Nuova Direttiva europea 2022/2555 per la cybersicurezza

A fine dicembre 2022, è stata pubblicata in Gazzetta europea la DIRETTIVA (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 che stabilisce misure per un livello comune elevato di cybersicurezza nell’Unione Europea e così migliorare il funzionamento del mercato interno.

 

Cosa stabilisce la Direttiva 2022/2555

La nuova Direttiva Europea, detta anche NIS 2, stabilisce (art.1):

  • obblighi che impongono agli Stati membri di adottare strategie nazionali in materia di cybersicurezza e di designare o creare autorità nazionali competenti, autorità di gestione delle crisi informatiche, punti di contatto unici in materia di sicurezza (punti di contatto unici) e team di risposta agli incidenti di sicurezza informatica (CSIRT) (Capo V);
  • misure in materia di gestione dei rischi di cybersicurezza e obblighi di segnalazione per i soggetti di un tipo di cui all’allegato I o II nonché per soggetti identificati come critici ai sensi della direttiva (UE) 2022/2557 (Capo IV);
  • norme e obblighi in materia di condivisione delle informazioni sulla cybersicurezza (Capo VI);
  • obblighi in materia di vigilanza ed esecuzione per gli Stati membri (Capo VII).

 

A chi si applica la Direttiva 2022/2555

La DIRETTIVA (UE) 2022/2555 si applica ai soggetti (art.2):

  • pubblici (gli Stati possono applicarla ad enti della pubblica amministrazione a livello locale e istituti di istruzione, in particolare ove svolgano attività di ricerca critiche); sono esclusi enti della pubblica amministrazione che svolgono le loro attività nei settori della sicurezza nazionale, della pubblica sicurezza o della difesa, del contrasto, comprese la prevenzione, le indagini, l’accertamento e il perseguimento dei reati.
  • privati (tipologie in allegato I o II) considerati “medie imprese” (ai sensi della raccomandazione 2003/361/CE), o che superano i massimali per le medie imprese e che prestano i loro servizi o svolgono le loro attività all’interno dell’Unione.
  • “critici”, indipendentemente dalle loro dimensioni, (ai sensi della direttiva (UE) 2022/2557)
  • che forniscono servizi di registrazione dei nomi di dominio.

La Direttiva non si applica a tutti quei soggetti che sono obbligati da atti giuridici settoriali dell’Unione (art.4) ad adottare misure di gestione dei rischi di cybersicurezza o di notificare gli incidenti significativi.

 

Quando entrerà in vigore in Italia?

Gli Stati membri dell’Unione Europea, tra cui l’Italia, dovranno adottare e pubblicare le misure necessarie per conformarsi alla direttiva entro il 17 ottobre 2024, le disposizioni si applicano a decorrere dal 18 ottobre 2024.

La Direttiva modifica (artt. 42-44):

  • il regolamento (UE) n. 910/2014 (in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche);
  • la direttiva (UE) 2018/1972 (che istituisce il codice europeo delle comunicazioni elettroniche);
  • ed abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) sulla sicurezza delle reti e dei sistemi informativi nell’Unione.
POTREBBE INTERESSARTI ANCHE
> Aggiornamento normativo – Maggio 2025
> Sentenze – Maggio 2025
> Sicurezza e salute nei porti: buone pratiche fornite da INAIL
> Transizione 4.0: nuove regole e scadenze per il 2025