La Direttiva (UE) 2022/2555, più conosciuta come “Direttiva NIS 2”, pubblicata lo scorso dicembre nella Gazzetta ufficiale dell’Unione Europea, entrerà in vigore il 17 gennaio 2023. Da quel momento in poi, gli Stati membri dell’Unione europea avranno a disposizione 21 mesi per adottare e pubblicare i relativi atti nazionali di recepimento.
Allo stesso tempo, i soggetti pubblici e privati interessati saranno chiamati a preparare e allineare la loro organizzazione e i loro processi ai nuovi obblighi di sicurezza.
La Direttiva NIS 2, in realtà, prende forma e sostanza dalla Direttiva (UE) 2016/1148 (di seguito “Direttiva NIS”), recepita in Italia attraverso il D.lgs. n. 65/2018, la quale può essere considerata come il primo atto della strategia legislativa europea in materia di cyber security.
Essa fissa – almeno fino alla sua abrogazione, che avverrà il 18 ottobre 2024 – specifici obiettivi in questo settore, i quali, però, avrebbero dovuto tradursi nell’adozione coordinata da parte degli Stati membri di misure tecniche e organizzative adeguate per il rafforzamento dei livelli di sicurezza dei sistemi informativi e delle reti, nonché nel miglioramento della gestione degli incidenti cyber.
Questi piani, seppur coerenti sulla carta, hanno mostrato nel corso del tempo notevoli limiti, dovuti principalmente alla repentina digitalizzazione dei processi di un numero sempre maggiore di società (sensibilmente accelerata anche dalla crisi pandemica) e alla conseguente accresciuta esposizione agli attacchi cibernetici anche di nuovi operatori economici, divenuti particolarmente strategici per la sicurezza nazionale dell’Unione europea a seguito del mutato quadro socioeconomico.
Pertanto, pur ereditandone gran parte degli obiettivi, la Direttiva NIS 2 introduce, inter alia, misure più stringenti e specifiche in termini di cyber risk management, di segnalazione e condivisione delle informazioni relative agli incidenti di sicurezza, rivolgendosi anche a un novero di settori e di soggetti ben più ampio rispetto a quello previsto, fino ad oggi, dall’originaria Direttiva NIS.
AAA cyber resilienza cercasi. Così le aziende possono resistere e crescere
Indice degli argomenti
La necessità di una nuova Direttiva: dalla NIS alla NIS 2
A distanza di più di quattro anni e mezzo dal recepimento in Italia (2018) e oltre sei anni dalla pubblicazione nella Gazzetta ufficiale dell’Unione europea (2016), pur risultando evidente il valore che l’originaria Direttiva NIS ha avuto nell’innalzare il livello di sensibilità degli Stati membri sul tema della cyber security, non si possono sottacere anche i numerosi limiti che questa normativa ha espresso in fase attuativa, non solo a causa dei recenti eventi che hanno mutato repentinamente il sistema socioeconomico globale (es., il Covid-19) o della massiccia integrazione di nuove soluzioni e servizi digitali nei processi aziendali, ma anche – e forse soprattutto – per l’incapacità del legislatore di immaginare la complessità sul piano dell’armonizzazione di quanto delineato in questo testo normativo.
Infatti, lo spazio di autonomia legislativa lasciato ai Paesi membri in fase di recepimento dell’originaria Direttiva NIS, ha creato fin da subito evidenti incertezze e disomogeneità sul piano dei soggetti europei chiamati ad applicarla, sulle misure di sicurezza da implementare, sullo scambio di informazioni relative agli incidenti a livello europeo, tanto per citarne alcuni.
Peraltro, numerose categorie di soggetti, divenuti col tempo “essenziali” per il corretto funzionamento del mercato europeo, ma esclusi dall’ambito di applicazione della vecchia direttiva, si sono rivelati inevitabilmente più impreparati degli altri nella gestione delle minacce cibernetiche.
A causa di ciò, l’Unione europea ha ben presto ravvisato la necessità di rafforzare e integrare le disposizioni della precedente direttiva, tracciando il percorso per la nascita dell’odierna Direttiva NIS 2.
L’ambito di applicazione della Direttiva NIS 2
L’originaria Direttiva NIS si rivolge – e si rivolgerà fino alla sua abrogazione – a quegli operatori privati che svolgono la loro attività in sette settori ritenuti “essenziali” dall’Unione europea, ovvero quelli dell’energia, dei trasporti, delle banche, delle infrastrutture dei mercati finanziari, dell’acqua potabile, della sanità e delle infrastrutture digitali.
