16/9/2024

Data:

Direttiva NIS 2: come prepararsi ai nuovi obiettivi di cyber security

La Direttiva NIS 2 rappresenta un ulteriore passo nel percorso di consolidamento e potenziamento degli obiettivi di cyber sicurezza stabiliti dall'UE. Ecco cosa bisogna sapere.

direttiva-nis-2-come-prepararsi-ai-nuovi-obiettivi-di-cyber-security

La Direttiva (UE) 2022/2555, nota come "Direttiva NIS 2", pubblicata a dicembre nella Gazzetta Ufficiale dell'Unione Europea, è entrata in vigore il 17 gennaio 2023 e sarà effettiva in tutta l’Unione Europea dal 17 Ottobre 2024.

Nel frattempo, i soggetti pubblici e privati coinvolti dovranno prepararsi e adeguare le proprie organizzazioni e processi ai nuovi obblighi di sicurezza.

La Direttiva NIS 2 si basa sulla Direttiva (UE) 2016/1148(nota come "Direttiva NIS"), recepita in Italia con il D.lgs. n.65/2018, considerata il primo pilastro della strategia legislativa europea in materia di cybersicurezza.

Questa direttiva stabilisce, fino alla sua abrogazione prevista per il 18 ottobre 2024, obiettivi specifici nel settore, che avrebbero dovuto tradursi nell'adozione coordinata, da parte degli Stati membri, di misure tecniche e organizzative adeguate per rafforzare la sicurezza di reti e sistemi informativi, nonché per migliorare la gestione degli incidenti informatici.

Questi piani, sebbene coerenti sulla carta, hanno rivelato nel tempo significativi limiti, principalmente a causa della rapida digitalizzazione dei processi di un numero crescente di aziende, accelerata anche dalla crisi pandemica. Ciò ha aumentato l’esposizione agli attacchi cibernetici, coinvolgendo nuovi operatori economici divenuti strategici per la sicurezza nazionale dell’UE nel mutato contesto socioeconomico.

Di conseguenza, pur mantenendo gran parte degli obiettivi originari, la Direttiva NIS 2 introduce misure più stringenti e specifiche per la gestione del rischio informatico, la segnalazione e la condivisione di informazioni sugli incidenti di sicurezza, ampliando il numero di settori e soggetti coinvolti rispetto alla precedente Direttiva NIS.

La necessità di una nuova Direttiva: dalla NIS alla NIS 2

A oltre quattro anni e mezzo dal recepimento in Italia (2018) e più di sei anni dalla pubblicazione nella Gazzetta ufficiale dell’Unione Europea (2016), sebbene sia evidente il contributo della Direttiva NIS nell’aumentare la consapevolezza degli Stati membri sulla cyber-sicurezza, non si possono ignorare i numerosi limiti emersi nella sua attuazione. Questi limiti sono stati accentuati non solo dagli eventi recenti che hanno trasformato rapidamente il sistema socioeconomico globale (come il Covid-19) e dalla massiccia adozione di nuove soluzioni e servizi digitali nei processi aziendali, ma anche – e soprattutto – dall’incapacità del legislatore di prevedere le difficoltà legate all'armonizzazione delle disposizioni contenute in tale normativa.

L’ambito di applicazione della Direttiva NIS 2

La Direttiva NIS originale si applica – e continuerà a farlo fino alla sua abrogazione – agli operatori privati che operano in sette settori considerati "essenziali" dall'Unione Europea: energia, trasporti, banche, infrastrutture dei mercati finanziari, acqua potabile, sanità e infrastrutture digitali. A questi si aggiungono i fornitori di servizi digitali, ossia coloro che operano nei settori dell'e-commerce, dei motori di ricerca e del cloud computing.

Partendo da queste premesse e in risposta alle criticità precedentemente evidenziate, il legislatore ha ampliato il quadro degli attori coinvolti, includendo nel campo di applicazione della Direttiva NIS2 ulteriori soggetti operanti in settori definiti “ad alta criticità”, come le acque reflue, la gestione dei servizi ICT (business-to-business), la pubblica amministrazione e lo spazio.

