La proposta di una nuova Direttiva NIS 2 si inserisce in un piano strategico dell’Unione Europea, già delineato dalla Comunicazione “Shaping Europe’s digital Future”, che si fonda su quattro colonne portanti:
- la protezione dei dati personali;
- la tutela dei diritti fondamentali;
- la sicurezza;
- la cybersecurity.
Indice degli argomenti
Lo scenario attuale e la nuova Direttiva NIS 2
La necessità di intervenire sulla precedente Direttiva 2016/1148 (cd. “NIS 1”) trova ragione nei limiti che quest’ultima ha mostrato: l‘insufficiente livello di cyber resilienza raggiunto dalle aziende che operano in UE; una frammentaria applicazione tra settori e Stati membri; le carenze mostrate nella capacità di agire congiuntamente di fronte alle crisi e nei processi di condivisione delle conoscenze.
Alla luce di tali debolezze, a marzo 2019 il Parlamento Europeo aveva incoraggiato un’estensione dell’ambito di applicazione della Direttiva NIS 1 ad altri settori critici e un irrobustimento delle politiche di condivisione delle informazioni relative a minacce e incidenti.
I limiti della Direttiva NIS 1
In effetti, sin da subito, la Direttiva NIS 1 ha mostrato, anche alla luce delle implementazioni nazionali, una certa ambiguità nel suo ambito di applicazione dovuta, principalmente, ad una scarsa chiarezza nella definizione di “operatori di servizi essenziali” e ad una difficoltà nel comprendere la misura delle competenze nazionali sui “fornitori di servizi digitali”.
A ciò si aggiunge che i requisiti imposti dagli Stati membri, nell’ambito delle loro competenze, variano significativamente da Paese a Paese, non soltanto nella sostanza ma, soprattutto, nel livello di dettaglio e nell’approccio delle autorità agli stessi.
L’impatto finale della Direttiva NIS 1 è stato, quindi, meno rilevante di quanto previsto, nelle sue applicazioni pratiche, soprattutto se si tiene in considerazione l’entusiasmo iniziale seguito alla sua adozione.
Il nuovo approccio della Direttiva NIS 2
Alla luce di questo scenario, la nuova proposta di Direttiva (cd. “NIS 2”, che abrogherà e sostituirà la NIS 1), pur confermando l’approccio di “armonizzazione minima” e lasciando impregiudicate le prerogative degli Stati Membri e la possibilità di attuare ulteriori interventi a salvaguardia della pubblica sicurezza, si propone di raggiungere cinque obbiettivi chiave:
- una più chiara ed estesa determinazione dell’ambito di applicazione;
- una razionalizzazione dei requisiti minimi di sicurezza e degli obblighi di notifica degli incidenti;
- una maggiore definizione delle attività di supervisione e applicazione della normativa da parte delle autorità competenti;
- una maggiore attenzione alla gestione del rischio e delle vulnerabilità delle cd. supply chain;
- il rafforzamento della collaborazione tra Stati membri e l’incentivo alla condivisione delle informazioni trai vari soggetti coinvolti.
Vediamo nel dettaglio le modifiche più interessanti introdotte dalla proposta di Direttiva NIS 2.
Un quadro strategico composito sulla cyber security in Europa
La proposta di Direttiva NIS 2 si inserisce in un quadro normativo già variegato: la Direttiva 2018/1972 che istituisce il Codice Europeo delle Comunicazioni Elettroniche; la proposta di Regolamento per la resilienza operativa digitale del settore finanziario e la complementare proposta di Direttiva di modifica della regolamentazione delle infrastrutture critiche.
Interessante è la dichiarata volontà di considerare la Direttiva NIS 2 come una norma generale da specificare con legislazioni speciali, almeno equivalenti in termini di misure per la gestione del rischio e obblighi di notifica, che siano in grado di cogliere le specificità di singoli settori.