A questi soggetti, inoltre, si affiancano anche i fornitori di servizi digitali, ovvero coloro che operano nei settori dell’e-commerce, dei motori di ricerca e del cloud computing.
Partendo da queste basi e in ragione delle criticità poc’anzi evidenziate, il legislatore ha arricchito il ventaglio degli attori, includendo nel campo di applicazione della Direttiva NIS 2 anche ulteriori soggetti attivi in settori definiti “ad alta criticità”, ovvero quelli delle acque reflue, della gestione dei servizi ICT (business-to-business), della pubblica amministrazione e dello spazio.
Inoltre, ha previsto anche la tipologia dei c.d. “altri settori critici”, includendovi:
- i servizi postali e di corriere;
- la gestione dei rifiuti;
- la fabbricazione, la produzione e la distribuzione di sostanze chimiche;
- la produzione, la trasformazione e la distribuzione di alimenti;
- la fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro;
- la fabbricazione di computer e prodotti di elettronica e ottica;
- la fabbricazione di apparecchiature elettriche;
- la fabbricazione di macchinari e apparecchiature n.c.a.;
- la fabbricazione di autoveicoli, rimorchi e semirimorchi;
- la fabbricazione di altri specifici mezzi di trasporto;
- i fornitori di servizi digitali;
- le organizzazioni di ricerca.
Occorre evidenziare, inoltre, come la Direttiva NIS 2 superi anche la precedente impostazione legata ai concetti di “operatore di servizi essenziali” e di “fornitore di servizi digitali”, liberamente identificati dagli Stati membri dell’Unione europea attraverso criteri disomogenei, stabilendo, invece, alcuni criteri uniformi per permettere una più coerente e organica identificazione degli operatori pubblici e privati da includere in due nuove categorie di attori: quella dei “soggetti essenziali” e quella dei “soggetti importanti”.
In particolare, il legislatore della Direttiva NIS 2 ha optato, anzitutto, per l’utilizzo del criterio della dimensione del soggetto da ritenere come essenziale o importante, affermando che essa si applica a tutti quei soggetti pubblici o privati ricompresi nelle tipologie denominate “alta criticità” o “altri settori critici” che:
- prestino i loro servizi o svolgano le loro attività all’interno dell’Unione;
- siano considerati medie imprese ai sensi all’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE, o che superino i massimali per le medie imprese di cui al paragrafo 1 del medesimo articolo.
Inoltre, al di là delle dimensioni, vengono comunque assoggettate alla Direttiva NIS 2 anche ulteriori particolari tipologie di soggetti, quali – ad esempio – i fornitori di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico, coloro che forniscono servizi di registrazione dei nomi di dominio, taluni enti della pubblica amministrazione, nonché i soggetti definiti c.d. “critici” dalla Direttiva (UE) 2022/2557, meglio nota come Direttiva CER, anch’essa di recentissima pubblicazione.
In ogni caso, saranno gli Stati membri a definire (entro il 17 aprile 2025) un elenco dei soggetti essenziali e importanti, da riesaminare e aggiornare almeno ogni due anni, per la cui compilazione – al netto del soddisfacimento dei criteri di applicabilità sopra accennati – gli stessi soggetti interessati saranno chiamati a fornire le necessarie informazioni.
Resilienza delle infrastrutture critiche: così l’Europa concilia sicurezza fisica e cyber
I principali adempimenti della Direttiva NIS 2
La Direttiva NIS 2, così come la Direttiva NIS originaria, mira ad imporre ai soggetti essenziali e importanti l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e delle reti che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.
L’approccio utilizzato dalla nuova direttiva, però, è basato sul concetto del c.d. “multirischio”.
Tale metodologia richiede ai soggetti interessati che le misure tecniche, operative e organizzative comprendano almeno:
- le politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
- la gestione degli incidenti;
- la continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e la gestione delle crisi;
- la sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
- la sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
- le strategie e le procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza;
- le pratiche di igiene informatica di base e di formazione in materia di cibersicurezza;
- le politiche e le procedure relative all’uso della crittografia e, se del caso, della cifratura;
- la sicurezza delle risorse umane, le strategie di controllo dell’accesso e gestione degli attivi;
- l’uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.
