Il panorama delle minacce digitali si è evoluto in modo estremamente rapido negli ultimi cinque anni, anche in considerazione del sempre maggior numero di settori che si affida alla tecnologia digitale. Inoltre, è opportuno considerare che le perturbazioni in un settore possono avere ripercussioni negative di vasta portata in altre aree dell’Unione e sulle catene di fornitura intra ed inter Europea. >In questo scenario, la nuova direttiva, cosiddetta NIS2, ha l’obbiettivo di aggiornare quella precedente nell’ottica di migliorare la resilienza Europea nel campo del digitale e naturalmente sono presenti punti di forza come dei punti che, a detta del commissario al Mercato interno Thierry Breton, richiedono un’analisi più attenta e omnicomprensiva.
Indice degli argomenti
Che cos’è la Direttiva NIS
La Direttiva sulla sicurezza delle reti e dei sistemi informativi (Direttiva NIS) è il primo atto legislativo sulla sicurezza informatica approvato dall’Unione Europea.
È stato adottato il 6 luglio 2016 e costituisce una delle iniziative normative della strategia di sicurezza informatica per il decennio digitale dell’UE, pubblicata il 16 dicembre 2020, che si inserisce anche nella strategia in materia di sovranità e leadership tecnologica.
Considerando il rapido sviluppo del mondo digitale, il quale rappresenta un’opportunità e una sfida per l’attuale generazione, il mondo del lavoro, le strutture aziendali e le catene di approvvigionamento, nonché le strutture di mercato vengono poste sotto una pressione innovativa e di adattamento senza precedenti.
La recente pandemia di COVID-19 ha ulteriormente evidenziato l’importanza e la necessità della tecnologia digitale, soprattutto in merito a determinate aziende e settori: dalla salute alla vendita al dettaglio, dalla produzione all’istruzione.
Per questo, la Commissione UE ha ritenuto necessario aggiornare la Direttiva NIS al fine di fornire risposte adeguate e innovative al nuovo panorama e alle sue sfide, anche per quanto riguarda l’IoT, il 5G e le reti mobili di futura generazione.
Le novità della Direttiva NIS2
Il nuovo testo mira a colmare diverse carenze della Direttiva NIS.
Innanzitutto, viene eliminata la distinzione tra fornitori di servizi essenziali e fornitori di servizi digitali, e le aziende vengono classificate in “essenziali” e/o “importanti” a seconda della criticità dei servizi che offrono, e le due categorie verrebbero sottoposte a regimi di vigilanza diversi.
Un esempio è rappresentato dalle infrastrutture digitali, come i fornitori di servizi DNS (Domain Name System), i fornitori di punti di scambio Internet (IXP) e i fornitori di cloud e data center che verranno considerati come “essenziali”.
Mentre i mercati online, i motori di ricerca e fornitori di social network verranno classificati come servizi “importanti”. In aggiunta, la nuova direttiva introduce la regola della soglia di dimensione, indicando come tutti i soggetti di medie e grandi dimensioni che operano nei settori o forniscono i servizi contemplati dalla direttiva stessa rientrano nel suo ambito di applicazione.
Nello specifico viene indicato come la direttiva dovrebbe includere tutte le entità con più di cinquanta dipendenti e con un fatturato annuo superiore ai 10 milioni, mentre nell’attuale Direttiva NIS spetta agli Stati membri identificare e nominare gli operatori dei servizi essenziali.
L’ambito di applicazione della Direttiva NIS2
Anche l’ambito di applicazione viene ampliato comprendo più servizi, come la produzione di prodotti farmaceutici, dispositivi medici e prodotti chimici, il settore alimentare, la gestione delle acque reflue e dei rifiuti, i servizi postali, nonché la pubblica amministrazione.
È importante notare, tuttavia, che le micro e piccole entità sono escluse dal campo di applicazione della direttiva, almeno che non indichino un ruolo chiave nella fornitura di servizi essenziali all’interno dell’Unione oppure operino in particolari settori o tipi di servizi, come nel caso della pubblica amministrazione, in quanto coperti automaticamente dalla direttiva, indipendentemente dalle loro dimensioni.
Per fornire un quadro più completo, si stima che circa 100.000 nuove aziende saranno interessate da questa riforma in Germania, ad esempio, si passerà da 4500 aziende coperte dalla Direttiva NIS a 45000 potenzialmente coperte dalla NIS 2.
La Direttiva NIS (prossima NIS 2) e la sua applicazione in ambito healthcare: i principali fronti
Migliorare la sicurezza della supply chain
Un altro obbiettivo strategico della nuova direttiva è quello di rafforzare la sicurezza informatica lungo la catena di approvvigionamento.
