Cibersicurezza comune nell’Unione: nella Direttiva 2022/2555 le regole per i Soggetti essenziali e importanti

28.12.22 -

In Gazzetta europea la DIRETTIVA (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 che stabilisce misure per un livello comune elevato di cibersicurezza nell’Unione. Ciò non impedisce agli Stati membri di adottare o mantenere disposizioni con un livello più elevato di cibersicurezza, a condizione che tali disposizioni siano coerenti con gli obblighi degli Stati membri stabiliti dal diritto dell’Unione.

Cosa prevede la direttiva? A chi si applica e da quando? E quali obblighi comuni sono regolamentati?

La DIRETTIVA (UE) 2022/2555, sulla Cibersicurezza comune in Europa

La Direttiva mira a garantire un livello comune elevato di cibersicurezza nell’Unione e così migliorare il funzionamento del mercato interno.

Cibersicurezza. I soggetti europei

Indica all’art. 1 le regole e le misure comuni da seguire per la cibersicurezza ed individua (art.2) i soggetti obbligati (privati e pubblici, con esclusioni specifiche da parte degli stati). Definisce poi (art.3) i cd. “Soggetti essenziali e importanti” (privati e pubblici) che siano operatori di servizi essenziali e rimanda al 17 aprile 2025 il termine ultimo per la loro completa definizione da parte degli Stati.

Gli strumenti a disposizione

Nel Capo II si trovano le norme sui QUADRI COORDINATI IN MATERIA DI CIBERSICUREZZA e vi figura il richiamo alla “Strategia nazionale per la cibersicurezza” (art.7) e alle Autorità competenti e punti di contatto unici (art.8) oltre ai riferimenti ai Quadri nazionali di gestione delle crisi informatiche (art.9). L’art. 10 prevede la costituzione di un Team di risposta agli incidenti di sicurezza informatica (CSIRT) definendone requisiti e compiti (art.11) e la loro funzione di divulgazione coordinata delle vulnerabilità (art. 12). Si fa quindi riferimento (art.12) alla “banca dati europea delle vulnerabilità” elaborata e manutenuta da ENISA.

Collaborazione europea e internazionale per la Cibersicurezza

Le autorità competenti, il punto di contatto unico e i CSIRT dello stesso Stato membro dovranno collaborare (art.13) per ricevere le notifiche degli incidenti significativi (articolo 23), e degli incidenti, delle minacce informatiche e dei quasi incidenti (near miss regolati all’articolo 30).

Nel CAPO III è regolata la COOPERAZIONE A LIVELLO DELL’UNIONE E INTERNAZIONALE che comprende rappresentanti degli Stati membri, della Commissione e dell’ENISA (art.14) oltre ad una rete dei CSIRT nazionali (art.15). Si istituisce anche EU-CyCLONe una rete che ha il fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di cibersicurezza su vasta scala e di garantire il regolare scambio di informazioni pertinenti tra gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione.

Si impone poi ad ENISA (art.18) di diffondere ogni due anni una relazione sullo stato della cibersicurezza nell’Unione e la presenta al Parlamento europeo ed il meccanismo della “revisione fra pari” da definire entro il 17 gennaio 2025.

Come gestire il rischio di cibersicurezza e segnalazione

Nel CAPO IV tutte le MISURE DI GESTIONE DEL RISCHIO DI CIBERSICUREZZA E OBBLIGHI DI SEGNALAZIONE che sono attività di governance (art.20). Si tratta di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, e per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi (art.21). Ma ci sono anche obblighi per i “soggetti essenziali”, di segnalazione (art.23) di eventuali incidenti che hanno un impatto significativo sulla fornitura dei loro servizi, certificando (art.24) prodotti TIC, servizi TIC e processi TIC, nell’ambito dei sistemi europei di certificazione della cibersicurezza.

DIRETTIVA (UE) 2022/2555: Cibersicurezza, gli obblighi comuni

La DIRETTIVA (UE) 2022/2555 stabilisce (art.1):

  • obblighi che impongono agli Stati membri di adottare strategie nazionali in materia di cibersicurezza e di designare o creare autorità nazionali competenti, autorità di gestione delle crisi informatiche, punti di contatto unici in materia di sicurezza (punti di contatto unici) e team di risposta agli incidenti di sicurezza informatica (CSIRT) (Capo V);
  • misure in materia di gestione dei rischi di cibersicurezza e obblighi di segnalazione per i soggetti di un tipo di cui all’allegato I o II nonché per soggetti identificati come critici ai sensi della direttiva (UE) 2022/2557 (Capo IV);
  • norme e obblighi in materia di condivisione delle informazioni sulla cibersicurezza (Capo VI);
  • obblighi in materia di vigilanza ed esecuzione per gli Stati membri (Capo VII).

