Gli ultimi anni sono segnati da un incremento esponenziale dei rischi cyber e tale tema è sempre più importante per i governi di tutto il mondo.
Nel 2016 l’Unione Europea ha emanato la direttiva NIS 2016/1148 (recepita in Italia con il D. Lgs. N. 65/2018) al fine di fornire un elevato livello di sicurezza delle reti e delle informazioni comune a tutti i Paesi membri. Dunque, dato che le minacce informatiche sono sempre più sofisticate e invasive, è stata emanata la direttiva NIS2, n. 2022/2555, come aggiornamento del primo atto legislativo in materia di cybersecurity adottato dall’Unione.
La direttiva NIS2 (Network and Information Security Directive) è conforme alla direttiva risk based sulla resilienza delle entità critiche (CER- Resilience of Critical Entities) e con il regolamento sulla resilienza operativa digitale per il settore finanziario (DORA-Digital Operational Resilience Act).
La nuova direttiva vuole essere strumento volto ad aumentare i sistemi di sicurezza. Rispetto alla direttiva NIS1, che dispone obblighi troppo generici, la NIS2 vuole definire e rafforzare tali clausole, rimuovere le divergenze nei requisiti e nell’attuazione delle misure nei diversi Stati membri, e ampliare il numero di società e settori che devono renderne conto.
Dopo una serie di riunioni del consiglio europeo, una consultazione pubblica (OPC), l’analisi ENISA sugli investimenti in cybersecurity (“NIS investments report”) e l’analisi di Impatto, il 16 dicembre 2020 è stata proposta la NIS2. Le verifiche e l’iter legislativo sono terminati il 28 novembre 2022 e il Consiglio Europeo si è trovato a votare per l’adozione di tale direttiva.
Le principali novità introdotte dalla NIS2 sono:
- regole per un’efficace cooperazione tra le autorità competenti in ciascuno Stato membro;
- la EU-CyCLONe, rete europea di organizzazioni di collegamento per le crisi informatiche al fine di supportare la gestione coordinata degli incidenti di sicurezza informatica su larga scala e raggiungere un elevato livello comune di cybersicurezza;
- un elenco dettagliato di misure tecniche, operative e organizzative adeguate a ciascun settore per gestire i rischi;
- gli obblighi di notifica al CSIRT o alle autorità competenti. Un incidente viene considerato significativo anche se ha solo il potenziale di causare un danno. Dal momento in cui l’entità viene a conoscenza dell’incidente, ha l’obbligo di notifica entro 24 ore.
Gli obiettivi della direttiva NIS2 sono essenzialmente tre:
- aumentare il livello di resilienza informatica di un insieme completo di imprese che operano nell’UE in tutti i settori pertinenti, mediante l’adozione di norme e adeguate misure di sicurezza informatica;
- ridurre le incertezze nella resilienza nel mercato interno nei settori contemplati dalla direttiva, allineando l’ambito di applicazione, i requisiti di sicurezza e di segnalazione degli incidenti, le disposizioni che disciplinano la vigilanza, l’esecuzione nazionali e le capacità delle autorità competenti pertinenti degli Stati membri;
- migliorare il livello di consapevolezza comune e la capacità collettiva di prepararsi a rispondere adottando misure per aumentare il livello di fiducia tra le autorità competenti condividendo maggiori informazioni e stabilendo regole e procedure in caso di incidente o crisi su vasta scala.
Eliminando la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali del precedente testo legislativo, la direttiva NIS2 distingue enti “essenziali” ed enti “importanti”, con differenti regimi di vigilanza e applicazione delle norme. Per esempio, le sanzioni aumentano per gli “essenziali” fino a 10 milioni di euro, o 2% del fatturato, e per gli “importanti” fino a 7 milioni di euro, o 1,4% del fatturato. Se un incidente informatico ha comportato anche un data breach ai sensi del GDPR, da cui ne deriva una sanzione, le sanzioni amministrative previste dalla direttiva non sono applicabili.
Oltre ai settori compresi nella NIS1, ossia quello dei trasporti (aerei, ferroviari, marittimi, stradali), delle Banche, delle Infrastrutture del mercato finanziario, della Salute, dell’ Infrastruttura digitale (fornitori di servizi di data center, fornitori di reti per la distribuzione di contenuti, fornitori di servizi fiduciari, fornitori di reti pubbliche di comunicazione elettronica e servizi di comunicazione elettronica disponibili al pubblico), il nuovo quadro normativo si rivolge anche ai settori delle Acque Reflue, della Gestione dei servizi ICT (business-to-business), della Pubblica Amministrazione e dell’ambito Spazio.
Inoltre, per aiutare a chiarire quali soggetti rientrano nel campo di applicazione, vengono ripresi i concetti legislativi generali dell’UE in materia di micro, piccole e medie imprese. Le entità regolamentate vengono identificate attraverso una regola del massimale dimensionale (Size-cap).
Una particolare attenzione viene posta ai fornitori più critici (e quindi ai rischi che interessano la catena di fornitura) attraverso un focus sulla compliance della supply chain: questi soggetti devono adottare misure minime di gestione della cybersicurezza e di prevenzione delle minacce.
Sono esclusi dal NIS2 gli enti che svolgono attività in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza e le forze dell’ordine, la magistratura, i parlamenti e le banche centrali.
La nuova direttiva è attesa in pubblicazione nell’ “Official Journal of the European Union” ed entrerà in vigore il ventesimo giorno successivo a tale pubblicazione. Dalla data di entrata in vigore, gli Stati Membri, entro massimo 21 mesi, dovranno recepire la direttiva a livello nazionale; solo a quel punto le norme diventeranno vincolanti per le imprese e abrogheranno le precedenti.
(N.T.)