Direttiva NIS 2

Nel labirinto delle norme Ue sulla cybersicurezza: come districarsi nella Direttiva NIS2

Come districarsi nella ingarbugliata rete costruita dal legislatore europeo in tema di cybersecurity? Facciamo un po’ di chiarezza sulla Direttiva NIS 2 per supportare addetti ai lavori e realtà pubbliche e private, coinvolte nel processo di aggiornamento normativo, nella propria organizzazione futura in Italia e altrove.

Pubblicato il 15 Mar 2023

Valentina Grazia Sapuppo

Legal, Privacy & Cybersecurity Advisor

Fonte immagine: https://pixabay.com/it/illustrations/sicurezza-informatica-1805632/ - Colori modificati da Valentina Grazia Sapuppo

La Direttiva (UE) 2022/2555[1] del Parlamento Europeo e del Consiglio, nota anche come “NIS 2[2], relativa a “misure per un livello comune elevato di cybersicurezza nell’Unione” è parte di un complesso sistema normativo su temi digitali di cui l’Unione si è dotata al fine di affrontare le minacce informatiche[3], rafforzando l’azione avverso il “deterioramento del contesto di sicurezza a seguito dell’aggressione della Russia contro l’Ucraina e rafforzare la capacità dell’UE di proteggere i suoi cittadini e le sue infrastrutture”[4].

World Economic Forum, Global Risks Perception Survey 2022-2023

In tale complesso quadro regolatorio, infatti, rientrano il Regolamento (UE) 2022/2554[5] Digital Operational Resilience Act – DORA e la relativa Direttiva collegata di armonizzazione di disciplina in Europa[6], nonché la Direttiva (UE) 2022/2557[7] del Parlamento Europeo e del Consiglio, nota anche come “Direttiva CER”, relativa alla “resilienza dei soggetti critici” e il Cyber Resilience Act – CRA[8], la proposta di regolamento sui requisiti di sicurezza informatica per i prodotti con elementi digitali.

EU Cyber Resilience Act

EU Cyber Resilience Act

Guarda questo video su YouTube

Tale impianto, volto ad abrogare previgente la disciplina in materia, è, infine, contornato dalla Raccomandazione del Consiglio[9] del dicembre 2022, relativa ad una “approccio coordinato a livello dell’Unione per rafforzare la resilienza delle infrastrutture critiche”, alla luce delle risultanze emerse dalla Strategia dell’UE per la cybersicurezza del 2020[10].

World Economic Forum, Global Risks Perception Survey 2022-2023

Allianz: The most important business risks in 2023 global 

World Economic Forum, Global Risks Perception Survey 2022-2023

Focalizzando la nostra attenzione sulla Direttiva NIS 2, il Considerando 138 recita che “al fine di garantire un livello comune elevato di cybersicurezza in tutta l’Unione sulla base della presente direttiva, conformemente all’articolo 290 TFUE alla Commissione dovrebbe essere delegato il potere di adottare atti per quanto riguarda l’integrazione della presente direttiva specificando quali categorie di soggetti essenziali e importanti debbano essere tenute ad utilizzare determinati prodotti TIC, servizi TIC e processi TIC certificati o ad ottenere un certificato nell’ambito di un sistema europeo di certificazione della cybersicurezza.”

Cybersecurity comune nell’UE: ecco le ragioni di una NIS2

Ecco, tale specificazione risulta di fondamentale importanza per comprendere uno dei motivi che ha portato a superare l’impianto della Direttiva NIS, ovvero il proposito di superare le differenti scelte legislative messe in atto dai singoli Stati membri, nonché l’ardua scommessa di definire ulteriormente i soggetti a cui la stessa disciplina vorrebbe rivolgersi.

La frammentazione normativa

L’impianto regolatorio della Direttiva NIS 2 risulta particolarmente frammentato. Infatti, la novella sostitutiva della Direttiva NIS, al fine di individuare il proprio ambito di applicazione, fa riferimento a diverse e molteplici fonti europee.