Cibersicurezza, a chi si applica la Direttiva 2022/255?

La Direttiva si applica ai soggetti (art.2)

  • pubblici (gli Stati possono applicarla ad enti della pubblica amministrazione a livello locale e istituti di istruzione, in particolare ove svolgano attività di ricerca critiche); sono esclusi enti della pubblica amministrazione che svolgono le loro attività nei settori della sicurezza nazionale, della pubblica sicurezza o della difesa, del contrasto, comprese la prevenzione, le indagini, l’accertamento e il perseguimento dei reati.
  • privati (tipologie in allegato I o II) considerati “medie imprese” (ai sensi della raccomandazione 2003/361/CE), o che superano i massimali per le medie imprese e che prestano i loro servizi o svolgono le loro attività all’interno dell’Unione.
  • “critici”, indipendentemente dalle loro dimensioni, (ai sensi della direttiva (UE) 2022/2557)
  • che forniscono servizi di registrazione dei nomi di dominio.

La Direttiva non si applica a tutti quei soggetti che sono obbligati da atti giuridici settoriali dell’Unione (art.4) ad adottare misure di gestione dei rischi di cibersicurezza o di notificare gli incidenti significativi.

Cibersicurezza: da quando si applica la Direttiva 2022/2555

Entro il 17 ottobre 2024, gli Stati membri dovranno adottare e pubblicare le misure necessarie per conformarsi alla direttiva, le cui disposizioni si applicano a decorrere dal 18 ottobre 2024.

La Direttiva modifica (artt.42-44)

  • il regolamento (UE) n. 910/2014 (in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche);
  • la direttiva (UE) 2018/1972 (che istituisce il codice europeo delle comunicazioni elettroniche);
  • ed abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) sulla sicurezza delle reti e dei sistemi informativi nell’Unione.

InSic suggerisce le seguenti News in materia di normativa nazionale ed europea in materia di Cyberiscurezza.

Agenzia per la Cybersicurezza Nazionale: cos’è e come funziona – Aggiornamenti (DPCM 1 settembre 2022)
Il Consiglio dei Ministri approva un Decreto-Legge che istituisce l’Agenzia per la Cybersicurezza: ecco cosa farà e come opererà e qual è la Strategia Nazionale di Cybersicurezza da implementare.
Certificazione di Cybersicurezza: il Decreto di adeguamento alla normativa europea
Il D.Lgs. n. 123/22 adegua la normativa UE del Reg.n.2019/881 in materia di certificazione, vigilanza e controllo dei certificati: leggi l’analisi del Decreto su InSic!
Certificazione della cibersicurezza europea: il Regolamento 2019/881
In vista un Decreto di recepimento del nuovo Regolamento UE 2019/881 sulla Cibersicurezza che regola il sistema di certificazione europeo.

InSic suggerisce in materia di protezione dei dati i seguenti libri di Security di EPC Editore:

Il sistema integrato per la SICUREZZA delle INFORMAZIONI ed il GDPR, EPC Editore, marzo 2021, Castroreale Renato, Ponti Chiara

Il sistema integrato per la SICUREZZA delle INFORMAZIONI ed il GDPR

Castroreale Renato, Ponti Chiara

Libro

Edizione: marzo 2021

Pagine: 384

Formato: 150×210 mm

Manuale di diritto di INTERNET, EPC Editore, febbraio 2021, Corona Fabrizio, Iaselli Michele

Manuale di diritto di INTERNET

Corona Fabrizio, Iaselli Michele

Libro

Edizione: febbraio 2021

Pagine: 640

Formato: 170×240 mm

NormativaIn risaltoIn primo pianoNewsapprofondimentiProdotti & tecnologieSentenzeQuesitoDispositivi di Protezione individuale - DPIINAILmembershipCovid-19norme tecnicheSafety ExpoTesto Unico di Sicurezza - D.Lgs. 81/2008
Articoli correlati