Inoltre, ha introdotto la categoria dei cosiddetti “altri settori critici”, che comprendono:

  • servizi postali e di corriere;
  • gestione dei rifiuti
  • fabbricazione, produzione e distribuzione di sostanze chimiche;
  • produzione, trasformazione e distribuzione di alimenti;
  • fabbricazione di dispositivi medici e diagnostici in vitro;
  • fabbricazione di computer e prodotti di elettronica e ottica;
  • fabbricazione di apparecchiature elettriche;
  • fabbricazione di macchinari e apparecchiature n.c.a.;
  • fabbricazione di autoveicoli, rimorchi e semirimorchi;
  • fabbricazione di altri mezzi di trasporto specifici; 
  • fornitori di servizi digitali;
  • organizzazioni di ricerca.

Va sottolineato, inoltre, che la Direttiva NIS 2 supera l'approccio precedente basato sui concetti di “operatore di servizi essenziali” e “fornitore di servizi digitali”, liberamente individuati dagli Stati membri dell'Unione europea attraverso criteri disomogenei. La nuova direttiva introduce, invece, criteri uniformi per una più coerente e organica identificazione degli operatori pubblici e privati, suddividendoli in due nuove categorie: “soggetti essenziali” e “soggetti importanti”.

In particolare, il legislatore della Direttiva NIS 2 ha scelto di adottare il criterio della dimensione per determinare se un soggetto debba essere considerato essenziale o importante. Tale criterio si applica a tutti i soggetti pubblici o privati operanti nei settori ad “alta criticità” o negli “altri settori critici” che:

  1. forniscano i propri servizi o svolgano le proprie attività all'interno dell'Unione;
  2. siano classificati come medie imprese ai sensi dell’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE, oppure che superino i limiti stabiliti per le medie imprese ai sensi del paragrafo 1 dello stesso articolo.

Oltre al criterio dimensionale, la Direttiva NIS 2 si applica anche ad altre specifiche categorie di soggetti, come i fornitori di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico, i fornitori di servizi di registrazione dei nomi di dominio, alcuni enti della pubblica amministrazione, e i soggetti definiti “critici” dalla Direttiva (UE) 2022/2557, conosciuta come Direttiva CER, anch'essa pubblicata di recente.

Gli Stati membri avranno l'incarico di definire, entro il 17 aprile 2025, un elenco di soggetti essenziali e importanti, che dovrà essere riesaminato e aggiornato almeno ogni due anni. Per la stesura di tale elenco, oltre a soddisfare i criteri di applicabilità già menzionati, gli stessi soggetti interessati saranno tenuti a fornire le informazioni necessarie.

I principali adempimenti della Direttiva NIS 2

La Direttiva NIS 2, come la Direttiva NIS originaria, impone ai soggetti essenziali e importanti di adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi legati alla sicurezza dei sistemi informatici e delle reti utilizzati nelle loro attività o nella fornitura dei loro servizi. Queste misure mirano anche a prevenire o ridurre al minimo l'impatto degli incidenti sui destinatari dei loro servizi e su altri servizi connessi.

Tuttavia, l'approccio della nuova direttiva si basa sul concetto del cosiddetto “multirischio”.

Questa metodologia richiede ai soggetti interessati che le misure tecniche, operative e organizzative includano almeno i seguenti elementi:

  • politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
  • gestione degli incidenti;
  • continuità operativa, come la gestione dei backup, il ripristino in caso di disastro e la gestione delle crisi;
  • sicurezza della catena di approvvigionamento, inclusi gli aspetti di sicurezza legati ai rapporti con fornitori diretti o fornitori di servizi;
  • sicurezza nell'acquisizione, nello sviluppo e nella manutenzione dei sistemi informatici e di rete, comprese la gestione e la divulgazione delle vulnerabilità;
  • strategie e procedure per valutare l'efficacia delle misure di gestione dei rischi di cybersicurezza;
  • pratiche di igiene informatica di base e formazione in materia di cybersicurezza;
  • politiche e procedure relative all'uso della crittografia e, se applicabile, della cifratura;
  • sicurezza delle risorse umane, strategie di controllo degli accessi e gestione degli attivi;
  • utilizzo di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni protette (vocali, video e testuali) e di sistemi di comunicazione di emergenza protetti all'interno dell'organizzazione, se del caso.

Di particolare importanza è anche la disposizione che invita gli Stati membri a prevedere che gli organi di gestione dei soggetti essenziali e importanti approvino le misure di governance dei rischi precedentemente menzionate e ne supervisionino l'attuazione. Gli stessi organi di gestione potrebbero essere ritenuti responsabili in caso di violazione di tale obbligo, qualora ciò venga previsto nella fase di recepimento della direttiva.

