Via libera dal Consiglio Ue Telecomunicazioni al mandato negoziale sulla cosiddetta direttiva Nis2, per un elevato livello comune di cybersicurezza nell’Unione. Con questo ok potranno ora partire i negoziati trilaterali (triloghi) con il Parlamento europeo, che ha già approvato il suo mandato negoziale. Una volta adottata, la nuova direttiva, sostituirà l’attuale direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva Nis).
Ai sensi della precedente direttiva Nis la responsabilità di determinare quali soggetti soddisfacessero i criteri per essere considerati operatori di servizi essenziali spettava agli Stati membri, la nuova direttiva Nis 2 introduce la regola della soglia di dimensione. Ciò significa che tutti i soggetti di medie e grandi dimensioni che operano nei settori o forniscono i servizi contemplati dalla direttiva rientreranno nel suo ambito di applicazione. Pur mantenendo questa regola generale, la posizione del Consiglio contiene disposizioni supplementari per garantire la proporzionalità, un livello più elevato di gestione del rischio e criteri di criticità definiti in modo chiaro per determinare i soggetti interessati.
Coinvolta anche la Pubblica amministrazione centrale
Il testo del Consiglio chiarisce inoltre che la direttiva non si applicherà ai soggetti operanti in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza, l’attività di contrasto e la giustizia. Anche i parlamenti e le banche centrali sono esclusi dall’ambito di applicazione. Poiché anche le pubbliche amministrazioni sono spesso bersaglio di attacchi informatici, la Nis 2 si applicherà agli enti della pubblica amministrazione delle amministrazioni centrali. Inoltre, gli Stati membri possono decidere che si applichi anche a tali enti a livello regionale e locale. Il Consiglio ha allineato il testo alla legislazione settoriale, in particolare al regolamento relativo alla resilienza operativa digitale per il settore finanziario (Dora) e alla direttiva sulla resilienza dei soggetti critici (Cer), per fornire chiarezza giuridica e garantire la coerenza tra tali atti e la Nis 2.
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Un meccanismo volontario di apprendimento tra pari accrescerà la fiducia reciproca e gli insegnamenti tratti dalle buone pratiche e dalle esperienze, contribuendo in tal modo a conseguire un livello comune elevato di cybersicurezza. Il Consiglio ha inoltre razionalizzato gli obblighi di segnalazione per evitare di causare un eccesso di segnalazioni e di imporre oneri eccessivi ai soggetti interessati. Gli Stati membri, infine, avrebbero due anni di tempo dall’entrata in vigore della direttiva per recepirne le disposizioni nel diritto nazionale.
Breton: “Dannoso non coinvolgere le amministrazioni locali”
“È importante mantenere alto il livello di ambizione. L’esclusione delle amministrazioni regionali contraddice la realtà con la quale ci confrontiamo. L’infrastruttura pubblica svolge un ruolo cruciale e troviamo dannoso che la direttiva Nis non possa applicarsi alle amministrazioni locali”. A dirlo è stato il commissario al Mercato interno Thierry Breton, durante il dibattito al Consiglio Ue Telecomunicazioni. Per Breton, inoltre, è “importante assicurare la coerenza tra il testo della Nis 2 e il testo legislativo per la resilienza delle entità critiche“.
Etno: “Serve garantire la sicurezza della catena di approvvigionamento”
Per Etno, l’associazione che rappresenta i principali operatori di telecomunicazioni europei, la direttiva rappresenta “un’opportunità per realizzare un quadro coerente per la sicurezza delle reti…