La Commissione Europea ha rinviato Francia, Irlanda, Paesi Bassi e Spagna alla Corte di Giustizia dell’Unione Europea dopo che i quattro paesi non hanno attuato la direttiva sulla cybersecurity NIS2 entro la scadenza richiesta. La direttiva doveva essere trasposta in diritto nazionale entro il 17 ottobre 2024, ma i quattro Stati membri devono ancora completare il processo.
NIS2 è il quadro aggiornato di cybersecurity dell’Unione Europea volto a rafforzare la protezione delle organizzazioni che operano in settori critici. Le regole si applicano a settori come sanità, energia, finanza, trasporti, infrastrutture digitali, amministrazione pubblica e telecomunicazioni, richiedendo alle organizzazioni di adottare misure di cybersecurity più severe e segnalare incidenti informatici significativi.
La Commissione Europea ha affermato che la direttiva è essenziale per migliorare la resilienza sia delle organizzazioni pubbliche che private contro le minacce informatiche. Stabilisce inoltre una cooperazione più stretta tra gli Stati membri dell’UE attraverso la condivisione delle informazioni e la risposta coordinata agli incidenti, introducendo al contempo obblighi più rigorosi di gestione del rischio e rendicontazione per le entità interessate.
Rimandendo i quattro paesi alla più alta corte dell’UE, la Commissione cerca di far rispettare la legislazione sulla cybersicurezza del blocco. Se la Corte di Giustizia si pronuncierà contro gli Stati membri e questi continueranno a ritardare l’attuazione, potrebbero affrontare sanzioni economiche.
La maggior parte degli altri paesi dell’UE ha già adottato una legislazione nazionale che attua la direttiva. I Paesi Bassi, tuttavia, hanno recentemente compiuto progressi dopo che entrambe le camere del parlamento hanno approvato la Legge sulla Cybersecurity del paese, che incorpora i requisiti NIS2 nella legge olandese. La legislazione dovrebbe entrare in vigore il 15 agosto, portando oltre 8.000 organizzazioni olandesi sotto il nuovo quadro di cybersecurity.
Una volta implementato, il NIS2 richiederà alle organizzazioni coperte di rafforzare la governance della cybersecurity, migliorare la sicurezza della catena di approvvigionamento, stabilire procedure di risposta agli incidenti e segnalare incidenti informatici significativi entro i tempi prestabiliti. I dirigenti aziendali potrebbero inoltre affrontare una maggiore responsabilità per la supervisione della cybersecurity secondo i requisiti di governance della direttiva.