La direttiva europea n. 2022/2555 mira a fornire una disciplina unitaria per tutti gli Stati membri in materia di cyber sicurezza.
Infatti, gli obblighi di cyber sicurezza imposti a soggetti che forniscono servizi economicamente rilevanti variano notevolmente da uno Stato membro all’altro; questa frammentarietà rende molto vulnerabile il mercato interno europeo rispetto a minacce informatiche che oggi si fanno sempre più insidiose.
La predetta direttiva prevede una serie di obblighi quali l’adozione di protocolli di sicurezza, il costante aggiornamento dei dipendenti in materia di cyber sicurezza, la valutazione dei rischi e l’implementazione di misure tecniche e organizzative, come l’autenticazione a più fattori e la crittografia.
Al fine di individuare i destinatari di tali obblighi, la direttiva prevede tre criteri:
- Criterio del settore merceologico: classifica le organizzazioni in due categorie principali:
-
- Soggetti essenziali: organizzazioni pubbliche e private operanti in settori quali energia, trasporto, sanità, infrastrutture digitali, e altri settori critici.
- Soggetti importanti: organizzazioni che forniscono servizi postali, gestiscono rifiuti, producono sostanze chimiche, alimenti, fornitori di servizi digitali, e altri.
2. Criterio della territorialità: la disciplina si applica alle imprese che operano in territorio europeo;
3. Criterio del dimensionamento: solo le imprese di medie e grandi dimensioni saranno soggette agli obblighi di cyber sicurezza.
Sono esclusi dall’ambito di applicazione della nuova direttiva i soggetti operanti in settori quali la sicurezza nazionale, la pubblica sicurezza o la difesa, il contrasto, comprese la prevenzione, le indagini, l’accertamento e il perseguimento dei reati, Parlamenti e banche centrali.
La direttiva predispone un sistema sanzionatorio più severo e omogeneo, prevedendo sanzioni amministrative proporzionate alla gravità della violazione commessa.
La disciplina sarebbe stata definitivamente applicabile il 17 ottobre 2024, termine ultimo entro il quale gli Stati membri avrebbero dovuto recepirla all’interno del proprio ordinamento.
A tal proposito, il 7 agosto, il Consiglio dei Ministri ha approvato, in via definitiva, un decreto legislativo di attuazione della direttiva 2022/2555.
Il decreto legislativo è così strutturato:
- il Capo I dedicato alle disposizioni generali;
- il Capo II dedicato al quadro nazionale di sicurezza informatica;
- il Capo III dedicato alla cooperazione a livello dell’Unione europea e internazionale;
- il Capo IV dedicato agli obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente;
- il Capo V dedicato alla supervisione;
- il Capo VI dedicato alle disposizioni finali e transitorie.