilienza operativa digitale per il settore finanziario (Dora) e alla direttiva sulla resilienza delle entità critiche (Cer).
I due colegislatori hanno inoltre snellito gli obblighi di segnalazione al fine di evitare di causare una segnalazione eccessiva e di creare un onere eccessivo per i soggetti interessati. Dopo l’approvazione del Parlamento il 10 novembre 2022, gli Stati membri avranno 21 mesi dall’entrata in vigore della direttiva per recepire e attuare le disposizioni nella loro legislazione nazionale.
“Il ransomware e le altre minacce informatiche hanno predato l ‘Europa per troppo tempo. Dobbiamo agire per rendere le nostre imprese, i nostri governi e la nostra società più resistenti alle operazioni informatiche ostili”, ha dichiarato il relatore Bart Groothuis (Renew, NL).
“Questa direttiva europea aiuterà circa 160.000 enti a rafforzare la propria sicurezza e a rendere l’Europa un luogo sicuro in cui vivere e lavorare. Inoltre, consentirà di condividere le informazioni con il settore privato e con i partner di tutto il mondo. Se veniamo attaccati su scala industriale, dobbiamo rispondere su scala industriale”, ha dichiarato.
“Questa è la migliore legislazione sulla sicurezza informatica che il Continente abbia mai visto, perché offre all’Europa una gestione proattiva degli incidenti informatici e orientata al servizio”, ha concluso Groothuis.
La nuova direttiva “rafforzerà gli obblighi di rendicontazione applicabili per le aziende in materia di incidenti. È importante che sia stato ampliato il campo di applicazione per includere nuovi settori e servizi. Tutto questo consentirà un approccio alla cybersicurezza armonizzato e più trasversale”, ha dichiarato Margrethe Vestager, vicepresidente esecutivo della Commissione europea con delega alla Concorrenza. “In materia di cybersecurity, verranno proposti ulteriori strumenti che rafforzeranno la nostra capacità collettiva di rispondere alle minacce informatiche, dalla prevenzione alla individuazione di minacce concrete già esistenti. L’accordo – sulla nuova direttiva per la cybersecurity europea, la cosiddetta NIS2 – è un risultato importantissimo, ma da solo non basta. Bisognerà essere ulteriormente proattivi sui fronti più urgenti. Concretamente, vorremmo aumentare la cooperazione su tre fronti: sul piano militare tra gli Stati, tra ambito civile e militare e tra settore pubblico e privato. Non possiamo proteggere noi stessi in altro modo”.
“L’attuazione della direttiva NIS2 richiede tempo, per questo stiamo chiedendo agli Stati membri di applicare già volontariamente quei livelli di sicurezza”, ha concluso Vestager.