Tale indirizzo, unitamente alla riconosciuta prevalenza del futuro regolamento relativo al settore finanziario e alla dichiarata complementarità con la proposta di Direttiva di revisione sulla regolamentazione delle infrastrutture critiche, denota la volontà dell’Unione Europea di approcciare il tema della cyber sicurezza da diverse angolazioni.
L’efficacia di questo approccio, tuttavia, dipenderà molto dall’applicazione pratica di tali normative che dovrà evitare sovrapposizioni che potrebbero incidere negativamente sulla chiarezza del quadro generale e, conseguentemente, sull’effettivo adeguamento delle aziende.
Direttiva NIS 2: un nuovo ambito di applicazione
La principale novità della proposta di Direttiva NIS 2 è il superamento della distinzione tra operatori di servizi essenziali e fornitori di servizi digitali in favore di una categorizzazione divisa tra:
- entità essenziali (nelle quali dovrebbero rientrare i settori dell’energia, dei trasporti, delle banche, delle infrastrutture del mercato finanziario, dell’acqua potabile e delle acque reflue, delle infrastrutture digitali, della salute, della pubblica amministrazione e dello spazio);
- entità importanti (che dovrebbero includere servizi postali, gestione dei rifiuti, industria chimica, industria alimentare, fornitori digitali).
A tale distinzione è accompagnato un differente approccio regolamentare: ex ante ed ex post per le entità essenziali ed ex post per le entità importanti. Infatti, le entità essenziali saranno soggette ad un articolato sistema di supervisione da parte delle autorità competenti (alle quali sono affidati numerosi poteri di controllo e di indicazione di misure correttive) mentre le entità importanti avranno un regime di vigilanza più leggero, reattivo ed ex-post.
Il primo dato è, quindi, quello di un ampliamento dei settori soggetti al framework regolatorio (che oggi vede coinvolti, tra gli operatori di servizi essenziali, i settori dell’energia, dei trasporti, delle infrastrutture dei mercati finanziari, della sanità, dell’acqua potabile, delle infrastrutture digitali e, trai fornitori di servizi digitali, i mercati online, i motori di ricerca e il cloud computing).
Il secondo dato è l’individuazione di un ambito di applicazione che parte da un dato quantitativo, legato alla dimensione dell’entità, e prende in considerazione l’importanza dei settori e l’impatto dei potenziali incidenti, graduando conseguentemente il sistema di supervisione.
Una metodologia che sicuramente meglio si sposa con l’approccio basato sui rischi sulla quale si fonda, all’atto pratico, la gestione delle minacce e degli incidenti di cyber sicurezza.
Inoltre, il nuovo ambito applicativo della Direttiva NIS 2 si propone di limitare la discrezionalità degli Stati Membri nell’individuare i soggetti sottoposti agli obblighi, superando, quindi, il precedente processo identificativo che la direttiva NIS 1 aveva stabilito per gli operatori di servizi essenziali e che si è rivelato essere un elemento di ambiguità e incertezza della normativa.
Piccole e medie imprese fuori dal perimetro della Direttiva NIS 2
La proposta di Direttiva NIS 2 mantiene fuori dal suo perimetro le piccole e microimprese, nel tentativo di evitare eccessivi oneri per le stesse.
Sono, tuttavia, previste alcune eccezioni per quegli operatori che svolgono ruoli chiave, nonostante la loro dimensione (tra cui, ad esempio, soggetti che agiscono come fornitori unici di un servizio in uno Stato membro).
Relativamente a questi attori, proprio in virtù della necessità di prendere in considerazione le specificità dei singoli territori, la proposta di Direttiva NIS 2 apre un margine di discrezionalità agli Stati Membri nella loro identificazione, pur riservando alla Commissione il compito di rilasciare delle linee guida per la stessa.
Allo stesso tempo, la proposta di Direttiva NIS 2 richiede agli Stati membri di prendere espressamente in considerazione le piccole e microimprese escluse dal suo ambito, nel piano strategico di cyber sicurezza nazionale, al fine di individuare delle linee guida volte a migliorare la resilienza in presenza di minacce.
