Il decreto legislativo di recepimento è nell’agenda del pre Consiglio dei ministri convocato oggi. Più tempo per affrontare le prossime complicate scadenze dettate dal nuovo quadro europeo
È tutto pronto per la direttiva Nis 2. Con due mesi d’anticipo sulla scadenza, il decreto legislativo di recepimento nell’ordinamento nazionale dell’atto dell’Unione europea è nell’agenda del pre Consiglio dei ministri convocato oggi in Sala Verde a Palazzo Chigi. Previsto anche l’esame definitivo del decreto legislativo di attuazione della direttiva Cer per la resilienza dei soggetti critici. A giugno il Consiglio dei ministri aveva approvato lo schema di decreto legislativo. Le disposizioni entreranno in vigore il 18 ottobre prossimo, come previsto, ma l’anticipo serve per costruire l’infrastruttura normativa.
La Nis 2 aggiorna la Nis 1, che fu il primo atto legislativo a livello europeo in materia di sicurezza informatica. La nuova direttiva, come spiegato su Formiche.net quando fu approvata, stabilisce le misure di gestione dei rischi e gli obblighi di cybersicurezza, le sanzioni per garantirne l’applicazione e gli obblighi di comunicazione in tutti i settori individuati. A tal proposito, la pandemia e le nostre attività, dal telelavoro al delivery, sono state d’insegnamento: oltre ai settori finanziario e delle telecomunicazioni sono stati inseriti quello logistico e alimentare. Oltre ai settori altamente critici già compresi nella prima Nis – cioè trasporti, banche, infrastrutture del mercato finanziario, salute, acque, infrastruttura digitale – compaiono anche i settori delle acque reflue, la gestione dei servizi Ict, Pubblica amministrazione e Spazio. La direttiva Cer, invece, contempla i soggetti critici in una serie di settori, tra cui energia, trasporti, acque potabili, acque reflue e spazio. Alcune disposizioni della direttiva riguardano anche determinate amministrazioni pubbliche centrali.
Il governo, dunque, ha deciso di giocare d’anticipo sul 17 ottobre 2024, che era la scadenza per recepire la direttiva Nis 2 da parte degli Stati membri dell’Unione europea. Ora toccherà all’Agenzia per la cybersicurezza nazionale, chiamata a emanare le regole tecniche. La volontà sembra quella di anticipare il più possibile anche alla luce delle prossime scadenze. Infatti, entro il 17 gennaio 2025 è prevista la prima revisione su metodologia e aspetti organizzativi per apportare eventuali migliorie alle politiche di sicurezza in essere per la Commissione europea, Enisa, Csirt e per gli esperti di cybersecurity designati dagli Stati membri. Entro il 17 aprile 2025 gli Stati membri dovranno aver stabilito un elenco dei soggetti essenziali e dei soggetti importanti, aggiornando tale elenco almeno ogni due anni. Entro il 17 gennaio 2026 gli stessi dovranno aver adottato una strategia per migliorare la resilienza delle entità critiche. Entro il 17 ottobre 2027 (e successivamente ogni 36 mesi) la Commissione europea è chiamata a riesaminare l’efficacia della direttiva.
Il testo prevede che, a parte in un caso, non derivino “nuovi o maggiori oneri a carico della finanza pubblica” (come deciso dal governo per il decreto Sicurezza recentemente approvato dal Parlamento). Le amministrazioni competenti provvedono “nell’ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente”, si legge.