Dir. n. 1148/2016,Misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (con nota di V.M.)

Il 19 luglio 2016 è stata pubblicata sulla Gazzetta Ufficiale UE la nuova Direttiva 2016/1148 dell’UE in materia di cyber security (Directive on Security of Network and Information Systems, c.d. Direttiva NIS). Tale direttiva costituisce uno dei pilastri del nuovo quadro normativo UE in materia di cyber security, unitamente alla Comunicazione della Commissione e del Consiglio del 5 luglio 2016 avente ad oggetto “Rafforzare il sistema di resilienza informatica dell'Europa e promuovere la competitività e l'innovazione nel settore della cyber security”, e alla Decisione della Commissione del 5 luglio 2016 relativa all’istituzione di un partenariato pubblico-privato contrattuale per la sicurezza informatica.

Tali interventi in materia di cyber security costituiscono uno dei pilastri fondamentali sia della Strategia per il Mercato Unico Digitale, sia dell’Agenda Europea per la Sicurezza. In linea generale, i loro obiettivi sono rinvenibili nel rafforzamento del livello di sicurezza delle reti e dei sistemi informatici nell’UE, nel consolidamento della cooperazione tra gli Stati, nel favorire le attività di ricerca e sviluppo, nella diffusione tra le imprese e i cittadini della consapevolezza dei rischi e della necessità di dotarsi di adeguati strumenti di protezione. Una parte rilevante del nuovo quadro normativo è rappresentata dagli obblighi in capo alle imprese identificate come “operatori di servizi essenziali”; in particolare, la Direttiva 2016/1148 prevede che gli Stati Membri, a partire dal 10 maggio 2018, dovranno (i) adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi utilizzati nella loro attività; (ii) adottare misure adeguate per prevenire e minimizzare l'impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati, al fine di assicurare la continuità di tali servizi; (iii) notificare senza ritardo all'autorità competente o ad uno CSIRT (“Gruppi di intervento per la sicurezza informatica in caso di incidente”) gli incidenti aventi un “impatto rilevante” sulla continuità dei servizi essenziali forniti.

Con nota di V.M.