Negli ultimi due anni sono aumentati gli attacchi informatici come per la compromissione di Microsoft Exchange Server (aprile 2021) o il caso di SolarWinds (dicembre 2020), e quindi si è evinto come sia improbabile che le vulnerabilità rimangano confinate a un settore, ma piuttosto abbiano effetti a cascata su altri servizi e sull’intera catena di approvvigionamento.
Di fatto, la proposta NIS 2 richiede alle entità “di valutare e tenere conto della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica di tali aziende e dei loro fornitori, comprese le loro procedure di sviluppo sicuro”.
Tale esigenza, in parte motivata da considerazioni geopolitiche e priorità politiche dell’UE, ha profonde conseguenze data la natura del mercato ICT.
La Commissione ha già accennato all’implementazione di valutazioni del rischio della catena di approvvigionamento, volte a identificare servizi, sistemi o prodotti ICT critici per ogni settore.
Di conseguenza, la direttiva rafforzerà anche il potere delle autorità nazionali indicando e richiedendo dei requisiti di applicazione e controllo più rigorosi. Innanzitutto, le autorità statali avranno il potere di sottoporre entità essenziali a ispezioni in loco e supervisione fuori sito, inclusi controlli casuali, audit regolari, richieste di accesso a dati, documenti o qualsiasi informazione necessaria per lo svolgimento dei loro compiti di supervisione.
Per quanto riguarda la segnalazione degli incidenti, la proposta prevede un approccio bifasico in cui le aziende interessate avrebbero 24 ore dal momento in cui vengono a conoscenza di un incidente per presentare un rapporto iniziale, seguito da un rapporto finale da consegnare entro e non oltre un mese.
Infine, gli Stati membri sono chiamati ad imporre sanzioni amministrative significative fino a 10.000.000 EUR o il 2% del fatturato annuo totale dell’impresa, ogni volta che tali fornitori di servizi violano le norme in materia di gestione del rischio di sicurezza informatica o gli obblighi di segnalazione.
Le problematiche ancora da risolvere
Durante la consultazione pubblica conclusasi il 18 marzo 2021, l’opinione generale ha valutato positivamente la revisione della direttiva e le prospettive della NIS 2.
Tuttavia sono emersi dei punti che richiedono una valutazione più dettagliata e strutturata in luce di alcune problematiche che brevemente vengono indicate di seguito. Innanzitutto, si evidenzia la mancanza di un approccio armonizzato, che si tradurrebbe in una significativa frammentazione nel recepimento in tutta l’UE dell’eventuale nuova direttiva.
Ad esempio, l’UE ha presentato una proposta per una direttiva sulla resilienza dei soggetti critici (CER) e per un regolamento sulla resilienza operativa digitale (DORA), il che richiede un’attenzione particolare per evitare duplicazioni e confusioni giuridiche, considerando anche i requisiti di protezione dei dati stabiliti dal Regolamento generale sulla protezione dei dati (GDPR) e la proposta di Regolamento ePrivacy.
L’altro tema da valutare con attenzione riguarda gli oneri amministrativi aggiunti, i quali dovrebbero essere ridotti al minimo in quanto imporre alle aziende di segnalare ogni incidente di sicurezza informatica rischia di creare oneri eccessivi sia per le imprese che per coloro che analizzano questi dati.
Sarebbe necessario specificare le soglie esatte che portano agli obblighi di segnalazione.
Di fatto, i tempi rigorosi di notifica degli incidenti (24 ore) possono rivelarsi molto impegnativi in scenari reali, e soprattutto in quei casi in cui le aziende interessate operano in compartimenti intra ed inter statali.
Inoltre, tali tempistiche potrebbero dover essere estese per corrispondere a quelle già in vigore in altre normative come nel GDPR (72 ore). Non è realistico credere che sia possibile raggiungere una sicurezza totale contro gli attacchi informatici, ma una maggiore collaborazione tra i governi e le aziende per meglio contrastare e intraprendere azioni contro i criminali informatici, è il primo passo verso un sistema più efficace e sicuro.
Conclusioni
La revisione della direttiva sulla sicurezza delle reti e dell’informazione rappresenta un importante avanzamento per l’Unione Europea, ma naturalmente è chiaro come ci siano diversi punti da riconsiderare, soprattutto in settori o meccanismi, come il settore delle forniture, per garantire un’armonizzazione sia giuridica che operativa tra gli Stati Membri.