European Cybersecurity Month, ECSM - Get Involved

European Cybersecurity Month, ECSM - Get Involved

Guarda questo video su YouTube

Tale frammentazione normativa è palesemente tradotta già dall’Articolo 2, il quale al comma 1 dispone nei seguenti termini: “la presente direttiva si applica ai soggetti pubblici o privati delle tipologie di cui all’allegato I o II che sono considerati medie imprese ai sensi all’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE[11], o che superano i massimali per le medie imprese di cui al paragrafo 1 di tale articolo, e che prestano i loro servizi o svolgono le loro attività all’interno dell’Unione”.

Il legislatore europeo, in tal modo, però, ha sviluppato una base applicativa che viene tradita dai commi successivi, i quali presentano una serie di deroghe al presupposto dimensionale dei soggetti di riferimento. Infatti, leggiamo al comma 3 che “la presente direttiva si applica ai soggetti, indipendentemente dalle loro dimensioni, identificati come soggetti critici ai sensi della direttiva (UE) 2022/2557” e, al comma 12, che “[…] non si applica ai soggetti che gli Stati membri hanno esentato dall’ambito di applicazione del regolamento (UE) 2022/2554[12] ai sensi dell’articolo 2, paragrafo 4, di tale regolamento”.

Proprio nella individuazione dei soggetti definiti come essenziali e importanti – termine che andrà a sostituire il previgente “infrastrutture critiche” volto a denotare i soggetti a cui la Direttiva NIS avrebbe dovuto applicarsi – tale frammentazione è ulteriormente confermata all’Articolo 3 che, al comma 3, demanda agli Stati membri di definire, entro il 17 aprile 2025, un “elenco dei soggetti essenziali ed importanti, nonché dei soggetti che forniscono servizi di registrazione dei nomi a dominio.” Inoltre, la Direttiva NIS 2 dovrebbe comprendere un’adeguata graduazione dei requisiti basata sul rischio effettivo, compresa la distinzione tra i contesti business-to-business – B2B e business-to-consumer – B2C, in linea con gli ultimi accorgimenti normativi in materia[13]. Probabilmente, essendo l’ambito di applicazione realmente vasto e contorto, nell’intento di chiarire quanto non si è riusciti realmente a definire con la Direttiva NIS, alla Direttiva NIS 2 sono stati aggiunti due allegati che, nell’ individuare i c.d. Settori ad alta criticità e gli Altri settori critici, hanno frammentato ulteriormente la disciplina, rendendo l’attività dell’interprete del diritto ancora più difficoltosa, tenuto conto del fatto che la Direttiva NIS 2 ha incluso anche le infrastrutture digitali – tra cui i provider di servizi di cloud computing as a Service – aaS e di servizi digitali, tra cui sono esplicitamente individuati i provider di motori di ricerca online e di piattaforme di social network – tanto che in molti si stanno interrogando sulla sua possibile applicazione anche ai fornitori di servizi open source[14].

La scelta dello strumento di normazione

Come ogni buona Direttiva che si rispetti, la Direttiva NIS 2, come specificato nell’Articolo 41, comma 1, vede specificato che “entro il 17 ottobre 2024, gli Stati membri adottano e pubblicano le misure necessarie per conformarsi alla presente direttiva. […] Essi applicano tali disposizioni a decorrere dal 18 ottobre 2024. “La scelta dello strumento di normazione, in determinati contesti, risulta essenziale. Infatti, “a differenza dei regolamenti, le direttive si rivolgono esclusivamente agli Stati membri (non a persone fisiche e giuridiche) e non sono immediatamente applicabili negli ordinamenti giuridici interni, ma vincolano gli Stati al raggiungimento di determinati scopi entro un certo limite temporale, lasciando piena libertà quanto alla scelta della forma e dei mezzi da utilizzare (art. 288, comma 3 del Trattato sul funzionamento dell’Unione Europea).”[15]

Il motivo per il quale in tale contesto normativo non è stato possibile ricorrere allo strumento del Regolamento è rinvenibile, pertanto, nell’Articolo 4 del Trattato sull’Unione Europea – TUE[16], ove si legge che “in particolare, la sicurezza nazionale resta di esclusiva competenza di ciascuno Stato membro.”