La direzione scelta è, quindi, quella di considerare la cyber sicurezza un affare di tutti e non di pochi, con un approccio scalare in ragione della strategicità e delle dimensioni degli attori coinvolti.
Direttiva NIS 2: misure di cyber sicurezza e gestione del rischio
Gli Stati Membri dovranno assicurare che le entità essenziali e importanti siano tenute ad adottare misure tecniche e organizzative idonee a gestire i rischi posti dalla sicurezza delle reti e dei sistemi informativi usati per fornire i servizi.
In tal senso, la parola d’ordine è: proporzionalità. Infatti, le misure adottate dovranno tenere in considerazione il rischio (e, in particolare, la portata dei potenziali impatti e la relativa probabilità) e lo stato dell’arte della tecnologia.
Alla luce di tale aspetto, le misure minime da imporre a entità essenziali e importanti, elencate nella proposta di Direttiva, sono particolarmente generali, sebbene più specifiche rispetto a quanto previsto dalla Direttiva NIS 1.
D’altra parte, una certa flessibilità è necessaria per assicurarsi che la direttiva non comporti obblighi troppo onerosi per gli operatori e per consentire alla stessa di adattarsi a settori e attori molto diversi tra loro.
È rilevante, in ogni caso, che la proposta di Direttiva NIS 2 preveda la possibilità per la Commissione di adottare atti ulteriori per indicare specifiche tecniche e metodologiche nonché per supplementare le misure elencate, anche alla luce delle evoluzioni tecniche.
Questa previsione appare volta anche a mitigare l’impatto di un’applicazione della Direttiva diversificata da Stato a Stato. Tuttavia, l’efficacia di tale approccio potrà essere valutata solo successivamente, stante comunque il livello di armonizzazione minimo della Direttiva e le legittime prerogative degli Stati Membri in tema di pubblica sicurezza.
Come spesso accade, la proposta di Direttiva NIS 2 prevede, inoltre, che la dimostrazione di conformità possa essere assicurata anche tramite specifiche certificazioni da parte delle entità.
L’attenzione alla supply chain
Una delle novità più importanti è sicuramente l’attenzione che la proposta di Direttiva NIS 2 riserva alla necessità di assicurare la sicurezza delle cd. supply chain, espressamente richiamata nelle misure minime da imporre a entità importanti ed essenziali.
In questo senso, la NIS 2 coglie la profonda interconnessione e integrazione che caratterizza l’attuale scenario informatico, riconoscendo che, sovente, entità di importanza strategica dipendono da fornitori terzi, per gli aspetti legati alle reti e ai sistemi informativi.
Questo aspetto è particolarmente importante, in quanto le minacce di attacchi cibernetici possono derivare anche da vulnerabilità di fornitori terzi.
La Direttiva NIS 2 si allinea a quanto già stabilito dal GDPR
La proposta di Direttiva NIS 2 nel dedicare spazio alla necessità di valutare e tenere in considerazione da un punto di vista della sicurezza, la qualità e lo sviluppo dei prodotti e servizi, nonché le procedure di fornitori terzi ed eventuali vulnerabilità connesse, si allinea a quanto già stabilito, nell’ambito della protezione dei dati personali, dal GDPR.
Infatti, il GDPR, laddove il trattamento dei dati sia affidato a terzi, in qualità di responsabili del trattamento, non soltanto obbliga alla conclusione di adeguate misure contrattuali (che dovranno poi applicarsi “a cascata” anche a tutti i sub-responsabili) ma prevede anche che i titolari conducano una preventiva valutazione dei fornitori e delle misure di sicurezza da loro adottate.
La pratica di implementare internamente procedure idonee a valutare le misure di sicurezze tecniche e organizzative offerte da fornitori (ed eventuali subfornitori) dovrebbe, quindi, essere già consolidata nelle imprese ma trova in questa proposta di Direttiva un rafforzamento ulteriore.
