Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Summaries of EU Legislation

Cibersicurezza delle reti e dei sistemi informatici (2022)

 

SINTESI DI:

Direttiva (UE) 2022/2555 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione

QUAL È L’OBIETTIVO DELLA DIRETTIVA?

La direttiva, nota come NIS2, stabilisce un quadro normativo comune per la cibersicurezza volto a migliorare il livello di cibersicurezza nell’Unione europea (Unione), richiedendo agli Stati membri dell’Unione di rafforzare le capacità di cibersicurezza. Introduce altresì misure di gestione dei rischi e di segnalazione nei settori critici, insieme a norme sulla cooperazione, la condivisione delle informazioni, la vigilanza e l’esecuzione delle norme.

PUNTI CHIAVE

La cibersicurezza riguarda le attività necessarie per proteggere le reti e i sistemi informatici, gli utenti di tali sistemi e altre persone colpite da minacce informatiche.

Settori critici

La direttiva si applica principalmente agli organismi di medie e grandi dimensioni che operano nei seguenti settori ad alta criticità, come definiti nell’allegato I:

  • energia;
    • energia elettrica, compresi i sistemi di produzione, distribuzione e trasmissione e i punti di ricarica;
    • teleriscaldamento e teleraffreddamento;
    • petrolio, compresi oleodotti di produzione, deposito e trasmissione;
    • gas, compresi i sistemi di fornitura, distribuzione, trasmissione e lo stoccaggio;
    • idrogeno;
  • trasporto aereo, ferroviario, per vie d’acqua e su strada;
  • infrastrutture bancarie e dei mercati finanziari quali enti creditizi, gestori delle sedi di negoziazione e controparti centrali;
  • settore sanitario, compresi prestatori di assistenza sanitaria, soggetti che fabbricano prodotti farmaceutici di base e dispositivi medici critici e laboratori di riferimento dell’Unione;
  • acqua potabile
  • acque reflue;
  • infrastruttura digitale, compresi fornitori di servizi di data center, servizi di cloud computing, reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
  • servizi gestiti dalle TIC (business-to-business);
  • spazio;
  • amministrazione pubblica a livello centrale e regionale, esclusi il potere giudiziario, i parlamenti e le banche centrali, sebbene non si applichi agli enti pubblici che svolgono attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’applicazione della legge.

Si applica inoltre ad altri settori critici, come definiti nell’allegato II:

  • servizi postali e di corriere;
  • gestione dei rifiuti;
  • fabbricazione, produzione e distribuzione di prodotti chimici;
  • produzione, trasformazione e distribuzione di alimenti;
  • fabbricazione, in particolare di dispositivi medici, computer, prodotti di elettronica e ottica, determinate apparecchiature elettriche e macchinari, veicoli a motori e altri mezzi di trasporto;
  • fornitori di servizi digitali di mercati online, motori di ricerca e reti sociali;
  • organizzazioni di ricerca.

Strategia nazionale per la cibersicurezza

Ogni Stato membro deve adottare una strategia nazionale per raggiungere e mantenere un elevato livello di cibersicurezza nei settori critici, tra cui:

  • un quadro di governance che chiarisca i ruoli e le responsabilità dei pertinenti portatori di interessi a livello nazionale;
  • politiche relative alla sicurezza delle catene di approvvigionamento;
  • politiche di gestione delle vulnerabilità;
  • politiche di promozione e sviluppo dell’istruzione e della formazione sulla cibersicurezza;
  • misure per migliorare la consapevolezza in materia di cibersicurezza tra la cittadinanza.

Gli Stati membri devono redigere un elenco di enti essenziali e importanti, insieme agli enti che forniscono servizi di registrazione dei nomi di dominio, entro il 17 aprile 2025. Devono riesaminare e, se del caso, aggiornare tale elenco regolarmente e, successivamente, almeno ogni due anni. La Commissione europea ha adottato degli orientamenti relativi alle informazioni che devono essere raccolte al momento della stesura di tali elenchi, nonché un modello per la loro compilazione.

La Commissione ha inoltre pubblicato orientamenti che chiariscono le norme sulla relazione tra la direttiva (UE) 2022/2555 e gli atti giuridici settoriali dell’Unione, attuali e futuri, che affrontano le misure di gestione del rischio per la cibersicurezza o gli obblighi di segnalazione degli incidenti. L’appendice agli orientamenti fornisce un elenco non esaustivo degli atti giuridici settoriali che la Commissione ritiene rientrino nell’ambito di applicazione della direttiva (UE) 2022/2555.

