La nuova Direttiva NIS ha deciso di modificare il suo attuale quadro giuridico sulla base di cambiamenti come la crescente digitalizzazione del mercato interno avvenuta negli ultimi anni e del panorama in rapida evoluzione delle minacce alla cybersicurezza. Entrambi i fenomeni si sono ulteriormente amplificati dall’inizio della crisi COVID-19.
Nonostante diversi successi, gli attacchi informatici sono sempre più sofisticati ed in continuo aumento. Per questo non solo la prevenzione non è mai abbastanza, bisogna essere anche aggiornarsi costantemente.
La valutazione del funzionamento della direttiva NIS ha identificato i principali problemi:
1) il basso livello di cyber resilienza delle imprese operanti nell’UE;
2) i diversi livelli di resilienza tra Stati membri e tra settori;
3) il basso livello di consapevolezza situazionale comune e la mancanza di una risposta comune alle crisi.
Essendo un’iniziativa del programma di controllo dell’adeguatezza e dell’efficacia della regolamentazione (REFIT), la direttiva mira a ridurre l’onere normativo per le autorità competenti e i costi di conformità per i soggetti pubblici e privati. In particolare, tale obiettivo sarà raggiunto abolendo l’obbligo per le autorità competenti di individuare gli operatori di servizi essenziali e aumentando il livello di armonizzazione dei requisiti di sicurezza e segnalazione allo scopo di facilitare la conformità normativa per i soggetti che offrono servizi transfrontalieri.
I fattori principali del bisogno di una revisione sono stati: crescenti attacchi informatici; sfide nel mercato dell’UE a causa della crescente digitalizzazione e consapevolezza di armonizzare i controlli.
La direttiva in particolare stabilisce obblighi per gli Stati membri di adottare una strategia nazionale per la cybersicurezza, designare autorità nazionali competenti, punti di contatto unici. Prevede poi che gli Stati membri stabiliscano obblighi di gestione e segnalazione dei rischi di cybersicurezza. Infine vuole che gli Stati membri stabiliscano obblighi in materia di condivisione delle informazioni sulla cybersicurezza.
La direttiva si applica a taluni soggetti essenziali pubblici o privati che operano nei seguenti settori: energia; trasporti; settore bancario; infrastrutture dei mercati finanziari; settore sanitario, acqua potabile; acque reflue; infrastrutture digitali; pubblica amministrazione e spazio; produzione, trasformazione e distribuzione di alimenti; settore della fabbricazione e fornitori di servizi digitali.
(G.S)
