La Commissione ha adottato oggi le prime norme di attuazione sulla cibersicurezza dei soggetti e delle reti critiche ai sensi della direttiva relativa a misure per un livello comune elevato di cibersicurezza nell’Unione (direttiva NIS2). Il presente atto di esecuzione descrive in dettaglio le misure di gestione dei rischi di cibersicurezza e i casi in cui un incidente dovrebbe essere considerato significativo e le imprese che forniscono infrastrutture e servizi digitali dovrebbero segnalarlo alle autorità nazionali. Si tratta di un altro passo importante per rafforzare la resilienza informatica delle infrastrutture digitali critiche dell’Europa.
Il regolamento di esecuzione adottato oggi si applicherà a categorie specifiche di imprese che forniscono servizi digitali, come i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i mercati online, i motori di ricerca online e le piattaforme di social networking, per citarne alcuni. Per ogni categoria di fornitori di servizi, l’atto di esecuzione specifica anche quando un incidente è considerato significativo.*
L’adozione odierna del regolamento di attuazione coincide con il termine entro il quale gli Stati membri devono recepire la direttiva NIS 2 nel diritto nazionale. A partire da domani, 18 ottobre 2024, tutti gli Stati membri devono applicare le misure necessarie per conformarsi alle norme sulla cibersicurezza NIS2, comprese le misure di vigilanza e di esecuzione.
Passaggi successivi
Il regolamento di esecuzione sarà pubblicato nella Gazzetta ufficiale a tempo debito ed entrerà in vigore 20 giorni dopo.
Sfondo
La prima legge dell’UE sulla cibersicurezza, la direttiva NIS, è entrata in vigore nel 2016 e ha contribuito a raggiungere un livello comune di sicurezza delle reti e dei sistemi informativi in tutta l’UE. Nell’ambito del suo obiettivo strategico fondamentale di preparare l’Europa all’era digitale, nel dicembre 2020 la Commissione ha proposto la revisione della direttiva NIS. Dopo l’entrata in vigore nel gennaio 2023, gli Stati membri dovevano recepire la direttiva NIS2 nel diritto nazionale entro il 17 ottobre 2024.
La direttiva NIS2 mira a garantire un elevato livello di cibersicurezza in tutta l’Unione. Copre i soggetti che operano in settori critici per l’economia e la società, compresi i fornitori di servizi pubblici di comunicazione elettronica, la gestione dei servizi TIC, i servizi digitali, la gestione delle acque reflue e dei rifiuti, lo spazio, la salute, l’energia, i trasporti, la produzione di prodotti critici, i servizi postali e di corriere e la pubblica amministrazione.
La direttiva rafforza i requisiti di sicurezza imposti alle imprese e affronta la sicurezza delle catene di approvvigionamento e dei rapporti con i fornitori. Semplifica gli obblighi di segnalazione, introduce misure di vigilanza più rigorose per le autorità nazionali, nonché requisiti di applicazione più rigorosi, e mira ad armonizzare i regimi sanzionatori in tutti gli Stati membri. Contribuirà a rafforzare la condivisione delle informazioni e la cooperazione in materia di gestione delle crisi informatiche a livello nazionale e dell’UE.