È stato approvato in via preliminare lo schema di decreto legislativo che recepisce in Italia la cosiddetta Direttiva Nis2, il framework concepito dall’Unione Europea per affrontare le nuove sfide della resilienza informatica.
Indice dei contenuti
La riunione del Consiglio dei Ministri
Su proposta della presidente Giorgia Meloni e del ministro per gli Affari Europei, il Sud, le Politiche di Coesione e il Pnrr, Raffaele Fitto, è stato approvato lo schema di decreto in esame, che rappresenta un passo avanti nella procedura di recepimento.
La direttiva 2022/2555, riguardante le misure per un livello comune elevato di cybersicurezza nell’Unione Europea, modifica il regolamento n. 910/2014 e la direttiva 2018/1972, abrogando la direttiva 2016/1148 (prima Nis – Network and Information Security).
A seguito dell’introduzione del nuovo framework, il Consiglio dei ministri ha approvato anche un decreto legislativo per il recepimento della direttiva 2022/2557, relativa alla resilienza dei soggetti critici, che abroga la direttiva 2008/114/Ce del Consiglio.
Cosa prevede la Direttiva Cer
La direttiva Cer (Critical Entities Resilience) mira a raggiungere un livello adeguato di armonizzazione nell’identificazione dei settori, sottosettori e categorie di soggetti considerati critici.
Si punta a rafforzare la loro resilienza, intesa come la capacità di prevenire, proteggere, rispondere, resistere, mitigare, assorbire, adattarsi e ripristinare le operazioni a seguito di incidenti che potrebbero compromettere la fornitura di servizi essenziali.
Settori coinvolti e obblighi per i soggetti critici
Il decreto individua i soggetti critici nei settori dell’energia, trasporti, bancario, acque potabili e reflue, produzione, trasformazione e distribuzione di alimenti, salute, spazio, infrastrutture dei mercati finanziari e digitali, nonché enti della pubblica amministrazione.
Questi soggetti dovranno effettuare una valutazione del rischio e adottare misure tecniche, di sicurezza e organizzative adeguate e proporzionate per garantire la propria resilienza e ripristinare le operazioni in caso di incidenti.
Sarà obbligatorio notificare senza indebito ritardo all’autorità competente gli incidenti significativi. Il decreto prevede l’adozione di una strategia specifica e regola le modalità di identificazione dei soggetti critici di rilevanza europea.
Contiene inoltre misure per reagire rapidamente e adeguatamente agli incidenti fisici e stabilisce procedure comuni di cooperazione e comunicazione, assicurando il coordinamento con la normativa sulla sicurezza cibernetica della direttiva Nis2.
Cosa prevede la Direttiva Nis2
La direttiva 2022/2555, denominata Nis2, risponde all’esigenza di rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi di aziende e pubbliche amministrazioni dell’Unione Europea.
Le principali novità introdotte dal framework, entrato in vigore il 17 gennaio 2023 e vincolante dal 17 ottobre 2024, includono:
- Ampliamento dell’ambito soggettivo di applicazione della disciplina;
- Distinzione tra “soggetti essenziali” e “soggetti importanti” basata su criteri dimensionali;
- Razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria;
- Adozione di un approccio “multirischio”;
- Regolamentazione della divulgazione coordinata delle vulnerabilità e funzioni di coordinamento attribuite agli Csirt (Computer Security Incident Response Team) nazionali;
- Implementazione delle misure di cooperazione per sostenere la gestione coordinata degli incidenti e delle crisi di cybersicurezza su vasta scala.
Leggi anche: Arrivano sms a nome INPS, ma è una truffa: ecco cos’è successo
