SPS_2023

19 competenti a norma della presente Direttiva e le autorità competenti a norma della Direttiva (UE); • un piano, comprendente le misure necessarie, per aumentare il livello ge- nerale di consapevolezza dei cittadini inmateria di cybersecurity. L’Enisa e la Commissione fungono anche da punto di collegamento con il punto di contatto unico nazionale designato tra le autorità competenti e i re- sponsabili della cybersecurity edei compiti di vigilanzadi ogni Statomembro. Per quanto concerne gli obblighi di notifica e segnalazione, l’art.23 evidenzia che ciascuno Stato membro provvederà affinché i soggetti altamente critici e critici notifichino gli incidenti significativi, senza indebito ritardo, al proprio Csirt o,se opportuno,alla propria autorità competente e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente. Inoltre, viene intro- dotto il termine delle 72 ore entro le quali inviare una notifica dell’incidente che,se opportuno,aggiorni le informazioni della prima segnalazione e indichi una valutazione iniziale dell’incidente, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, degli indicatori di compromissione. La nuova normativa applica delle modifiche anche alle condizioni generali per l’imposizione delle sanzioni amministrative pecuniarie ai soggetti interessati. Infine, secondo quanto previsto dall’art.41, entro 21mesi dalla data di entrata in vigore della Direttiva, gli Stati membri sono obbligati ad adottare e pubbli- care lemisure necessarie per conformarsi alla norma. La Direttiva CER Il Consiglio ha anche approvato il testo della Direttiva CER (Critical Entities Resilience), che sostituisce la Direttiva 114/08 sull’identificazione e designa- zione delle Infrastrutture Critiche Europee. La CER va di pari passo con la Direttiva NIS2, riconciliando di fatto il concetto di sicurezza fisica o cinetica, con quello della sicurezza logica o cyber. La NIS2 si occupa infatti della sicurezza cyber delle entità critiche e altamente critiche, mentre la CER della loro resilienza rispetto a minacce cinetiche sia naturali che antropiche, volontarie o involontarie, ivi com- prese le minacce di stampo terroristico. I settori delle potenziali entità critiche sono gli stessi della categoria ‘alta- mente critici’ della NIS2 e cioè: energia, trasporti, banche e mercati finan- ziari, sanità, acqua potabile, acque reflue, infrastrutture digitali (inclusa la gestione di servici ICT), Pubblica Amministrazione, spazio, ai quali si aggiunge la produzione, trasformazione e distribuzione di alimenti, che rientra nella categoria ‘critica’ della NIS2. Questa Direttiva ‘risk based’ fornisce indicazioni sull’identificazione delle entità critiche soprattutto di livello europeo e sulla costituzione di missioni di supporto con la presenza di esperti dello Stato di appartenenza e degli Statimembri dell’Unione interessati dal servizio erogatodall’entità,nonchédi esperti dellaCom- missione per la verifica della messa in opera da parte dell’entità critica delle misure identi- ficate per la garanzia della resilienza. Definisce le misure minime per raggiungere un grado di resilienza e stabilisce procedure comuni per il reporting e la cooperazione tra Stati. Il concetto di infrastruttura diventa materiale, mentre quello di entità è immateriale. L’entità è pubblica o privata, fornisce un servizio essen- White Paper Il Parlamento europeo ha recentemente approvato un nuovo quadro comune in ambito di cybersecurity, emanando la normativa NIS2 e la Direttiva CER Fonte foto shutterstock