Oltre 110.000 imprese di importanza strategica in tutta l’Unione europea, tra cui ospedali e fornitori di energia, dovranno conformarsi alle norme contenute nella nuova direttiva Nis 2 sulla sicurezza informatica, proposta dalla Commissione nel dicembre 2020 e su cui è stato raggiunto finalmente un accordo politico tra il Parlamento europeo e gli Stati membri. La Commissione europea ha spiegato che “è stato necessario” aggiornare la direttiva precedente, in vigore dal 2019, “a causa del crescente grado di digitalizzazione e interconnessione della nostra società e del numero crescente di attività criminali informatiche a livello globale”.

“L’attuale contesto geopolitico” segnato dall’invasione russa dell’Ucraina e delle minacce ibride contro i Paesi europei “rende ancora più urgente per l’Unione europea garantire che il suo quadro giuridico sia adeguato allo scopo”, ha dichiarato Margaritis Schinas, vicepresidente della Commissione europea per la promozione dello stile di vita europeo. “Oggi l’Unione europea dimostra la sua chiara determinazione a sostenere la preparazione e la resilienza contro le minacce informatiche che colpiscono le nostre economie, le nostre democrazie e la pace”, ha aggiunto. “Integreremo questo approccio con l’imminente Cyber Resilience Act che garantirà che anche i prodotti digitali siano più sicuri ogni volta che vengono utilizzati”, ha spiegato invece Thierry Breton, commissario per il Mercato interno.

La nuova direttiva copre anche le aziende di medie e grandi dimensioni di diversi settori critici per l’economia e la società, tra cui i fornitori di servizi pubblici di comunicazione elettronica, i servizi digitali, la gestione delle acque reflue e dei rifiuti, la produzione di prodotti critici, i servizi postali e la pubblica amministrazione, sia a livello centrale sia regionale. Inoltre, copre in modo più ampio il settore sanitario, includendo per esempio i produttori di dispositivi medici, alla luce delle crescenti minacce alla sicurezza emerse nel corso della pandemia Covid-19.

Il principio di fondo della nuova direttiva è piuttosto chiaro e netto: gli amministratori delegati delle società interessate potranno scegliere se investire in sicurezza informatica o pagare una multa dello stesso importo che altrimenti pagherebbero agli hacker dopo un attacco ransomware. Come spiegato dalla Commissione europea, infatti, la direttiva Nis 2 rafforza i requisiti di sicurezza informatica per le aziende, affronta il tema della sicurezza delle catene di approvvigionamento e dei rapporti con i fornitori e introduce la responsabilità dei vertici aziendali in caso di mancato rispetto degli obblighi.

L’accordo politico raggiunto dal Parlamento europeo e dal Consiglio è ora soggetto all’approvazione formale dei due co-legislatori. Una volta pubblicata in Gazzetta Ufficiale, la direttiva entrerà in vigore 20 giorni dopo la pubblicazione e gli Stati membri dovranno quindi recepire i nuovi elementi della direttiva nel diritto nazionale entro 21 mesi.