Parigi e Madrid non avrebbero recepito correttamente le norme comunitarie sulla cybersicurezza relative alla NIS2.

La Commissione Europea vorrebbe portare la Francia e la Spagna di fronte alla Corte di Giustizia dell’Unione Europea per non aver adempito correttamente agli obblighi Direttiva Nis2. Qualora attivate, le procedure di infrazione si tradurrebbero in sanzioni economiche da decine di milioni di euro.

Secondo POLITICO, entrambi i Paesi non hanno rispettato la scadenza – fissata per ottobre 2024 – per l’adozione di leggi nazionali che recepissero nei rispettivi ordinamenti giuridici le norme comunitarie. In particolare, quelle relative “alla protezione delle infrastrutture critiche dagli attacchi informatici“.

A rendere ancora più complicata la situazione, il fatto che il mancato rispetto della scadenza sia arrivato nonostante due successivi richiami formali da parte della Commissione. Il deferimento potrebbe arrivare entro la fine dell’anno.

La NIS2 rappresenta uno dei pilastri della strategia europea per la sicurezza informatica. L’obiettivo è aumentare la resilienza delle infrastrutture essenziali contro minacce sempre più sofisticate. Aumentano infatti gli attacchi cyber contro enti pubblici e operatori privati.

Altri Paesi coinvolti

Da Parigi, sottolinea sempre POLITICO, è arrivata la conferma che “il Governo sta già preparando la propria strategia difensiva“. Un rappresentante francese ha infatti dichiarato che il Segretariato generale per gli Affari europei è al lavoro per predisporre la difesa davanti alla Corte.

La Commissione, per altro, aveva già avviato le procedure di infrazione nel novembre 2024 nei confronti dei Paesi che non avevano rispettato la scadenza di recepimento. Successivamente, nel maggio dell’anno seguente, Bruxelles aveva sollecitato nuovamente 19 Paesi membri ad accelerare l’adozione delle norme nazionali. Il deferimento alla Corte rappresenta il passaggio successivo previsto dalla procedura europea.

In ogni caso, la Francia e la Spagna potrebbero non essere gli unici Paesi coinvolti. “La Commissione starebbe infatti valutando azioni analoghe contro altri Governi ancora in ritardo nell’attuazione della direttiva“.

La situazione francese appare particolarmente complessa. Alla fine di aprile Bruxelles aveva già deferito la Francia e altri sei Paesi, tra cui la Spagna, per il mancato recepimento della Direttiva CER (Critical Entities Resilience). Anche questa normativa è relativa alla protezione delle infrastrutture critiche.

Il Governo transalpino aveva programmato di integrare in un unico provvedimento legislativo sia la CER che la NIS2. Tuttavia, il testo ha subito numerosi rinvii e l’approvazione è ora attesa non prima della fine di settembre.

Le competenze della Corte

La Corte di Giustizia dell’Unione Europea emana sentenze giuridicamente vincolanti ed è legittimata ad imporre sanzioni finanziarie per le violazioni degli obblighi comunitari. In alcuni casi, tuttavia, la Corte può concedere ulteriore tempo per conformarsi alle norme.

Al momento la Bruxelles non ha ancora deciso se e in quali termini richiedere formalmente l’applicazione di multe nei confronti dei Paesi in ritardo. Nelle procedure di infrazione di questo tipo, però, la proposta di sanzioni economiche accompagna frequentemente il ricorso presentato davanti alla Corte.

Vai al sito di Cybersecurity Italia.

L'articolo Francia e Spagna non hanno recepito la Nis2. La Commissione UE chiama la Corte di Giustizia sembra essere il primo su CyberSecurity Italia.