Di assoluto rilievo, inoltre, è anche la prescrizione che invita gli Stati membri a prevedere che gli organi di gestione dei soggetti essenziali e importanti approvino le misure di governance dei rischi poc’anzi menzionate, sovraintendano alla sua attuazione, potendo, peraltro, essere ritenuti responsabili della violazione di tale obbligo (qualora, ovviamente, sarà previsto in fase di recepimento).
Tale previsione, peraltro, pare inserirsi nel solco di quanto già previsto in Italia all’interno della normativa sul Perimetro di Sicurezza Nazionale Cibernetica, nella parte in cui prevede ampie responsabilità personali nei confronti del c.d. “Responsabile dell’attuazione del Perimetro”.
Un altro adempimento cardinale all’interno dell’impianto regolatorio della Direttiva NIS 2 è quello legato all’obbligo di segnalazione degli incidenti. Seppure non si tratti di una reale novità, in quanto una simile richiesta è già presente nell’originaria Direttiva NIS, anche in questo caso il legislatore europeo, imparando dagli “errori” del passato, ha modificato il processo richiesto, rendendolo più coerente rispetto alla reale gestione di un attacco cyber all’interno di aziende complesse.
In tal senso, si prevede che i soggetti interessati da qualsivoglia “incidente significativo” siano assoggettati ad un iter di notifica alle autorità competenti organizzato in più fasi, il quale prevede la trasmissione di:
- un preallarme entro il termine di 24 ore dalla conoscenza dell’incidente;
- una notifica entro il termine di 72 ore dalla conoscenza dell’incidente, che aggiorni – se necessario – le informazioni del preallarme;
- una relazione finale entro un mese dalla trasmissione della notifica, il cui contenuto minimo è dettagliato dal legislatore.
Per comprendere, invece, quando un incidente debba essere considerato come significativo, il legislatore specifica che si dovrà tener conto se esso:
- ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
- e/o se esso si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.
In ultimo, particolare importanza assumono anche le misure di vigilanza e di esecuzione, alle quali saranno sottoposti – in misura differente – i soggetti essenziali e importanti. Esse includeranno audit regolari e mirati sulla sicurezza, scansioni di sicurezza, ovvero ispezioni in loco, vigilanza e richieste di informazioni (solo ex post, in caso di soggetti importanti).
Le sanzioni per la violazione delle misure di gestione dei rischi di cybersecurity o degli obblighi di segnalazione potranno arrivare a un massimo di almeno 10 milioni di euro (ridotti a 7, in caso di soggetti importanti) o a un massimo di almeno il 2 % (ridotto all’1,4%, in caso di soggetti importanti) del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto appartiene, se superiore.
Come prepararsi all’entrata in vigore della Direttiva NIS 2
La pubblicazione della Direttiva NIS 2, specialmente se considerata congiuntamente a quella del Regolamento (UE) 2022/2554 (c.d. “DORA”) e della Direttiva (UE) 2022/2557 (c.d. “CER”), disvela già oggi la necessità – prima che l’obbligo – di importanti valutazioni organizzative per tutti i soggetti pubblici e privati che saranno interessati dal nuovo quadro regolatorio europeo in materia di cyber security.
A tal riguardo, seppure l’abrogazione della Direttiva NIS e il recepimento della nuova direttiva saranno efficaci solo a partire dal 18 ottobre 2024, lasciando così un margine di pianificazione di ben 21 mesi, è fondamentale che i soggetti interessati dalla Direttiva NIS 2 (a maggior ragione se interessati anche dalle altre recenti normative europee) investano fin da subito tempo e risorse per prepararsi al suo recepimento all’interno dei processi aziendali.
Infatti, la recente pubblicazione in Gazzetta ufficiale dell’Unione europea della Direttiva NIS 2 pone già oggi per le imprese e per gli enti coinvolti un tema più che evidente di valutazione e armonizzazione, tra gli altri, delle politiche interne di sicurezza dei sistemi e delle informazioni, della loro continuità operativa, dei processi di gestione degli incidenti, così come di quelli di procurement e di supply chain security.
In altri termini, sarà necessario valutare e, se opportuno, ripensare tutti i principali processi interni di cyber security, tarandoli sui nuovi obiettivi e sui nuovi obblighi di sicurezza, anche attraverso l’implementazione dell’approccio “multirischio” introdotto dal legislatore.