L’obiettivo è migliorare ulteriormente la resilienza e la capacità di risposta del settore pubblico e privato alle crescenti minacce informatiche.
La direttiva migliorerà la gestione dei rischi e introdurrà obblighi di segnalazione nei settori quali l’energia, i trasporti, la sanità e le infrastrutture digitali. Inoltre, è aggiornato l’elenco delle attività soggette agli obblighi in materia di cibersicurezza e sono introdotte sanzioni che garantiscono un’applicazione efficace.
La direttiva NIS 2 rafforza anche la cooperazione tra le autorità competenti in materia di cibersicurezza di ciascuno Stato membro. A tal fine, sarà creata EU-CyCLONe, la rete europea che sosterrà la gestione coordinata degli incidenti di cibersicurezza su vasta scala.
È introdotta la regola della soglia di dimensione, secondo cui la direttiva è applicata a tutti i soggetti di medie e grandi dimensioni che operano nei settori contemplati dalla direttiva. Sono esclusi dall’ambito di applicazione della direttiva i settori della difesa, la sicurezza nazionale, la pubblica sicurezza, l’attività di contrasto e la giustizia, nonché i parlamenti e le banche centrali.
Inoltre, la direttiva prevede un meccanismo volontario di apprendimento tra pari per lo scambio di buone pratiche ed esperienze che contribuiscono a raggiungere un livello elevato di cibersicurezza.
Il testo deve essere approvato in via definitiva dal Consiglio e dal Parlamento europeo. Una volta entrata in vigore, gli Stati membri avranno due anni di tempo per recepire la direttiva NIS 2 nel diritto nazionale.
Il comunicato del Consiglio può esser consultato al seguente link.