Team di risposta agli incidenti di sicurezza informatica

I team di risposta agli incidenti di sicurezza informatica (CSIRT) forniscono assistenza tecnica ai soggetti, attraverso:

  • il monitoraggio e l’analisi delle minacce informatiche, delle vulnerabilità e degli incidenti a livello nazionale;
  • l’emissione di preallarmi, allerte e bollettini e la divulgazione di informazioni ai soggetti interessati e agli altri portatori di interessi pertinenti, in merito a minacce informatiche, vulnerabilità e incidenti, se possibile in tempo prossimo al reale;
  • la risposta agli incidenti e l’assistenza, se del caso;
  • la raccolta e l’analisi di dati forensi, fornendo un’analisi dinamica dei rischi e degli incidenti, nonché una consapevolezza situazionale riguardo alla cibersicurezza;
  • l’effettuazione, su richiesta, di una scansione proattiva dei sistemi informatici e di rete per rilevare le vulnerabilità con un impatto potenzialmente significativo.

Rete CSIRT

La direttiva stabilisce una rete di CSIRT nazionali al fine di promuovere una cooperazione operativa rapida ed efficace.

Divulgazione coordinata delle vulnerabilità

Gli Stati membri devono:

  • designare uno dei loro CSIRT per coordinare la divulgazione delle vulnerabilità individuate nei prodotti o servizi TIC; e
  • fare in modo che le persone negli Stati membri siano in grado di segnalare vulnerabilità in forma anonima, qualora lo richiedano.

L’Agenzia dell’Unione europea per la cibersicurezza (ENISA) istituirà e manterrà una banca dati europea delle vulnerabilità.

Gruppo di cooperazione

La direttiva istituisce un gruppo di cooperazione per sostenere e facilitare la cooperazione strategica e lo scambio di informazioni. È composto da rappresentanti degli Stati membri, della Commissione e dell’ENISA. Se del caso, il gruppo di cooperazione può invitare il Parlamento europeo e i rappresentanti dei portatori di interessi pertinenti a partecipare ai lavori.

Rete europea delle organizzazioni di collegamento per le crisi informatiche

La rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe) è composta da rappresentanti delle autorità di gestione delle crisi informatiche degli Stati membri, insieme alla Commissione nei casi in cui un incidente di cibersicurezza su vasta scala potenziale o in corso abbia o possa avere un impatto significativo sui settori contemplati dalla direttiva. Negli altri casi, la Commissione partecipa alle attività della rete in qualità di osservatrice.

La rete sostiene la gestione coordinata degli incidenti di cibersicurezza su vasta scala a livello operativo e garantisce lo scambio regolare di informazioni tra gli Stati membri e le istituzioni, gli organi e le agenzie dell’Unione.

La rete è inoltre incaricata di:

  • coordinare la gestione degli incidenti e delle crisi di cibersicurezza su vasta scala e sostenere il processo decisionale a livello politico;
  • aumentare il livello di preparazione;
  • sviluppare una conoscenza situazionale condivisa;
  • valutare le conseguenze e l’impatto dei pertinenti incidenti e delle pertinenti crisi di cibersicurezza su vasta scala e proporre possibili misure di attenuazione;

Relazioni

I soggetti devono notificare al loro CSIRT o all’autorità competente qualsiasi incidente che:

  • può causare o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
  • si è ripercosso o è in grado di ripercuotersi su altre persone causando perdite materiali o immateriali considerevoli.

Inoltre, l’ENISA produrrà, in collaborazione con la Commissione e il gruppo di cooperazione, una relazione biennale sullo stato della cibersicurezza nell’Unione, che sarà anche presentata al Parlamento.

Vigilanza ed esecuzione

La direttiva prevede misure e sanzioni per garantire l’esecuzione.

Revisioni tra pari

Vengono introdotte revisioni tra pari per trarre insegnamenti dalle esperienze condivise, rafforzare la fiducia reciproca e conseguire un livello comune elevato di cibersicurezza, migliorare le capacità e le politiche in materia di cibersicurezza degli Stati membri necessarie per l’attuazione della presente direttiva. Tali revisioni comportano visite in loco fisiche o virtuali e scambi di informazioni a distanza. La partecipazione a tali revisioni tra pari è volontaria.

A PARTIRE DA QUANDO SI APPLICANO LE NORME?

La direttiva deve essere recepita nel diritto nazionale entro il 17 ottobre 2024. Le norme dovrebbero applicarsi a partire dal 18 ottobre 2024.

CONTESTO

La direttiva abroga la direttiva (UE) 2016/1148 (si veda la sintesi) a partire dal 18 ottobre 2024.

