Privacy e sicurezza nari e attrezzature, autoveicoli, rimorchi e semirimorchi e altri mezzi di trasporto; fornitori digitali (compresi mercati online, motori di ricerca online e piattaforme di servizi di social networking). Un punto su cui si è concentrata la discussione parlamentare è stata la proposta della Commissione per l’esplicita inclusione dei root server, contestata in quanto in contrasto con l’adesione dell’Unione ai principi libertari di governance di internet. Nonostante fossero inclusi nella proposta della Commissione, sotto la spinta di Consiglio e Parlamento si vedono escluse nel testo finale anche le entità che svolgono attività in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza, le forze dell’ordine e il sistema giudiziario. Anche i parlamenti e le banche centrali sono esclusi dal campo di applicazione. L’obbligo di segnalazione L’obbligo di segnalazione degli incidenti è uno degli aspetti fondamentali della Direttiva NIS2. La Direttiva NIS1 aveva già introdotto, nel caso di incidenti informatici che abbiano un impatto sulla continuità e fornitura del servizio, stringenti obblighi di notifica alle autorità competenti. La nuova direttiva prevede un approccio in più fasi alla segnalazione degli incidenti. Le imprese interessate hanno 24 ore dal momento in cui vengono a conoscenza di un incidente per inviare un allarme preventivo al CSIRT o all’autorità nazionale competente che consentirebbe loro anche di chiedere assistenza (orientamento o consulenza operativa sull’attuazione di eventuali misure di mitigazione). L’allerta precoce dovrebbe essere seguita da una notifica dell’incidente entro le 72 ore dalla presa di coscienza dell’incidente e da un rapporto finale non oltre un mese dopo. Il testo originario della Commissione prevedeva un obbligo di notifica “semplice”, entro le 24 ore dall’incidente. Durante la discussione parlamentare, tale periodo di notifica è stato esteso entro le 72 ore. Questa estensione è in linea con le richieste del settore privato che ha considerato l’obblimarzo/aprile 2023 31 Tabella 1 Variazioni negli obblighi di notifica degli incidenti negli Stati membri Paese Tempi di segnalazione degli incidenti OES Tempi di segnalazione degli incidenti DSP Austria Entro 3 ore, 6 ore, 12 ore o 24 ore a seconda del settore. Belgio Bulgaria 2 ore dal verificarsi dell’incidente. Un rapporto completo deve essere presentato entro 5 giorni dal termine. Croazia Cipro Entro 6 ore o appena possibile. Senza indebito ritardo. Repubblica Ceca Danimarca Estonia Entro 24 ore. Finlandia Francia Germania Subito. Grecia Ungheria Immediatamente (incidenti straordinari). Irlanda Italia Entro 24 ore. Subito. Lettonia Entro 4 ore o appena possibile. Entro 4 ore o appena possibile. Lituania Entro 1 ora, 4 ore o 24 ore a seconda Senza indebito ritardo. dell’impatto dell’incidente. Lussemburgo Malta Senza indebito ritardo. Olanda Subito. Senza indebito ritardo. Polonia Entro 24 ore. Entro 24 ore. Portogallo Entro 2 ore. Romania Slovacchia Segnala immediatamente qualsiasi grave Senza indebito ritardo. incidente di sicurezza informatica Slovenia Subito. Spagna Entro 24 ore. Svezia Entro 6 ore. Entro 6 ore. UK Entro 72 ore. Senza indebito ritardo. Fonte: NIS Implementation Tracker, marzo. Disponibile su: www.digitaleurope.org/resources/nis-implementation-tracker/
RkJQdWJsaXNoZXIy MTA3MTUxMQ==