Bruxelles – Si avvicina l’avvio dei negoziati tra Parlamento e Consiglio dell’UE sulla nuova direttiva NIS2 (Network and Information Security) per rafforzare la sicurezza informatica dell’Unione Europea. Oggi (venerdì 3 dicembre) i 27 ministri responsabili in materia di telecomunicazioni hanno approvato la propria posizione, dando il via libera alla presidenza del Consiglio a iniziare a confrontarsi con gli eurodeputati per concordare il testo finale.
Di fronte a minacce informatiche sempre crescenti, il Consiglio Telecomunicazioni si è concentrato sulla difesa della società e dell’economia dell’UE nell’era digitale: “Abbiamo visto l’impatto significativo dei cyberattacchi al settore pubblico e privato e ai nostri cittadini”, ha sottolineato il ministro sloveno della Pubblica amministrazione, Boštjan Koritnik. “La posta in gioco è alta e la nuova direttiva NIS2 avrà un ruolo molto importante nel rafforzare la nostra sicurezza informatica”, ha aggiunto il presidente di turno del Consiglio dell’UE
La direttiva NIS2 fornirà le linee-guida per la gestione del rischio di sicurezza informatica negli Stati membri UE e gli obblighi di segnalazione in tutti i settori coperti, dall’energia ai trasporti, fino alla sanità e alle infrastrutture. Si dovranno considerare sia gli standard di sicurezza dei prodotti, sia i meccanismi di cooperazione tra le autorità competenti sul territorio comunitario. Sarà anche istituita formalmente la rete europea di organizzazione e di collegamento per le crisi informatiche (EU-CyCLONe), che permetterà di gestire la risposta a incidenti di sicurezza informatica su larga scala nell’UE.
A differenza della direttiva NIS del 2016 – che affidava agli Stati membri la responsabilità di determinare quali entità soddisfacevano i criteri per qualificarsi come operatori di servizi essenziali – l’aggiornamento NIS2 introduce la regola secondo cui tutte le medie e grandi entità che operano o forniscono servizi nei settori coperti dalla direttiva rientrano nel suo campo di applicazione.
Nella posizione del Consiglio viene specificato però che la direttiva non si applicherà alle entità che svolgono attività di difesa o sicurezza nazionale, di pubblica sicurezza, di applicazione della legge e alla magistratura“. Anche i Parlamenti nazionali e le Banche centrali sono esclusi dal campo di applicazione. Diverso il caso delle amministrazioni pubbliche, “spesso bersaglio di attacchi informatici”, mentre saranno gli Stati membri a poter decidere se applicare la nuova direttiva a livello regionale e locale.
Una volta trovato l’accordo tra i negoziatori di Parlamento e Consiglio, il testo finale dovrà essere approvato da entrambi i co-legislatori. Dall’entrata in vigore della direttiva, gli Stati membri avranno due anni di tempo per incorporare le disposizioni nella propria legislazione nazionale.