Senza voler cercare di indagare sulla ratio delle scelte compiute dal Legislatore Europeo, è chiaro che il progetto di frammentare la disciplina del complesso sistema normativo sui temi digitali di cui l’Unione si è dotata al fine di affrontare le minacce informatiche ha portato e porterà effetti a dir poco gravosi in capo agli Stati membri.

La situazione in Italia: dalla Direttiva NIS

Volendo imparare dalla storia al fine di comprendere quali gli scenari possibili di applicazione della Direttiva NIS 2[17], è bene specificare che le sorti di attuazione della Direttiva NIS[18] avrebbero dovuto essere un monito per il Legislatore europeo.

L’oscurità normativa, o l’inadeguatezza dell’impianto caratterizzato da un approccio di alto livello, ha portato gli Stati membri a prendere scelte diversificate per dare attuazione alla Direttiva (UE) 2016/1148. Infatti, come emerge da una analisi di settore, “il recepimento delle NIS è infatti avvenuto in tutte le legislazioni nazionali degli Stati membri dell’Unione Europea. Tuttavia, vi è eterogeneità nel tipo di testi legislativi adottati. Nella maggior parte dei paesi, il recepimento assume la forma di una legge (ventidue paesi), a cui tredici paesi aggiungono almeno un altro testo legislativo (ordinanza, decreto, regolamento, modifica o decisione ministeriale). In due paesi il recepimento delle NIS è avvenuto in ogni legge settoriale, il che aumenta il numero di testi legislativi (quattro o più testi).”[19]

Fonte immagine

World Economic Forum, Global Risks Perception Survey 2022-2023

È bene specificare, però, che sia per le misure di sicurezza a cui si fa riferimento, sia per temi come strutture, gestione degli incidenti, continuità operativa, gli Stati membri si sono rivolti a framework già esistenti, come lo standard ISO/IEC 27001:2013[20] e il CSFT NIST[21].

Immagine che contiene testo Descrizione generata automaticamente

Fonte immagine

In Italia, la Direttiva NIS fu recepita con il D.lgs. del 18 maggio 2018[22], atto da cui è partito il progetto che ha portato alla creazione del c.d. Framework Nazionale per la Cybersecurity e la Data Protection[23], realizzato nel febbraio 2019 dal Cyber Intelligence and Information Security Center dell’Università di Roma, Sapienza e dal Cyber Security National Lab – CINI, con il supporto dell’Autorità garante per la protezione dei dati personali e del Dipartimento delle informazioni per la sicurezza – DIS, il quale, sulla scorta del CSFT NIST[24], dispone una metodologia tutta italiana per realizzare il c.d. cybersecurity assessment.

Nel 2021, però, con Decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81[25], l’Italia ha dimostrato che quanto sino a quel momento implementato a livello normativo non fosse sufficiente. Infatti, nell’Allegato B è facile vedere come è stato necessario adeguare il Framework Nazionale allo specifico contesto operativo delineato dal perimetro di sicurezza nazionale cibernetica, prevedendo ulteriori controlli e misure volte a garantire elevati livelli di sicurezza dei beni ICT, nonché raccomandazioni e specifiche più dettagliate dell’implementazione minima attesa e le modalità richieste al fine di descriverne l’adozione e dimostrarne l’attuazione.

