La Commissione UE ha proposto un nuovo pacchetto di proposte normative sulla sicurezza informatica, che abrogano in particolare il Cybersecurity Act, e modificano la NIS 2, al fine di rafforzare ulteriormente la resilienza e le capacità dell’UE in materia di sicurezza informatica.
Il pacchetto, in particolare, composto da una direttiva ed un regolamento, introduce misure volte a semplificare la conformità alle norme UE in materia di sicurezza informatica e ai requisiti di gestione del rischio per le aziende che operano nell’UE, integrando lo sportello unico per la segnalazione degli incidenti proposto nel Digital Omnibus.
Modifiche mirate alla direttiva NIS2 mirano ad aumentare la chiarezza giuridica semplificando le norme giurisdizionali, snellendo la raccolta di dati sugli attacchi ransomware e facilitando la supervisione delle entità transfrontaliere con il ruolo di coordinamento rafforzato dell’ENISA.
Più nel dettaglio, la proposta di direttiva, che modifica la Direttiva (UE) 2022/2555 (NIS 2), contiene misure di semplificazione e allineamento con la proposta di Regolamento relativo all’Agenzia dell’Unione europea per la cibersicurezza (ENISA), al quadro europeo di certificazione della cibersicurezza e alla sicurezza della catena di approvvigionamento delle TIC (e che abroga il Regolamento (UE) 2019/881 – il Cybersecurity Act).
E’ volta ad affrontare il problema della complessità e della diversità delle politiche in materia di cibersicurezza che incidono sulla posizione informatica dell’Unione, in particolare introducendo chiarimenti e semplificando la conformità per le entità regolamentate.
La proposta di regolamento, parte del pacchetto, invece, mira ad affrontare:
- il disallineamento tra il quadro strategico dell’Unione per la cibersicurezza e le esigenze delle parti interessate in un panorama di minacce sempre più ostile
- lo stallo nell’attuazione del quadro europeo di certificazione della cibersicurezza (ECCF)
- la complessità e la diversità delle politiche in materia di cibersicurezza che incidono sulla posizione informatica dell’Unione
- l’aumento dei rischi per la sicurezza della catena di approvvigionamento delle TIC.
Per quanto riguarda la complessità e la diversità delle politiche in materia di sicurezza informatica che incidono sulla posizione informatica dell’Unione, il pacchetto di revisione del Cybersecurity Act propone :
- di promuovere la certificazione come strumento di conformità per le imprese
- di consentire lo sviluppo di un sistema sulla posizione informatica delle entità, al fine di ridurre i costi di conformità per le entità soggette alla Direttiva NIS 2 e ad altre normative pertinenti dell’Unione in materia di sicurezza informatica.
- di stabilire meccanismi e condizioni per facilitare la conformità ai requisiti di sicurezza informatica e, in tal modo, renderne l’attuazione più coerente ed efficace.
Le modifiche mirate alla Direttiva NIS 2 mirano a semplificare la conformità e a garantire un’attuazione snella e coerente di aspetti specifici del quadro normativo sulla sicurezza informatica, anche per quanto riguarda l’ambito di applicazione, le definizioni, la segnalazione di ransomware e la vigilanza sulle entità che forniscono servizi transfrontalieri.
