Sebbene la Direttiva NIS2 sia ancora in fase di recepimento in diversi Stati membri dell’Unione europea, la Commissione – in continuità con le modifiche già proposte nell’ambito del c.d. Digital Omnibus – ha già presentato una proposta di modifica volta a razionalizzare e rafforzare il quadro normativo europeo in materia di cybersecurity.
La Fase di implementazione europea
Come noto, l’Italia è stata tra i primi Stati membri a provvedere al recepimento della Direttiva NIS2. Il Decreto Legislativo n. 138/2024 ha infatti trasposto integralmente le disposizioni della Direttiva, demandando poi all’Agenzia per la Cybersicurezza Nazionale (“ACN”) l’adozione di ulteriori atti volti a chiarire e dettagliare gli adempimenti applicabili alle società rientranti nell’ambito di applicazione della NIS2.
All’Italia hanno fatto seguito diversi altri Stati membri, tra cui, più recentemente, la Germania. Tuttavia, il processo di attuazione è ancora lontano dall’essere completato, poiché numerose giurisdizioni sono tuttora in fase di recepimento delle disposizioni rilevanti.
Sin dalle prime fasi di implementazione, è però emerso come gli Stati membri abbiano trasposto la Direttiva con approcci non sempre uniformi, dando luogo a un’applicazione disomogenea a livello europeo. Parallelamente, in diversi casi le autorità competenti hanno interpretato in modo estensivo il proprio ruolo di vigilanza, con il rischio di sovrapposizioni soprattutto nei confronti di soggetti che operano in più Stati membri.
Proprio in considerazione di tali criticità, la Commissione europea ha ritenuto opportuno presentare una proposta di modifica della normativa NIS2, allineandola al più ampio pacchetto di revisione del Cybersecurity Act (che dovrebbe quindi portare all’adozione di un nuovo Regolamento denominato Cybersecurity Act2).
Le misure di sicurezza e le relative certificazioni
La prima modifica proposta riguarda l’adozione delle misure tecniche di sicurezza previste dall’articolo 21 della Direttiva NIS2 e si articola in due ambiti principali:
- Da un lato, la Commissione propone che, qualora sia stato adottato un atto di esecuzione che definisce i requisiti tecnici e metodologici ai sensi dell’articolo 21, gli Stati membri non possano imporre ulteriori obblighi o requisiti settoriali aggiuntivi rispetto a quelli previsti a livello europeo;
- Dall’altro lato, la Commissione propone l’introduzione di uno schema europeo di certificazione relativo alla postura di cybersecurity delle società rientranti nell’ambito di applicazione della NIS2, al fine di consentire alle stesse di dimostrare la conformità alle prescrizioni di cui all’articolo 21.
Tale approccio consentirebbe, da un lato, di ridurre l’attuale frammentarietà normativa – si pensi, ad esempio, alle specifiche misure di sicurezza di base richieste dall’ACN rispetto a quelle previste in altri Stati membri – e, dall’altro, di adottare un sistema di verifica della conformità maggiormente riconoscibile e uniforme a livello europeo, anziché limitato a una dimensione esclusivamente nazionale. Questo ovviamente non farebbe venire meno la responsabilità in capo alla entità NIS2 ma agevolerebbe l’attività di compliance.
Sempre in materia di misure di sicurezza, sebbene con un approccio a livello nazionale, la Proposta prevede che gli Stati membri adottino politiche adeguate per la migrazione verso la crittografia post-quantistica (“PQC”) nell’ambito delle rispettive strategie nazionali di cybersecurity, contribuendo così a un innalzamento complessivo del livello di sicurezza a livello nazionale.
Ambito di applicazione
La proposta inoltre chiarirebbe l’ambito di applicazione della Direttiva NIS2 fornendo maggiori dettagli rispetto alcune categorie esistenti (come quella della produzione di energia elettrica o della sanità) ed includendo nuove categorie di soggetti, ovvero:
- i fornitori di European Digital Identity Wallets ed European Business Wallets che verrebbero classificati come entità essenziali indipendentemente dalle loro dimensioni;
- gli operatori di infrastrutture di trasmissione dati sottomarine, anch’essi qualificabili come soggetti essenziali; e
- all‘interno dele c.d. imprese “small mid-cap“, ovvero imprese con un numero di dipendenti compreso tra 250 e 750 e con un fatturato annuo non superiore a 150 milioni di Euro, oppure un totale di bilancio inferiore a 129 milioni di Euro che quindi superano i parametri dimensionali delle piccole-medie imprese ma non sono ancora dotate di risorse ed organizzazioni tali da classificarle come grandi imprese. Tali realtà verrebbero quindi catalogate come soggetti importanti ai fini della Direttiva NIS2 riducendo, seppur di poco, i relativi obblighi di compliance.
Particolare attenzione sugli attacchi ransomware
La Proposta inoltre mette in luce i rischi derivanti, in particolare, dagli attacchi ransomware, introducendo quindi regole standardizzate per la segnalazione degli stessi. In tale contesto le entità NIS2 potrebbero quindi essere chiamate a comunicare alle autorità competenti se hanno ricevuto una richiesta di riscatto e da chi, se sia stato effettuato il pagamento con indicazione dell’importo versato ed il metodo di pagamento. Non è chiaro come tali comunicazioni dovranno essere effettuate e se le stesse siano coordinate con gli obblighi di notifica degli incidenti informativi (anche considerando le modifiche di cui alla Digital Omnibus con l’introduzione del c.d. Single Entry Point di cui abbiamo parlato in questo articolo).
Obblighi di rendicontazione così puntuali potrebbero quindi sollevare criticità per le aziende
I prossimi passi
L’iter della Proposta richiederà tempo. Si prevede infatti che la sua adozione definitiva non avverrà prima della fine del 2026 o, più verosimilmente, all’inizio del 2027. Successivamente, gli Stati membri disporranno di un periodo di 12 mesi per recepire le nuove disposizioni nel proprio ordinamento nazionale.
Ciò significa che il tanto auspicato approccio di maggiore uniformità perseguito dalla Proposta non si concretizzerà nell’immediato, ma solo gradualmente nel corso dei prossimi anni. Nel frattempo, le imprese dovranno proseguire nell’implementazione di solidi programmi di compliance NIS2, monitorando al contempo l’evoluzione normativa e preparandosi per tempo ai futuri cambiamenti, in particolare in relazione a standard tecnici, certificazioni e modelli di supervisione transfrontaliera.
About the Author: Giulia Zappaterra
