Negli scorsi numeri, si sono illustrati i profili più significativi della proposta di Regolamento del Parlamento Europeo e del Consiglio relativo a requisiti orizzontali di Cybersicurezza per i prodotti con elementi digitali, il c.d. “Cyber Resilience Act” che, insieme alla c.d. direttiva NIS 2, di cui ci occuperemo di seguito, costituisce uno dei pilastri su cui poggerà l’ecosistema europeo di sicurezza cibernetica, quale risultante dalla Strategia Europea di sicurezza cibernetica di cui alla comunicazione congiunta della Commissione europea e degli alti rappresentanti dell’Unione per gli affari esteri e delle politiche di sicurezza del 16/12/2020.
In effetti, come si legge nel documento citato, le norme dell’UE sulla sicurezza dei sistemi di rete e di informazione (NIS) sono al centro del mercato unico della cybersicurezza e la Commissione, già nel 2020 si era proposta di riformarle nell’ambito di una direttiva riveduta sulla sicurezza delle reti e dell’informazione, per aumentare il livello di resilienza informatica di tutti i settori interessati, pubblici e privati, che svolgono una funzione importante per l’economia e la società, per ridurre le incoerenze nel mercato interno allineando l’ambito di applicazione, i requisiti di sicurezza e di segnalazione degli incidenti, la vigilanza e l’applicazione a livello nazionale insieme alle capacità delle autorità competenti.
In tale contesto, lo scorso 14 dicembre 2022 è stata emanata la Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2).
Dal punto di vista di strettamente legale si può osservare, preliminarmente, in primo luogo che lo strumento legislativo prescelto per la disciplina del settore è ancora una volta quello della direttiva e non quello del regolamento che, come sappiamo ha, a differenza della prima, una maggiore efficacia vincolante, ed in secondo luogo, come uno degli effetti della direttiva NIS 2 sia stato l’abrogazione delle disposizioni della direttiva NIS del 2016. Esaminando ora il merito dei contenuti del provvedimento, per comprendere i differenti livelli di intensità degli obblighi di sicurezza su cui è configurata la direttiva, conviene prendere le mosse da quanto stabilito al considerando nr. 18 ove si precisa che, i soggetti che rientrano nell’ambito di applicazione della direttiva ai fini del rispetto delle misure di gestione dei rischi di cybersicurezza e degli obblighi di segnalazione dovrebbero essere classificati in due categorie, essenziali e importanti, in funzione della loro importanza per il settore o il tipo di servizi che forniscono, nonché delle loro dimensioni.
A tale riguardo, gli Stati membri, in sede di recepimento, dovranno tenere debitamente conto, se del caso, di tutte le valutazioni settoriali dei rischi e di tutti gli orientamenti pertinenti elaborati dalle autorità competenti in modo da fare si che i regimi di esecuzione e di vigilanza per tali due categorie di soggetti siano differenziati per garantire un giusto equilibrio tra i requisiti e gli obblighi basati sui rischi, da un lato, e gli oneri amministrativi derivanti dalla vigilanza della conformità, dall’altro. Dal punto di vista della disciplina relativa alla individuazione dei soggetti compresi nell’ambito di applicazione delle disposizioni della direttiva, quale contenuta all’art. 2, si deve constatare come, in forza del ricorso ai numerosi criteri alternativi a quello dimensionale indicato nel comma 1, si sia ampliato notevolmente il novero dei soggetti obbligati, ricomprendendo, in particolare gli allegati I e II soggetti in precedenza esclusi dai doveri di sicurezza rafforzata che caratterizzavano le norme della previgente direttiva NIS.
In relazione a quanto precede, si deve inoltre considerare il contenuto del comma 2 del citato articolo 2, ove si specifica che, la direttiva si applica anche ai soggetti, indipendentemente dalle loro dimensioni, delle tipologie di cui all’allegato I o II qualora, ad esempio, una perturbazione del servizio fornito dal soggetto potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica, o il soggetto sia critico in ragione della sua particolare importanza a livello nazionale regionale per quel particolare settore o tipo di servizio o per altri settori indipendenti nello Stato membro, o, qualora il soggetto sia un ente della pubblica amministrazione centrale (…) o a livello regionale (…) che, a seguito di una valutazione basata sul rischio, fornisce servizi la cui perturbazione potrebbe avere un impatto significativo su attività sociali o economiche critiche. Da un punto di vista strategico, oltre che tecnico ed organizzativo, la vera e propria pietra miliare relativa ai requisiti di cybersecurity che saranno imposti ai destinatari della direttiva, è rappresentata dalle disposizione di cui all’art 21 del testo rubricato misure di gestione dei rischi di cybersicurezza. La norma appena ricordata, in effetti, anche alla luce delle modifiche introdotte dai contenuti delle altre disposizioni legislative comunitarie, successive alla prima direttiva NIS che, lo ricordiamo, era del 2016, innova profondamente il paradigma di riferimento in merito ai requisiti di sicurezza necessari a garantire la conformità con le disposizioni normative. La scarna formulazione di principio, all’epoca contenuta negli artt. 14 e 16 dell’ormai abrogata direttiva NIS, ha lasciato il posto ad un’articolata indicazione di misure, di varia natura, la cui elencazione, pur non tassativa, in conseguenza della formulazione utilizzata dal legislatore, vale a dire “comprendono almeno”, appare costituire il minimo esigibile dall’operatore, al di sotto del quale, le disposizioni della direttiva non possono ritenersi applicate.
Hai una domanda per l'autore?
Al codice del consumo (n.206/2005) vengono aggiunti nuovi articoli