Il Consiglio dei Ministri, nella seduta n. 85 del 10 giugno, ha approvato un decreto legislativo relativo al recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, che risponde all’esigenza di rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi nell’Unione Europea.
Queste le principali novità introdotte:
- l’ampliamento dell’ambito soggettivo di applicazione della disciplina;
- distinzione tra “soggetti essenziali” e “soggetti importanti” re l’adozione di un criterio dimensionale per la loro individuazione;
- la razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria;
- l’adozione di un approccio “multirischio”;
- la regolamentazione della divulgazione coordinata delle vulnerabilità (CVD) e le specifiche funzioni di coordinamento attribuite agli CSIRT nazionali;
- l’implementazione delle misure di cooperazione, al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di cybersicurezza su vasta scala.
Sono esclusi dall’ambito di applicazione della direttiva i soggetti operanti in settori della sicurezza nazionale, la pubblica sicurezza o la difesa, il contrasto, comprese la prevenzione, le indagini, l’accertamento e il perseguimento dei reati, Parlamenti e banche centrali. Il capo relativo alla vigilanza e alle sanzioni non si applica agli organi Costituzionali e di rilievo costituzionale.
Un materia di cooperazione la nuova direttiva introduce Gruppo di Cooperazione NIS2, e prevede uno specifico apparato sanzionatorio, più severo e armonizzato a livello europeo, allo scopo di garantire una maggiore uniformità e deterrenza in tutta l’UE. Le sanzioni sono adeguate alle previsioni di cui alla direttiva e prevedono sanzioni amministrative pecuniarie fino a 10.000.000 di euro.
