Il Parlamento Europeo ha approvato norme che impongono ai Paesi dell’UE di adottare misure di vigilanza e di applicazione più severe per imprese, amministrazioni e infrastrutture e di armonizzare le sanzioni per garantire la cibersicurezza, nuovi “settori essenziali” saranno coperti come l’energia, i trasporti, le banche e la sanità.
La legislazione, già concordata tra i deputati e il Consiglio nel maggio scorso, stabilirà obblighi più severi in materia di cibersicurezza per quanto riguarda la gestione del rischio, gli obblighi di segnalazione e la condivisione delle informazioni. I requisiti riguardano, tra l’altro, la risposta agli incidenti, la sicurezza della catena di approvvigionamento, la crittografia e la divulgazione delle vulnerabilità.
Un numero maggiore di entità e settori dovrà adottare misure per proteggersi. I “settori essenziali”, come quelli dell’energia, dei trasporti, delle banche, della sanità, delle infrastrutture digitali, della pubblica amministrazione e dello spazio, saranno coperti dalle nuove disposizioni in materia di sicurezza.
Durante i negoziati, i deputati hanno insistito sulla necessità di regole chiare per le aziende e sono riusciti a includere il maggior numero possibile di enti governativi e pubblici nel campo di applicazione della direttiva.
Le nuove norme proteggeranno anche i cosiddetti “settori importanti” come i servizi postali, la gestione dei rifiuti, i prodotti chimici, gli alimenti, la produzione di dispositivi medici, l’elettronica, i macchinari, i veicoli a motore e i fornitori di servizi digitali. Tutte le medie e grandi imprese dei settori selezionati dovranno rispettare le nuove regole.
Il testo stabilisce inoltre un quadro per una migliore cooperazione e condivisione delle informazioni tra le diverse autorità e gli Stati membri e crea una banca dati europea sulle vulnerabilità.
Prossime tappe
Dopo l’approvazione del Parlamento il 10 novembre scorso, anche il Consiglio deve adottare formalmente la legge prima che venga pubblicata nella Gazzetta Ufficiale dell’UE ed entri così in vigore.
Contesto
La direttiva sulla sicurezza delle reti e dell’informazione (NIS) è stato il primo atto legislativo a livello europeo sulla sicurezza informatica, con l’obiettivo specifico di raggiungere un elevato livello comune di sicurezza informatica in tutti gli Stati membri. Se da un lato ha aumentato le capacità degli Stati membri in materia di sicurezza informatica, dall’altro la sua attuazione si è rivelata difficile, causando una frammentazione a diversi livelli nel mercato interno.
Per rispondere alle crescenti minacce poste dalla digitalizzazione e all’aumento degli attacchi informatici, la Commissione ha presentato una proposta per sostituire la direttiva NIS e rafforzare così i requisiti di sicurezza, affrontare la sicurezza delle catene di approvvigionamento, semplificare gli obblighi di segnalazione e introdurre misure di vigilanza più rigorose e requisiti di applicazione più severi, comprese sanzioni armonizzate in tutta l’UE.
Sito internet: Parlamento Europeo