Il Consiglio d'Europa ha ufficialmente "sdoganato" la nuova direttiva NIS2: va a sostituire la precedente NIS, sempre legata alla sicurezza delle reti e dei sistemi informatici. NIS sta infatti per Network and Information Systems. L'obiettivo della nuova norma è potenziare la capacità di reazione e risposta ad attacchi informatici da parte delle imprese e delle PA, arrivando anche a una maggiore omogeneità delle norme europee sulla cyber security.

L'idea di fondo è che con la direttiva NIS2 si introduca un nuovo insieme di standard minimi di cyber security che dovranno essere assimilati dalle normative dei singoli Paesi. Questi nuovi requisiti riguardano una vasta gamma di aspetti più o meno tecnici, dalle misure di gestione del rischio cyber agli obblighi di comunicazione di violazioni, e toccano tutti i settori economici e strategici principali. Tra cui energia, trasporti, Sanità, infrastrutture.

L'altro obiettivo chiave della NIS2 è armonizzare gli approcci che i vari Stati membri UE hanno sinora avuto per la cyber security. Per questo definisce le norme base di un framework di leggi sulla sicurezza cyber, delinea nuovi meccanismi di cooperazione tra le varie Authority deputate degli Stati membri (tra cui lo European Cyber Crises Liaison Organisation Network - EU-CyCLONe - per la gestione coordinata di incidenti cyber su larga scala), aggiorna l'elenco dei settori e delle attività che devono osservare specifici obblighi di cyber security.

La direttiva NIS2 cambia anche il raggio d'azione della precedente NIS. Questa delegava ai singoli Stati la scelta dei criteri per cui una generica azienda era considerata fornitrice di servizi essenziali e doveva o meno osservare la direttiva. Ora il criterio è semplicemente dimensionale: tutte le medio-grandi aziende che operano nei settori di mercato coperti dalla direttiva devono osservarla. Le norme nazionali possono ampliare questo ambito, non ridurlo.

La direttiva NIS2 si applica poi alle PA centrali e regionali, con la possibilità per i singoli Stati di estenderla alle PA anche locali. Sono escluse invece dalla NIS2 le realtà che operano nei settori Difesa, sicurezza nazionale, sicurezza pubblica, Polizia. Esclusi dalla norma sono anche tribuali, Parlamenti, banche centrali.

Cosa succederà ora? La direttiva NIS2 sarà pubblicata a breve sulla Gazzetta Ufficiale della UE e sarà in vigore da tre settimane circa dopo questa pubblicazione. A quel punto, gli Stati membri UE avranno 21 mesi per integrare le loro norme nazionali specifiche per la cyber security con le indicazioni della nuova direttiva.