Il Consiglio dei ministri, su proposta su proposta del Presidente Giorgia Meloni e del Ministro per gli Affari Europei, il Sud, le Politiche di Coesione e il Pnrr, Raffaele Fitto, ha approvato nei giorni scorsi un decreto legislativo per il recepimento della direttiva UE 2022/2555 (NIS2), relativa a misure per un livello comune elevato di cybersicurezza nell’Unione europea.

La direttiva UE 2022/2555 risponde all’esigenza di rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi nell’UE. Le principali novità introdotte sono:

  • Ampliamento dell’ambito soggettivo di applicazione della disciplina
  • Distinzione tra “soggetti essenziali” e “soggetti importanti” e l’adozione di un criterio dimensionale per la loro individuazione
  • Razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria
  • Adozione di un approccio “multirischio”
  • Regolamentazione della divulgazione coordinata delle vulnerabilità (CVD) e le specifiche funzioni di coordinamento attribuite agli CSIRT nazionali
  • L’implementazione delle misure di cooperazione, al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di cybersicurezza su vasta scala

In materia di cooperazione, la direttiva introduce il Gruppo di Cooperazione NIS2 e prevede uno specifico apparato sanzionatorio, più severo e armonizzato a livello europeo, allo scopo di garantire una maggiore uniformità e deterrenza in tutta l’UE. Le sanzioni sono adeguate alle previsioni di cui alla direttiva e prevedono sanzioni amministrative pecuniarie fino a 10.000.000 di euro.

direttiva-nis-2-guida

Il Consiglio dei ministri ha inoltre approvato un decreto legislativo relativo al recepimento della direttiva (UE) 2022/2557 (direttiva CER – Critical Entities Resilience).

Con la direttiva CER si interviene al fine di:

  • Realizzare un adeguato livello di armonizzazione nell’individuazione dei settori, dei sottosettori e delle categorie dei soggetti qualificabili come critici
  • Rafforzare la loro resilienza, intesa come capacità di prevenire, proteggere, rispondere, resistere, mitigare, assorbire, adattarsi e ripristinare le proprie capacità operative a seguito di incidenti che possono perturbare la fornitura di servizi essenziali

A tal fine, il decreto:

  • Individua i soggetti critici almeno nei seguenti settori: energia, trasporti, bancario, acque potabili, acque reflue, produzione, trasformazione e distribuzione di alimenti, salute, spazio, infrastrutture dei mercati finanziari e infrastrutture digitali, nonché enti della pubblica amministrazione
  • Stabilisce che gli stessi soggetti critici dovranno effettuare una valutazione del rischio, adottare misure tecniche, di sicurezza e organizzative, adeguate e proporzionate per garantire la propria resilienza, ripristinare le proprie capacità operative in caso di incidenti e notificare senza indebito ritardo all’autorità competente gli incidenti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali
  • Regola le modalità di individuazione dei soggetti critici di particolare rilevanza a livello europeo
  • Contiene misure volte a consentire di reagire rapidamente e adeguatamente agli incidenti (di carattere fisico)
  • Stabilisce procedure comuni di cooperazione e comunicazione sull’applicazione della direttiva (in particolare deve essere assicurato il coordinamento con la normativa in materia di sicurezza cibernetica di cui alla direttiva NIS2)
  • Esclude dall’ambito di applicazione gli enti della pubblica amministrazione che operano nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’attività di contrasto, compresi l’indagine, l’accertamento e il perseguimento di reati, ai quali non si applica il presente decreto
  • Prevede la possibilità di escludere specifici soggetti critici che svolgono attività di tali settori, ovvero che forniscono servizi esclusivamente agli enti della pubblica citati