Il 27 Dicembre è’ stata pubblicata sulla GazzettaUfficiale Europea, la DIRETTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 14 dicembre 2022 (direttiva NIS 2), relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148.
Il testo entrerà in vigore il 16 gennaio 2023 e gli Stati Membri avranno a disposizione 21 mesi per recepirne le disposizioni con i decreti attuativi.
La Direttiva si pone l’obiettivo di armonizzare la gestione della cybersicurezza degli operatori essenziali ed importanti operanti sul mercato interno di fronte a minacce informatiche che, sempre di più, assumono carattere transfrontaliero.
La novità più rilevante è l’estensione dell’ambito di applicazione alle entità di medie e grandi dimensioni, così come identificate ai sensi all’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE, operanti nei settori critici degli allegati I e II del testo normativo.
Le disposizioni più importanti emanate dal Legislatore europeo riguardano:
- obblighi che impongono agli Stati membri di adottare strategie nazionali in materia di cybersicurezza e di designare o creare autorità nazionali competenti, autorità di gestione delle crisi informatiche, punti di contatto unici in materia di sicurezza (punti di contatto unici) e team di risposta agli incidenti di sicurezza informatica a valenza nazionale (CSIRT) e transnazionale (cooperanti con la rete EU-CyCLONe);
- la conferma dell’approccio risk-based per la determinazione delle misure adeguate in materia cybersicurezza;
- obblighi di preallarme (entro 24 ore), segnalazione (entro 72 ore) e rendicontazione per i soggetti di un tipo di cui all’allegato I o II nonché per soggetti identificati come critici ai sensi della direttiva (UE) 2022/2557;
- norme e obblighi in materia di condivisione delle informazioni sulla cybersicurezza;
- obblighi in materia di vigilanza ed esecuzione per gli Stati membri.