Oggi la situazione è resa ancora più di difficile interpretazione e attuazione, tenuto conto che un altro attore ha il potere di pronunciarsi sui temi di nostro interesse, l’Agenzia per la Cybersicurezza Nazionale – ACN[26], la quale ha il potere di emanare Determine, come l’ultima in merito alla tassonomia degli attacchi,[27] in linea con quanto stabilito dal DPCM 30 luglio 2020, n. 131[28], dal D.L. 21 settembre 2019, n. 105, convertito, con modificazioni, dalla Legge 18 novembre 2019, n. 133[29], dal Decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81[30] e dal D.L. 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109[31].

Possibili scenari futuri

Gli Stati membri, reduci da un quadro normativo abbastanza confuso portato già dalla Direttiva NIS[32], oggi si trovano ad affrontare una delle sfide più audaci mai viste.

Dalla analisi condotta, pertanto, emerge come la frammentazione normativa e l’utilizzo di uno strumento diverso dal Regolamento (UE) ha comportato, in alcuni casi, che gli Stati membri si rifacessero agli standard internazionali e, in altri casi, che gli stessi realizzassero una serie di interventi normativi che danno adito a delle manovre di vera e propria superfetazione normativa.

Innanzi ad una mole di atti diversificati che caratterizzano gli ultimi anni del panorama normativo europeo, che vanno dal Data Act[33] e dal Data Governance Act[34] al Digital services Act package[35] e il Cyber Resilience Act – CRA[36], volti a definire una strategia europea per i dati[37] e una bussola strategica per la sicurezza e la difesa dell’UE[38], ci si domanda se realmente i termini stabiliti per l’implementazione del nuovo assetto normativo riusciranno ad essere rispettati, mettendo a terra una disciplina davvero armonizzata e concreta, che non si traduca nel mero confezionamento di adempimenti documentali[39] e che, soprattutto, supporti il territorio comunitario innanzi a sfide come quella, abbastanza grave e ingiustificabile, che ha visto in tantissimi pronti a dover difendersi dall’attacco sferrato verso decine di sistemi nazionali[40] e come quelle riportate nel corso dell’ultimo anno da ENISA[41] e CLUSIT[42].

Immagine che contiene tavolo Descrizione generata automaticamente

Allianz Risk Barometer

Allianz Risk Barometer

#PowerYourCyber: Preventing ransomware attacks - Prepare for the ransomware rush hour

#PowerYourCyber: Preventing ransomware attacks - Prepare for the ransomware rush hour

Guarda questo video su YouTube

Agenzia per la Cybersicurezza Nazionale – ACN, sito ufficiale visionabile al link: https://www.acn.gov.it/

Agenzia per la Cybersicurezza Nazionale, Determina 3 gennaio 2023, Tassonomia degli incidenti che debbono essere oggetto di notifica, visionabile al link:

https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2023-01-10&atto.codiceRedazionale=23A00114&elenco30giorni=false

ANSA, Agenzia per la cybersicurezza, massiccio attacco hacker in corso. Compromessi migliaia di server, Compromessi decine di sistemi nazionali. La prima ad accorgersi dell’attacco è stata la Francia, visionabile al link: https://www.ansa.it/sito/notizie/economia/2023/02/05/agenzia-cyber-massiccio-attacco-hacker-in-corso_453b24d2-5a1b-46f8-9e18-1d070a768b05.html

Cesarone, G., Formazione al cyber in azienda: ecco come farla bene, Agenda Digitale.EU, https://www.agendadigitale.eu/sicurezza/la-formazione-antidoto-per-la-cybersicurezza-in-azienda-ecco-come-farla-bene/

Clusit, Rapporto Clusit – Edizione di ottobre 2022, visionabile al seguente link: https://clusit.it/rapporto-clusit/

Commissione Europea, Cyber Defense: EU boosts action against cyber threats, sito raggiungibile al seguente link: https://ec.europa.eu/commission/presscorner/detail/en/IP_22_6642

Commissione Europea, Proposta di Regolamento del Parlamento Europeo e del Consiglio riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo (normativa sui dati), visionabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:52022PC0068&from=EN

Commissione Europea, Shaping Europe’s digital future, The Digital Services Act package, visionabile al seguente link: https://digital-strategy.ec.europa.eu/en/policies/digital-services-act-package

