Direttiva (UE) 2016/1148 — Sicurezza delle reti e dei sistemi informativi
Essa propone un ampio insieme di misure volte ad aumentare il livello di sicurezza delle reti e dei sistemi informativi*per garantire servizi di importanza vitale per l’economia e la società dell’Unione europea. Essa punta ad assicurare che gli Stati membri siano adeguatamente preparati e pronti a gestire e rispondere ad attacchi contro i sistemi di informazione attraverso:
Essa stabilisce inoltre la collaborazione a livello dell’Unione europea sia a livello strategico che a livello tecnico.
Infine, essa introduce l’obbligo per gli operatori di servizi essenziali e i fornitori di servizi digitali di adottare le misure di sicurezza appropriate e di segnalare all’autorità nazionale competente il verificarsi di incidenti gravi.
Migliorare le capacità nazionali di sicurezza delle reti e dei sistemi informativi
I paesi dell’UE devono:
Gli Stati membri devono inoltre mettere in atto una strategia nazionale di sicurezza delle reti e dei sistemi informativi*che affronti i seguenti aspetti:
Le autorità nazionali competenti devono monitorare l’applicazione della direttiva tramite:
I CSIRT sono responsabili di:
Obblighi in materia di sicurezza e notifica
La direttiva punta a promuovere una cultura di gestione del rischio. Le imprese che operano in settori chiave devono valutare i rischi che corrono e adottare misure che garantiscano la sicurezza delle reti e dei sistemi informativi; Tali aziende devono notificare alle autorità competenti o i CSIRT tutti gli incidenti rilevanti, quali la pirateria informatica o il furto di dati, che possano compromettere seriamente la sicurezza delle reti e dei sistemi informativi e avere un impatto negativo significativo sulla continuità di servizi critici e la fornitura di beni.
Per stabilire quali incidenti debbano essere notificati dai fornitori di servizi essenziali*, gli Stati membri devono tenere in conto la durata e la diffusione geografica dell’incidente e altri fattori, ad esempio il numero di utenti che dipendono da quel servizio.
Anche i fornitori di servizi digitali chiave (motori di ricerca, servizi nella nuvola e mercati digitali) dovranno soddisfare gli obblighi di sicurezza e notifica.
Migliorare la cooperazione a livello dell’Unione
La direttiva istituisce il gruppo di cooperazione i cui compiti comprendono:
Essa istituisce inoltre la rete di CSIRT composta da rappresentanti dei CSIRT degli Stati membri e della squadra di pronto intervento informatico (CERT-UE). I compiti principali dell’ufficio di presidenza sono:
Sanzioni
Gli Stati membri applicano sanzioni effettive, proporzionate e dissuasive volte a garantire l’applicazione dei termini della direttiva.
Essa si applica dall’8 agosto 2016. Gli Stati membri hanno l’obbligo di incorporarla nella legislazione nazionale entro il 9 maggio 2018, e di identificare gli operatori dei servizi essenziali entro il 9 novembre 2018.
Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (GU L 194 del 19.7.2016, pagg. 1-30).
Regolamento di esecuzione (UE) 2018/151, del 30 gennaio 2018, recante modalità di applicazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio per quanto riguarda l’ulteriore specificazione degli elementi che i fornitori di servizi digitali devono prendere in considerazione ai fini della gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi e dei parametri per determinare l’eventuale impatto rilevante di un incidente (GU L 26 del 31.1.2018, pagg. 48-51).
Decisione di esecuzione (UE) 2017/179 del 1o febbraio 2017 che stabilisce le modalità procedurali necessarie per il funzionamento del gruppo di cooperazione, a norma dell’articolo 11, paragrafo 5, della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (GU L 28 del 2.2.2017, pagg. 73-77).
Comunicazione della Commissione al Parlamento europeo e al Consiglio: Sfruttare al meglio le reti e i sistemi informativi — verso l’efficace attuazione della direttiva (UE) 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, COM(2017) 476 final 2 del 4.10.2017.
Raccomandazione (UE) 2017/1584 del 13 settembre 2017 relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala (GU L 239, del 19.9.2017, pagg. 36-58).
Comunicazione congiunta al Parlamento europeo e al Consiglio - Resilienza, deterrenza e difesa: verso una cibersicurezza forte per l’UE, [JOIN(2017) 450 final del 13.9.2017].
Documento di lavoro dei servizi della Commissione — Valutazione della strategia dell’unione del 2013 per la sicurezza delle reti e dei sistemi informativi, SWD(2017) 295 final del 13.9.2017.
Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (GU L 257 del 28.8.2014, pagg. 73-114).
Le successive modifiche e le correzioni al regolamento (UE) n. 910/2014 sono state incorporate nel documento originale. La presente versione consolidata ha esclusivamente valore documentale.
Decisione 2013/488/UE del Consiglio, del 23 settembre 2013, sulle norme di sicurezza per proteggere le informazioni classificate UE (GU L 274 del 15.10.2013, pagg. 1-50).
Si veda la versione consolidata.
Direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio (GU L 218 del 14.8.2013, pagg. 8-14).
Regolamento (UE) n. 526/2013 del Parlamento europeo e del Consiglio, del 21 maggio 2013, relativo all’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) e che abroga il regolamento (CE) n. 460/2004 (GU L 165, del 18.6.2013, pagg. 41-58).
Comunicazione congiunta al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni — Strategia dell’Unione europea per la cibersicurezza: un ciberspazio aperto e sicuro, JOIN(2013) 1 final del 7.2.2013.
Ultimo aggiornamento: 01.03.2018