Lo schema in esame è volto a recepire la direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148.
La direttiva (UE) 2022/2555, si legge nella nota del governo, risponde all'esigenza di rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi nell'UE.
Le principali novità introdotte sono:
- l'ampliamento dell'ambito soggettivo di applicazione della disciplina;
- distinzione tra "soggetti essenziali" e "soggetti importanti" re l'adozione di un criterio dimensionale per la loro individuazione;
- la razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria;
- l'adozione di un approccio "multirischio";
- la regolamentazione della divulgazione coordinata delle vulnerabilità (CVD) e le specifiche funzioni di coordinamento attribuite agli CSIRT nazionali;
- l'implementazione delle misure di cooperazione, al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di cybersicurezza su vasta scala.
La nuova direttiva esclude dall'ambito di applicazione i soggetti operanti in settori quali la sicurezza nazionale, la pubblica sicurezza o la difesa, il contrasto, comprese la prevenzione, le indagini, l'accertamento e il perseguimento dei reati, Parlamenti e banche centrali.
In materia di cooperazione, introduce il Gruppo di Cooperazione NIS2.Prevede, infine, uno specifico apparato sanzionatorio, più severo e armonizzato a livello europeo, allo scopo di garantire una maggiore uniformità e deterrenza in tutta l'UE, con sanzioni amministrative pecuniarie fino a 10.000.000 di euro.
• Foto: 123rf.com