Commissione Europea, Strategia europea in materia di dati, visionabile al link: https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_it

Commissione Europea, Tutela dei consumatori: pratiche di manipolazione online riscontrate in 148 negozi online su 399 controllati, visionabile al link: https://italy.representation.ec.europa.eu/notizie-ed-eventi/notizie/tutela-dei-consumatori-pratiche-di-manipolazione-online-riscontrate-148-negozi-online-su-399-2023-01-30_it

Commissione Europea, Cyber Resilience Act, Proposta e Allegati visionabili al seguente link: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act

Consiglio dell’UE e del Consiglio europeo, Una bussola strategica per una sicurezza e una difesa dell’UE più forti nel prossimo decennio, visionabile al seguente link: https://www.consilium.europa.eu/en/press/press-releases/2022/03/21/a-strategic-compass-for-a-stronger-eu-security-and-defence-in-the-next-decade/

Consiglio dell’UE e del Consiglio europeo, Cybersicurezza: la risposta dell’UE alle minacce informatiche, pagina raggiungibile al seguente link:

https://www.consilium.europa.eu/it/policies/cybersecurity/#:~:text=La%20strategia%20dell’UE%20in,capacit%C3%A0%20in%20materia%20di%20ciberdifesa

Council of the EU and European Council, Cybersecurity: how the EU tackles cyber threats, ove è possibile prendere visione della strategia europea in materia di cybersecurity, sito raggiungibile al seguente link: https://www.consilium.europa.eu/en/policies/cybersecurity/

Cyber Intelligence and Information Security Center dell’Università di Roma, Sapienza e dal Cyber Security National Lab – CINI, Framework Nazionale per la Cybersecurity e la Data Protection e Metodologia per il cybersecurity assessment, visionabile al seguente link: https://www.cybersecurityframework.it/

D.lgs. 18 maggio 2018, n. 65 – Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. (18G00092) (GU Serie Generale n.132 del 09-06-2018), visionabile al seguente link: https://www.gazzettaufficiale.it/eli/id/2018/06/09/18G00092/sg

Decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante «Disposizioni urgenti in materia di peri- metro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica», visionabile al seguente link:

https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2019-11-20&atto.codiceRedazionale=19A07310&elenco30giorni=false

Decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131, recante «Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell’art. 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133», visionabile al link: https://www.gazzettaufficiale.it/eli/id/2020/10/21/20G00150/sg

Decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81, Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all’articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza. (21G00089), visionabile al seguente link: https://www.gazzettaufficiale.it/eli/id/2021/06/11/21G00089/sg

Decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale», visionabile al link: https://www.gazzettaufficiale.it/eli/id/2021/06/14/21G00098/sg

Direttiva (UE) 2016/1148 del Parlamento Europeo e del Consiglio del 6 luglio 2016 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, visionabile al seguente link:

https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016L1148&from=ES

Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (Testo rilevante ai fini del SEE), testo consultabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555

Direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario, testo consultabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=OJ:L:2022:333:FULL&from=EN

Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, del Parlamento europeo e del Consiglio relativa alla resilienza dei soggetti critici e che abroga la direttiva2008/114/CE del Consiglio, testo consultabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=OJ:L:2022:333:FULL&from=EN

Enciclopedia Treccani, Direttive. Diritto dell’Unione Europea, visionabile al seguente link: https://www.treccani.it/enciclopedia/direttive-diritto-dell-unione-europea

ENISA, Cyber Europe 2022: After Action Report, visionabile al link: https://www.enisa.europa.eu/publications/cyber-europe-2022-after-action-report

Fabiano, N., Direttiva UE NIS 2: si applica a chiunque fornisca anche gratuitamente servizi digitali online? visionabile al seguente link: https://notes.nicfab.eu/it/posts/nis2/

