Mancato recepimento della NIS2 per 23 Paesi UE: l’Italia questa volta è un passo avanti

La Direttiva NIS2 (Network and Information Systems Directive 2) rappresenta uno degli strumenti più importanti della Commissione Europea per garantire un elevato livello di sicurezza informatica nell’Unione Europea.

Succedendo alla Direttiva NIS del 2016, la NIS2 si pone l’obiettivo di rafforzare la resilienza delle infrastrutture critiche e migliorare la capacità di risposta agli incidenti informatici di tutti gli Stati membri. Essa estende il campo di applicazione ai settori strategici, quali l’energia, i trasporti, la sanità, la gestione dei rifiuti, i servizi postali e digitali, e introduce requisiti più stringenti per le imprese e gli enti pubblici designati come “soggetti NIS”.

Entro il 17 ottobre 2024, gli Stati membri erano obbligati a recepire la NIS2 nei rispettivi ordinamenti giuridici nazionali. Tuttavia, ben 23 paesi non hanno rispettato questa scadenza, portando la Commissione Europea ad avviare procedure di infrazione. In questo contesto, l’Italia emerge come uno dei pochi Stati in regola, dimostrando un impegno tempestivo nel garantire la conformità alle norme europee.

Il 28 novembre 2024, la Commissione Europea ha emesso un comunicato stampa annunciando l’avvio di procedure di infrazione nei confronti di 23 Stati membri per il mancato recepimento della Direttiva NIS2 entro il termine stabilito. Solo quattro Stati, tra cui l’Italia, sono riusciti a rispettare questa scadenza.

 

Quali sono i Paesi che mancano all’appello?

Secondo la Commissione Europea, i Paesi inadempienti sono: Bulgaria, Cechia, Danimarca, Germania, Estonia, Irlanda, Grecia, Spagna, Francia, Cipro, Lettonia, Lussemburgo, Malta, Paesi Bassi, Austria, Polonia, Portogallo, Romania, Slovenia, Slovacchia, Finlandia e Svezia. Questi Stati hanno ricevuto una lettera di messa in mora, primo passo formale della procedura di infrazione, e hanno ora due mesi di tempo per rispondere, adeguarsi alla direttiva e notificare le misure adottate alla Commissione.

 

Che cos’è una procedura di infrazione e quali sono le sue fasi?

La procedura di infrazione è uno strumento utilizzato dall’Unione Europea per garantire che gli Stati membri rispettino il diritto comunitario. Si articola in tre fasi principali:

  1. Messa in mora: la Commissione invia una lettera ufficiale per chiedere chiarimenti e sollecitare l’adempimento.
  2. Parere motivato: se le risposte non sono soddisfacenti, la Commissione emette un parere che spiega dettagliatamente le violazioni rilevate.
  3. Ricorso alla Corte di Giustizia dell’UE (CGUE): in caso di ulteriore inadempienza, la Commissione può adire la CGUE, che ha facoltà di imporre sanzioni pecuniarie e obbligare lo Stato a conformarsi.

Le procedure di infrazione sono fondamentali per assicurare l’applicazione uniforme delle norme europee, proteggere i diritti dei cittadini e garantire il buon funzionamento del mercato unico.

 

L’Italia: un esempio di tempestività e preparazione

L’Italia si distingue come uno dei quattro Stati che hanno recepito la Direttiva NIS2 nei termini previsti. Già a inizio 2024, il Governo italiano aveva avviato i lavori per adeguarsi, culminati con la promulgazione del D.lgs. 138/2024, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024, ben 16 giorni prima della scadenza.

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha inoltre lanciato una piattaforma online dedicata alla NIS2, attraverso la quale tutte le entità designate come “soggetti NIS” dovranno registrarsi entro il 28 febbraio 2025.

 

Perché è cruciale recepire la NIS2?

L’obiettivo principale della NIS2 è rafforzare la sicurezza informatica in tutta l’UE. La direttiva mira a proteggere settori critici e a migliorare la resilienza e le capacità di risposta agli incidenti da parte di enti pubblici e privati. Non adeguarsi significa non solo esporsi a sanzioni, ma anche compromettere la sicurezza collettiva dell’UE e la competitività delle imprese.

In un contesto in cui gli attacchi informatici diventano sempre più sofisticati, l’Italia dimostra che agire in anticipo è non solo possibile, ma necessario per garantire la protezione delle infrastrutture strategiche e del mercato unico europeo.

Condividi