Chi ha tempo, non perdi tempo; o dovremmo dire meglio, non c’è proprio più tempo. É così che la Commissione europea con un comunicato stampa del 28 novembre 2024, ha invitato quegli Stati membri, ben 23, che non hanno ancora recepito ad oggi la Direttiva NIS2, avviando una procedura di infrazione. Vediamo cosa significa tutto ciò.
Indice degli argomenti
Obbligo di recepimento della NIS2: chi manca all’appello
Gli Stati membri, come arcinoto, dovevano recepire la direttiva NIS2 all’interno del proprio sistema Paese, entro e non oltre la data del 17 ottobre 2024.
Siamo a fine novembre (2024) e, a quanto pare, sono ancora tanti gli Stati che non si sono adeguati. A renderlo noto è la Commissione europea, la quale ha inviato una formale “lettera di costituzione in mora” con cui invita Bulgaria, Cechia, Danimarca, Germania, Estonia, Irlanda, Grecia, Spagna, Francia, Cipro, Lettonia, Lussemburgo, Ungheria, Malta, Paesi Bassi, Austria, Polonia, Portogallo, Romania, Slovenia, Slovacchia, Finlandia e Svezia, ad adeguarsi prontamente alla NIS2 pena il prosieguo della procedura di infrazione.
Procedura di infrazione: che cos’è, e l’avvio
Una procedura d’infrazione è una “diffida (ad adempiere)” che la UE, attraverso la Commissione Europea, invia a uno Stato membro quando non sta rispettando le regole.
Essa si avvia quando si ritiene che uno Stato membro abbia mancato di attuare una norma europea ed è proprio questo il caso cioè nella misura in cui un Paese non abbia convertito una direttiva in legge nazionale, entro il termine stabilito.
Ma non solo, una procedura di infrazione può essere avviata anche allorquando uno Stato membro abbia applicato una norma europea in modo errato, nel senso che l’interpretazione o l’applicazione di una norma, da parte di uno Stato, sia in (palese) contrasto con il diritto della Unione, ovvero in contrasto.
La procedura si svolge in diverse fasi:
- Fase I, missiva formale con messa in mora, chiedendo chiarimenti sulla presunta violazione.
- Fase II, parere motivato, qualora lo Stato non fornisca risposte soddisfacenti, allora la Commissione può inviare un parere motivato, in cui espone le ragioni per cui ritiene che ci sia stata una violazione.
- Fase III, ricorso alla Corte di Giustizia, nella misura in cui lo Stato membro non adotti le misure necessarie per porre rimedio alla situazione, la Commissione potrà ricorrere alla Corte di Giustizia dell’Unione Europea – CGUE. A quel punto, la Corte può condannare lo Stato a rispettare il diritto europeo e, in caso di persistente inadempimento, ha la facoltà di irrogare sanzioni pecuniarie, con quanto per conseguenza e non solo in termini squisitamente monetari.
Naturalmente, le procedure d’infrazione sono importanti in quanto costituiscono uno strumento fondamentale per garantire l’uniforme applicazione del diritto europeo, oltre a una piena de globale conformità normativa, in tutti gli Stati membri, contribuendo da un lato a proteggere i diritti dei cittadini, dall’altro a garantire il buon funzionamento del mercato unico, e dall’altro ancora a rafforzare un sostanziale meccanismo di coesione europea, promuovendo la cooperazione tra gli Stati alla luce di un assoluto rispetto di valori comuni.
Mancato recepimento della NIS2: cosa succede ora
Dopo aver spiegato brevemente come funziona una procedura di infrazione, chiediamoci cosa succederà adesso.
A spiegarlo bene è sempre la Commissione nella nota in questione: “i 23 Stati membri [chiamati all’appello e diffidati], hanno tempo [soli] due mesi per rispondere, completarne il recepimento e notificare le loro misure alla Commissione”. In caso contrario, ie in mancanza di una risposta soddisfacente, la Commissione potrà decidere di emettere un parere motivato (fase II) e poi eccetera (v. sopra).
Obbligo di recepimento della NIS2: l’Italia è avanti in UE
L’Italia è stata tra le prime a recepire la Direttiva NIS2. Già da inizio anno (2024) il nostro Governo ha iniziato con i lavori preparatori a darsi da fare per recepire questa nuova normativa, promulgando quello che oggi è diventato D.lgs. 138/2024, pubblicato nella Gazzetta Ufficiale del 1 ottobre 2024, con 16 giorni di anticipo dalla scadenza fissata.
Nel frattempo, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha presentato la piattaforma online NIS2 per l’avvio degli adeguamenti e sulla quale dovranno, appunto, registrarsi dal primo dicembre 2024 ed entro il 28 febbraio 2025 tutte le entità pubbliche e private designate come “soggetti NIS”.
Oltre a noi anche il Belgio, l’Ungheria, e l’Austria sono gli (unici) Stati che, ad oggi, hanno recepito, nei termini previsti, la Direttiva NIS2.
Ricordiamo ancora una volta lo scopo della NIS2, come d’altra parte ben sottolinea la Commissione in questa nota in commento: “garantire un elevato livello di cibersicurezza in tutta l’UE” rammentandovi il perimetro soggettivo di applicazione: vi rientrano tutti quei soggetti che “operano in settori critici quali i servizi pubblici di comunicazione elettronica, la gestione dei servizi TIC, i servizi digitali, la gestione delle acque reflue e dei rifiuti, lo spazio, la sanità, l’energia, i trasporti, la fabbricazione di prodotti critici, i servizi postali e di corriere e la pubblica amministrazione”.
Perché è importante adeguarsi alla NIS2
È, dunque, importante adeguarsi alla NIS2 recependo la omonima direttiva non solo per evitare la procedura di infrazione, con quanto sopra rappresentato, ma anche nell’ottica in cui, dice la Commissione, “per migliorare ulteriormente la resilienza e le capacità di risposta agli incidenti dei soggetti pubblici e privati che operano in questi settori critici e dell’UE nel suo complesso”.
Un validissimo motivo per non aspettare un minuto di più.