Franchina, L., NIS 2 approvata: gli effetti su aziende e PA, Agenda Digitale.EU, https://www.agendadigitale.eu/sicurezza/nis-2-approvata-gli-effetti-su-aziende-e-pa/

ISO/IEC 27001:2013, Information technology — Security techniques — Information security management systems — Requirements, visionabile al seguente link: https://www.iso.org/standard/54534.html

Lefebvre, N., En pleine préparation de la NIS V2, mise à jour du tour d’horizon européen de transposition de la directive NIS par les états membres… vers une convergence?, visionabile al link: https://www.riskinsight-wavestone.com/2021/09/while-preparing-the-nis-2-update-of-the-european-overview-of-nis-transposition-by-the-member-states-toward-convergence/

Marino, G., Cybersecurity comune nell’UE: ecco le ragioni di una NIS2, Agenda Digitale.EU, https://www.agendadigitale.eu/sicurezza/cybersecurity-comune-nellue-ecco-le-ragioni-di-una-nis2/

National Institute of Standard and Technology – NIST, Cybersecurity Framework, visionabile al seguente link: https://www.nist.gov/cyberframework

Regolamento (UE) 2022/2554 del Parlamento Europeo e del Consiglio del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011, visionabile al seguente link:

https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022R2554

Proposta di Regolamento del Parlamento Europeo e del Consiglio relativa alla governance europea dei dati (Atto sulla governance dei dati), visionabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:52020PC0767&from=EN

Raccomandazione della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (Testo rilevante ai fini del SEE) [notificata con il numero C(2003) 1422], visionabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32003H0361

Raccomandazione del Consiglio dell’Unione Europea dell’8 dicembre 2022 su un approccio coordinato a livello dell’Unione per rafforzare la resilienza delle infrastrutture critiche, testo consultabile al seguente link:

http://images.dirittounioneeuropea.eu/f/sentenze/documento_4Sd4I_DUE.pdf

Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (Testo rilevante ai fini del SEE), testo consultabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022R2554

Trattato sull’Unione Europea – Versione Consolidata, visionabile al seguente link: https://eur-lex.europa.eu/resource.html?uri=cellar:2bf140bf-a3f8-4ab2-b506-fd71826e6da6.0017.02/DOC_1&format=PDF

Zappaterra, G., Direttiva NIS2 approvata: i nuovi obblighi di cyber sicurezza per le aziende, Agenda Digitale.EU, visionabile al link: https://www.agendadigitale.eu/sicurezza/direttiva-nis2-approvata-i-nuovi-obblighi-di-cyber-sicurezza-per-le-aziende/

