Accordo politico su nuove norme per la cibersicurezza delle reti e dei sistemi informativi

Bruxelles – La Commissione accoglie con favore l’accordo politico raggiunto dal Parlamento europeo e dagli Stati membri dell’UE sulla direttiva relativa a misure per un livello comune elevato di cibersicurezza nell’Unione (direttiva NIS 2) proposta dalla Commissione nel dicembre 2020.

Le vigenti norme per la sicurezza delle reti e dei sistemi informativi (direttiva NIS) sono state il primo atto legislativo a livello dell’UE sulla cibersicurezza e hanno spianato la strada a un significativo cambiamento della mentalità e dell’approccio istituzionale e normativo alla cibersicurezza in molti Stati membri. Nonostante gli importanti risultati conseguiti e il loro impatto positivo, è stato necessario aggiornarle a causa del crescente grado di digitalizzazione e interconnessione della nostra società e dell’aumento del numero di attività informatiche dolose a livello mondiale.

Per far fronte a una maggior esposizione alle minacce informatiche in Europa, la direttiva NIS 2 disciplina i soggetti di medie e grandi dimensioni che operano in diversi settori cruciali per l’economia e la società, tra cui i fornitori di servizi pubblici di comunicazione elettronica, i servizi digitali, il trattamento delle acque reflue e la gestione dei rifiuti, la fabbricazione di prodotti essenziali, i servizi postali e di corriere e la pubblica amministrazione ma, alla luce delle sempre più numerose minacce alla sicurezza emerse durante la pandemia di COVID-19, regolamenta anche più ampiamente il settore sanitario, includendo ad esempio i fabbricanti di dispositivi medici. Con un ambito di applicazione più vasto grazie alle nuove norme che obbligheranno un maggior numero di soggetti e settori a prendere misure di gestione dei rischi di cibersicurezza, la direttiva contribuirà ad aumentare il livello di cibersicurezza in Europa nel medio e lungo termine.

La direttiva NIS 2 rende anche più rigorosi i requisiti di sicurezza imposti alle imprese, tratta della sicurezza delle catene di fornitura e delle relazioni con i fornitori e prevede che l’alta dirigenza sia ritenuta responsabile in caso di mancato rispetto degli obblighi in materia di cibersicurezza; semplifica gli obblighi di notifica, introduce misure di vigilanza più rigorose per le autorità nazionali e obblighi di esecuzione più severi e intende armonizzare i regimi sanzionatori in tutti gli Stati membri. La direttiva contribuirà ad aumentare la condivisione delle informazioni e la cooperazione in materia di gestione delle crisi informatiche a livello nazionale e dell’UE.

Dichiarazioni di alcuni membri del Collegio

Margrethe Vestager, Vicepresidente esecutiva per Un’Europa pronta per l’era digitale, ha dichiarato: “Abbiamo lavorato sodo per la trasformazione digitale della nostra società. Negli ultimi mesi abbiamo introdotto una serie di elementi chiave, come la legge sui mercati digitali e la legge sui servizi digitali. Ed oggi gli Stati membri e il Parlamento europeo hanno raggiunto un accordo sulla direttiva NIS 2. È una nuova importante svolta nella strategia digitale europea, voluta questa volta per tutelare cittadini e imprese e accrescerne la fiducia nei servizi essenziali.”

Margaritis Schinas, Vicepresidente per la Promozione dello stile di vita europeo, ha dichiarato: “La cibersicurezza è sempre stata fondamentale, in quanto mette al riparo la nostra economia e società dalle minacce informatiche, ma ora che procediamo verso la transizione digitale diventa critica. L’attuale contesto geopolitico fa sì che sia ancora più urgente per l’UE garantire un quadro giuridico adeguato allo scopo. Concordando norme più stringenti, stiamo onorando l’impegno a rafforzare gli standard di cibersicurezza nell’UE. Oggi l’UE si dimostra chiaramente determinata a promuovere la preparazione e la resilienza alle minacce informatiche che colpiscono le nostre economie, le nostre democrazie e la pace.

Thierry Breton, Commissario per il Mercato interno, ha dichiarato a sua volta: “Le minacce informatiche si fanno più pericolose e complesse. Era imperativo adattare il quadro della sicurezza alle nuove realtà e tutelare i nostri cittadini e le nostre infrastrutture. Nell’attuale panorama della cibersicurezza, è capitale poter cooperare e condividere tempestivamente le informazioni. Con l’accordo sulla NIS 2 aggiorniamo le norme per garantire un maggior numero di servizi essenziali alla società e all’economia. Si tratta quindi di un importante passo avanti. Questa strategia andrà ad arricchirsi della futura legge sulla ciberresilienza, che garantirà una maggior sicurezza d’uso dei prodotti digitali.”

Prossime tappe

L’accordo politico raggiunto dal Parlamento europeo e dal Consiglio è ora soggetto all’approvazione formale dei due colegislatori. Una volta pubblicata nella Gazzetta ufficiale dell’UE, la direttiva entrerà in vigore 20 giorni dopo e gli Stati membri la dovranno poi recepire nel diritto nazionale. Gli Stati membri avranno 21 mesi per recepire la direttiva nei rispettivi ordinamenti giuridici nazionali.

Contesto

La cibersicurezza è una delle principali priorità della Commissione e il fondamento di un’Europa digitale e connessa.

La prima normativa dell’UE sulla cibersicurezza, la direttiva NIS, entrata in vigore nel 2016, ha contribuito a conseguire un livello comune elevato di sicurezza delle reti e dei sistemi informatici in tutta l’UE. Nel dicembre 2020 la Commissione ne ha proposto la revisione nell’ambito dell’obiettivo strategico principale di rendere l’Europa pronta per l’era digitale. Il regolamento dell’UE sulla cibersicurezza, in vigore dal 2019, ha apportato all’Europa un quadro di certificazione della cibersicurezza per prodotti, servizi e processi, rafforzando anche il mandato dell’Agenzia dell’UE per la cibersicurezza (ENISA).