NIS2, approvato il primo atto esecutivo
Due anni dopo essere stata approvata, la Direttiva europea 2022/2555, nota come NIS2 (Network and Information Security) procede sulla strada dell’implementazione.
Una direttiva è un atto giuridico volto a stabilire un obiettivo comune per tutti i Paesi membri dell’UE: a differenza dei regolamenti – che diventano esecutivi sin dalla loro adozione e modificano d’autorità il diritto interno degli Stati – le direttive mirano ad armonizzare le normative nazionali in un determinato settore, lasciando ai singoli Stati una certa autonomia circa le modalità con cui perseguire l’obiettivo indicato.
Vengono fissati, invece, direttamente dal legislatore comunitario i tempi entro cui è necessario recepire la nuova normativa negli ordinamenti statali.
Coerentemente con tale processo, la seconda direttiva NIS concedeva ai Paesi membri un termine di due anni per conformarsi alle sue prescrizioni.
Proprio alla vigilia della scadenza di tale termine, il 17 ottobre 2024 la Commissione europea ha approvato un atto di esecuzione recante “rules for the application of Directive (EU) 2022/2555 as regards technical and methodological requirements of cybersecurity risk-management measures and further specification of the cases in which an incident is considered to be significant, with regard to:
- DNS service providers,
- TLD name registries,
- cloud computing service providers,
- data centre service providers,
- content delivery network providers,
- managed service providers,
- managed security service providers,
- providers of online market places, of online search engines and of social networking services platforms,
- trust service providers”.
Le nuove disposizioni trovano fondamento nella stessa Direttiva NIS2, che demandava ad atti successivi la regolamentazione di dettaglio rispetto ai propri contenuti.
Rispetto alle tipologie di aziende individuate, l’atto di esecuzione stabilisce quindi i requisiti tecnici e metodologici delle misure di cui alla NIS2: per ciascuna categoria di fornitori di servizi si specifica quando un incidente è considerato significativo e a chi deve essere segnalato, nonché entro quale arco temporale debba avvenire la segnalazione.
I nuovi criteri diventeranno vincolanti in seguito alla pubblicazione nella Gazzetta Ufficiale dell’UE. Decorsi 20 giorni da tale data, i fornitori di servizi digitali attivi nel mercato europeo saranno tenuti a garantire la conformità non solo alla Direttiva NIS2 ma anche alla normativa di dettaglio contenuta nell’atto di esecuzione.
Richiamando il percorso avviato nel 2016 con l’adozione della prima Direttiva NIS, la Commissione ha definito il regolamento esecutivo “un altro passo importante per rafforzare la ciberresilienza delle infrastrutture digitali critiche europee”.