  1. Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (Testo rilevante ai fini del SEE), testo consultabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555
  2. Per un maggiore approfondimento sulla Direttiva NIS 2, vedasi: Franchina, L., NIS 2 approvata: gli effetti su aziende e PA, Agenda Digitale.EU, https://www.agendadigitale.eu/sicurezza/nis-2-approvata-gli-effetti-su-aziende-e-pa/
  3. Council of the EU and the European Council, Cybersecurity: how the EU tackles cyber threats, ove è possibile prendere visione della strategia europea in materia di cybersecurity, sito raggiungibile al seguente link: https://www.consilium.europa.eu/en/policies/cybersecurity/
  4. Nostra traduzione, fonte: Commissione europea, Cyber Defense: EU boosts action against cyber threats, sito raggiungibile al seguente link: https://ec.europa.eu/commission/presscorner/detail/en/IP_22_6642
  5. Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (Testo rilevante ai fini del SEE), testo consultabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022R2554
  6. Direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario, testo consultabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=OJ:L:2022:333:FULL&from=EN
  7. Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, del Parlamento europeo e del Consiglio relativa alla resilienza dei soggetti critici e che abroga la direttiva2008/114/CE del Consiglio, testo consultabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=OJ:L:2022:333:FULL&from=EN
  8. Commissione europea, Cyber Resilience Act, Proposta e Allegati visionabili al seguente link: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
  9. Raccomandazione del Consiglio dell’Unione europea dell’8 dicembre 2022 su un approccio coordinato a livello dell’Unione per rafforzare la resilienza delle infrastrutture critiche, testo consultabile al seguente link: http://images.dirittounioneeuropea.eu/f/sentenze/documento_4Sd4I_DUE.pdf
  10. COMUNICAZIONE CONGIUNTA AL PARLAMENTO EUROPEO E AL CONSIGLIO La strategia dell’UE in materia di cybersicurezza per il decennio digitale, JOIN/2020/18 final visionabile ai seguenti link: https://eur-lex.europa.eu/legal-content/IT/ALL/?uri=JOIN:2020:18:FINhttps://www.consilium.europa.eu/it/policies/cybersecurity/#:~:text=La%20strategia%20dell’UE%20in,capacit%C3%A0%20in%20materia%20di%20ciberdifesa
  11. Raccomandazione della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (Testo rilevante ai fini del SEE) [notificata con il numero C(2003) 1422], visionabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32003H0361
  12. Regolamento (UE) 2022/2554 del Parlamento Europeo e del Consiglio del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011, visionabile al seguente link:https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022R2554
  13. Commissione Europea, Tutela dei consumatori: pratiche di manipolazione online riscontrate in 148 negozi online su 399 controllati, visionabile al link: https://italy.representation.ec.europa.eu/notizie-ed-eventi/notizie/tutela-dei-consumatori-pratiche-di-manipolazione-online-riscontrate-148-negozi-online-su-399-2023-01-30_it
  14. Fabiano, N., Direttiva UE NIS 2: si applica a chiunque fornisca anche gratuitamente servizi digitali online?, visionabile al seguente link: https://notes.nicfab.eu/it/posts/nis2/
  15. Enciclopedia Treccani, Direttive. Diritto dell’Unione Europea, visionabile al seguente link: https://www.treccani.it/enciclopedia/direttive-diritto-dell-unione-europea
  16. Trattato sull’Unione europea – Versione Consolidata, visionabile al seguente link: https://eur-lex.europa.eu/resource.html?uri=cellar:2bf140bf-a3f8-4ab2-b506-fd71826e6da6.0017.02/DOC_1&format=PDF
  17. Per ulteriori approfondimenti si veda, Zappaterra, G., Direttiva NIS2 approvata: i nuovi obblighi di cyber sicurezza per le aziende, Agenda Digitale.EU, visionabile al link: https://www.agendadigitale.eu/sicurezza/direttiva-nis2-approvata-i-nuovi-obblighi-di-cyber-sicurezza-per-le-aziende/
  18. Per ulteriori approfondimenti, vedasi: Marino, G., Cybersecurity comune nell’UE: ecco le ragioni di una NIS2, Agenda Digitale.EU, https://www.agendadigitale.eu/sicurezza/cybersecurity-comune-nellue-ecco-le-ragioni-di-una-nis2/
  19. Lefebvre, N., En pleine préparation de la NIS V2, mise à jour du tour d’horizon européen de transposition de la directive NIS par les états membres… vers une convergence?, visionabile al link: https://www.riskinsight-wavestone.com/2021/09/while-preparing-the-nis-2-update-of-the-european-overview-of-nis-transposition-by-the-member-states-toward-convergence/
  20. ISO/IEC 27001:2013, Information technology — Security techniques — Information security management systems — Requirements, visionabile al seguente link: https://www.iso.org/standard/54534.html
  21. National Institute of Standard and Technology – NIST, Cybersecurity Framework, visionabile al seguente link: https://www.nist.gov/cyberframework