Per ulteriori informazioni, si veda:

DOCUMENTO PRINCIPALE

Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (GU L 333 del 27.12.2022, pag. 80).

I successivi emendamenti alla direttiva (UE) 2022/2555 sono stati incorporati nel documento originale. La versione consolidata ha esclusivamente valore documentale.

DOCUMENTI CORRELATI

Comunicazione della Commissione — Orientamenti della Commissione sull’applicazione dell’articolo 3, paragrafo 4, della direttiva (UE) 2022/2555 (direttiva NIS 2) 2023/C 324/02 (GU C 324 del 14.9.2023, pag. 2).

Comunicazione della Commissione — Orientamenti della Commissione sull’applicazione dell’articolo 4, paragrafi 1 e 2, della direttiva (UE) 2022/2555 (direttiva NIS 2) 2023/C 328/02 (GU C 328 del 18.9.2023, pag. 2).

Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (GU L 333 del 27.12.2022, pag. 1).

Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio (GU L 333 del 27.12.2022, pag. 164).

Regolamento (UE) 2021/696 del Parlamento europeo e del Consiglio, del 28 aprile 2021, che istituisce il programma spaziale dell’Unione e l’Agenzia dell’Unione europea per il programma spaziale e che abroga i regolamenti (UE) n. 912/2010, (UE) n. 1285/2013 e (UE) n. 377/2014 e la decisione n. 541/2014/UE (GU L 170 del 12.5.2021, pag. 69).

Regolamento (UE) 2021/694 del Parlamento europeo e del Consiglio, del 29 aprile 2021, che istituisce il programma Europa digitale e abroga la decisione (UE) 2015/2240 (GU L 166 dell’11.5.2021, pag. 1).

Si veda la versione consolidata.

Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 (regolamento sulla cibersicurezza) (GU L 151 del 7.6.2019, pag. 15).

Raccomandazione (UE) 2019/534 della Commissione, del 26 marzo 2019, Cibersicurezza delle reti 5G (GU L 88 del 29.3.2019, pag. 42).

Regolamento (UE) 2018/1139 del Parlamento europeo e del Consiglio, del 4 luglio 2018, recante norme comuni nel settore dell’aviazione civile, che istituisce un’Agenzia dell’Unione europea per la sicurezza aerea e che modifica i regolamenti (CE) n. 2111/2005, (CE) n. 1008/2008, (UE) n. 996/2010, (UE) n. 376/2014 e le direttive 2014/30/UE e 2014/53/UE del Parlamento europeo e del Consiglio, e abroga i regolamenti (CE) n. 552/2004 e (CE) n. 216/2008 del Parlamento europeo e del Consiglio e il regolamento (CEE) n. 3922/91 del Consiglio (GU L 212 del 22.8.2018, pag. 1).

Si veda la versione consolidata.

Decisione di esecuzione (UE) 2018/1993 del Consiglio, dell’11 dicembre 2018, relativa ai dispositivi integrati dell’Unione per la risposta politica alle crisi (GU L 320 del 17.12.2018, pag. 28).

Direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio, dell’11 dicembre 2018, che istituisce il codice europeo delle comunicazioni elettroniche (rifusione) (GU L 321 del 17.12.2018, pag. 36).

Si veda la versione consolidata.

Raccomandazione (UE) 2017/1584 della Commissione, del 13 settembre 2017, relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala (GU L 239 del 19.9.2017, pag. 36).

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche in materia di trattamento dei dati personali e alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

Si veda la versione consolidata.

Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (GU L 257 del 28.8.2014, pag. 73).

Direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio (GU L 218 del 14.8.2013, pag. 8).

Decisione n. 1313/2013/UE del Parlamento europeo e del Consiglio, del 17 dicembre 2013, su un meccanismo unionale di protezione civile (GU L 347 del 20.12.2013, pag. 924).

Si veda la versione consolidata.

Direttiva 2011/93/UE del Parlamento europeo e del Consiglio, del 13 dicembre 2011, relativa alla lotta contro l’abuso e lo sfruttamento sessuale dei minori e la pornografia minorile, e che sostituisce la decisione quadro 2004/68/GAI del Consiglio (GU L 335 del 17.12.2011, pag. 1).

Si veda la versione consolidata.

Regolamento (CE) n. 300/2008 del Parlamento europeo e del Consiglio, dell’11 marzo 2008, che istituisce norme comuni per la sicurezza dell’aviazione civile e che abroga il regolamento (CE) n. 2320/2002 (GU L 97 del 9.4.2008, pag. 72).

Si veda la versione consolidata.

Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).

Si veda la versione consolidata.

Ultimo aggiornamento: 03.05.2024

Top