Questa previsione sembra allinearsi con quanto già stabilito in Italia nella normativa sul Perimetro di Sicurezza Nazionale Cibernetica, che attribuisce ampie responsabilità personali al cosiddetto “Responsabile dell’attuazione del Perimetro”.

Un ulteriore adempimento fondamentale nel quadro normativo della Direttiva NIS 2 è l'obbligo di segnalazione degli incidenti. Sebbene non rappresenti una vera novità, poiché un simile obbligo era già previsto nella Direttiva NIS originaria, il legislatore europeo, imparando dalle esperienze passate, ha modificato il processo per renderlo più adeguato alla gestione reale di un attacco informatico all'interno di organizzazioni complesse.

In questo contesto, i soggetti coinvolti in qualsiasi "incidente significativo" devono seguire un iter di notifica alle autorità competenti, articolato in più fasi:

  1. un preallarme entro 24 ore dalla conoscenza dell'incidente;
  2. una notifica entro 72 ore dalla conoscenza dell'incidente, che aggiorni, se necessario, le informazioni del preallarme;
  3. una relazione finale entro un mese dalla notifica, il cui contenuto minimo è specificato dal legislatore

Per determinare quando un incidente debba essere considerato significativo, il legislatore stabilisce che si debba valutare se esso:

  1. abbia causato o possa causare una grave interruzione operativa dei servizi o perdite finanziarie per il soggetto interessato;
  2. e/o se si sia ripercosso o possa ripercuotersi su altre persone fisiche o giuridiche, provocando perdite materiali o immateriali considerevoli.

Di particolare rilievo sono anche le misure di vigilanza e di esecuzione, alle quali saranno sottoposti, in misura diversa, i soggetti essenziali e importanti. Queste misure includono audit regolari e mirati sulla sicurezza, scansioni di sicurezza, ispezioni in loco, vigilanza e richieste di informazioni (per i soggetti importanti, solo ex post).

Le sanzioni per la violazione delle misure di gestione dei rischi di cybersecurity o degli obblighi di segnalazione potranno raggiungere un massimo di almeno 10 milioni di euro (ridotti a 7 milioni per i soggetti importanti) o un massimo di almeno il 2% del fatturato mondiale annuo dell'esercizio precedente dell'impresa, ridotto all'1,4% per i soggetti importanti, se superiore.

Come prepararsi all’entrata in vigore della Direttiva NIS 2

La pubblicazione della Direttiva NIS 2, soprattutto se considerata insieme al Regolamento (UE) 2022/2554 (c.d. "DORA") e alla Direttiva (UE) 2022/2557 (c.d. "CER"), evidenzia già oggi la necessità – prima ancora che l'obbligo – di effettuare importanti valutazioni organizzative per tutti i soggetti pubblici e privati che saranno coinvolti dal nuovo quadro regolatorio europeo in materia di cyber security.

Anche se l'abrogazione della Direttiva NIS e il recepimento della nuova Direttiva entreranno in vigore solo a partire dal 18 ottobre 2024, concedendo così un periodo di pianificazione di 21 mesi, è essenziale che i soggetti interessati dalla Direttiva NIS 2 (soprattutto se coinvolti anche dalle altre normative europee recenti) inizino fin da subito a dedicare tempo e risorse per prepararsi al suo recepimento nei processi aziendali.

La recente pubblicazione in Gazzetta ufficiale dell'Unione europea della Direttiva NIS 2 impone già oggi alle imprese e agli enti coinvolti una riflessione immediata sull'armonizzazione delle politiche interne di sicurezza dei sistemi e delle informazioni, della continuità operativa, dei processi di gestione degli incidenti, nonché della sicurezza nell'ambito del procurement e della supply chain.

In sintesi, sarà necessario valutare e, se opportuno, rivedere i principali processi interni di cyber security, adattandoli ai nuovi obiettivi e obblighi di sicurezza, anche attraverso l'adozione dell'approccio "multirischio" introdotto dal legislatore.

Iscriviti alla nostra Newsletter!

Rimani sempre aggiornato e ricevi novità e consigli utili.

Grazie per esserti iscritto alla nostra newsletter.
Ops! Qualcosa è andato storto.

Copyright ©2022 e-cons.it

E-CONS S.R.L.– Via del Lavoro 4 – 35040 Boara Pisani (PD) Tel: 0425-485621 – P.IVA – C.F. – Registro Imprese di Padova N. 01171060294 -PEC: e-cons@legalmail.it – Codice SDI: SUBM70N — Capitale Sociale 25.500 i.v.