  22. D.lgs. 18 maggio 2018, n. 65 – Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. (18G00092) (GU Serie Generale n.132 del 09-06-2018), visionabile al seguente link: https://www.gazzettaufficiale.it/eli/id/2018/06/09/18G00092/sg
  23. Cyber Intelligence and Information Security Center dell’Università di Roma, Sapienza e dal Cyber Security National Lab – CINI, Framework Nazionale per la Cybersecurity e la Data Protection e Metodologia per il cybersecurity assessment, visionabile al seguente link: https://www.cybersecurityframework.it/
  24. National Institute of Standard and Technology – NIST, Cybersecurity Framework, visionabile al seguente link: https://www.nist.gov/cyberframework
  25. Decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81, Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all’articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza. (21G00089), visionabile al seguente link: https://www.gazzettaufficiale.it/eli/id/2021/06/11/21G00089/sg
  26. Agenzia per la Cybersicurezza Nazionale – ACN, sito ufficiale visionabile al link: https://www.acn.gov.it/
  27. Per ultimo, Agenzia per la Cybersicurezza Nazionale, Determina 3 gennaio 2023, Tassonomia degli incidenti che debbono essere oggetto di notifica, visionabile al link: https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2023-01-10&atto.codiceRedazionale=23A00114&elenco30giorni=false
  28. Decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131, recante «Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell’art. 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133», visionabile al link: https://www.gazzettaufficiale.it/eli/id/2020/10/21/20G00150/sg
  29. Decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante «Disposizioni urgenti in materia di peri- metro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica», visionabile al seguente link: https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2019-11-20&atto.codiceRedazionale=19A07310&elenco30giorni=false
  30. Decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81, recante «Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all’art. 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza», visionabile al link: https://www.gazzettaufficiale.it/eli/id/2021/06/11/21G00089/sg
  31. Decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale», visionabile al link: https://www.gazzettaufficiale.it/eli/id/2021/06/14/21G00098/sg
  32. Direttiva (UE) 2016/1148 del Parlamento Europeo e del Consiglio del 6 luglio 2016 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, visionabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016L1148&from=ES
  33. Commissione Europea, Proposta di Regolamento del Parlamento Europeo e del Consiglio riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo (normativa sui dati), visionabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:52022PC0068&from=EN
  34. Proposta di Regolamento del Parlamento Europeo e del Consiglio relativa alla governance europea dei dati (Atto sulla governance dei dati), visionabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:52020PC0767&from=EN
  35. Commissione Europea, Shaping Europe’s digital future, The Digital Services Act package, visionabile al seguente link: https://digital-strategy.ec.europa.eu/en/policies/digital-services-act-package
  36. Commissione Europea, Cyber Resilience Act, Proposta e Allegati visionabili al seguente link: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
  37. Commissione Europea, Strategia europea in materia di dati, visionabile al link: https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_it
  38. Consiglio dell’UE e del Consiglio europeo, Una bussola strategica per una sicurezza e una difesa dell’UE più forti nel prossimo decennio, visionabile al seguente link: https://www.consilium.europa.eu/en/press/press-releases/2022/03/21/a-strategic-compass-for-a-stronger-eu-security-and-defence-in-the-next-decade/
  39. Cesarone, G., Formazione al cyber in azienda: ecco come farla bene, Agenda Digitale.EU, https://www.agendadigitale.eu/sicurezza/la-formazione-antidoto-per-la-cybersicurezza-in-azienda-ecco-come-farla-bene/
  40. ANSA, Agenzia per la cybersicurezza, massiccio attacco hacker in corso. Compromessi migliaia di server, Compromessi decine di sistemi nazionali. La prima ad accorgersi dell’attacco è stata la Francia, visionabile al link: https://www.ansa.it/sito/notizie/economia/2023/02/05/agenzia-cyber-massiccio-attacco-hacker-in-corso_453b24d2-5a1b-46f8-9e18-1d070a768b05.html
  41. ENISA, Cyber Europe 2022: After Action Report, visionabile al link: https://www.enisa.europa.eu/publications/cyber-europe-2022-after-action-report
  42. Clusit, Rapporto Clusit – Edizione di ottobre 2022, visionabile al seguente link: https://clusit.it/rapporto-clusit/

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3