È interessante, inoltre, che la proposta di Direttiva NIS 2, nei suoi considerando, si soffermi, in particolare, sui fornitori di servizi nell’ambito dei settori di data transformation and analytics e dei MSSPs (managed security service providers) evidenziando la particolare diligenza che dovrà essere tenuta rispetto a questi ultimi nella valutazione dei rischi.
In effetti, l’attenzione a specifici settori critici emerge anche dalla possibilità per il Gruppo di Cooperazione delle autorità nazionali, con la Commissione e l’ENISA, di porre in essere delle valutazioni settoriali delle supply chain (sul modello di quanto fatto nell’ambito delle reti 5G), in ragione della rilevanza, della resilienza e della sostituibilità di specifici prodotti, servizi o sistemi ICT.
Direttiva NIS 2 e notifica degli incidenti
Permane, rispetto alla Direttiva NIS 1, l’obbligo di notificare gli incidenti, con delle modifiche non di poco rilievo.
Oltre, infatti, a introdurre una nuova nozione di incidente significativo ai fini dell’obbligo di notifica, la proposta di Direttiva NIS 2 contiene, rispetto alla precedente NIS 1, una disciplina più articolata e una definizione puntuale delle tempistiche.
Infatti, se la Direttiva NIS 1 si limita a prevedere l’obbligo di notifica degli “incidenti di impatto rilevante”, la proposta attuale sembra adottare un approccio integrato agli incidenti e alle minacce cibernetici.
È, infatti, previsto che l’entità interessata da un incidente significativo notifichi quest’ultimo all’autorità competente, entro 24 ore dalla conoscenza dello stesso, successivamente integrando, se necessario, la segnalazione, e presentando, in ogni caso, un report finale entro un mese. Inoltre, le entità dovrebbero informare anche i destinatari dei servizi impattati dall’incidente significativo.
La Direttiva NIS 2, inoltre, contiene l’espressa indicazione che la notifica non debba assorbire le risorse dell’entità, sottraendole alla prioritaria attività di gestione dell’incidente: precisazione banale ma di fondamentale importanza.
In questo senso, è da accogliere favorevolmente la prevista possibilità di introdurre formati standard per la procedura di notifica, predisposti dalla Commissione. Infatti, l’esistenza di formati uniformi tra gli Stati Membri potrebbe essere un significativo aiuto per la predisposizione di procedure interne che tengano in considerazione, anticipatamente, le informazioni necessarie da raccogliere per adempiere all’obbligo di notifica, in caso di incidente.
Così facendo si semplificherebbe il lavoro delle società, in momenti critici come quelli di gestione di un incidente di cyber sicurezza.
La proposta di Direttiva NIS 2 prevede anche un obbligo di notifica alle autorità, senza ritardo, delle minacce cibernetiche significative individuate che avrebbero potuto potenzialmente causare un incidente significativo. Specularmente, le entità dovrebbero informare anche i destinatari dei loro servizi, potenzialmente impattati da una minaccia cibernetica significativa, suggerendo le misure che potrebbero essere intraprese per mitigare i rischi.
La giurisdizione
Secondo il considerando 63 della proposta di Direttiva NIS 2, le entità importanti ed essenziali dovrebbero essere sottoposte alla giurisdizione degli Stati Membri dove forniscono i servizi e, laddove i servizi siano forniti in più Stati Membri, potrebbero ricadere sotto la giurisdizione separata e concorrente di ciascuno di essi.
Questa previsione, invero, desta non poche perplessità in quanto, alla prova pratica, potrebbe comportare incertezze nel processo di compliance delle aziende e un appesantimento degli obblighi.
A parziale correttivo di questa impostazione, per taluni servizi, vista la loro natura intrinsecamente transnazionale (ad esempio, cloud computing, data center, DNS service provider, TLD name registries, CDN providers e fornitori digitali), la proposta di Direttiva NIS 2 prevede che la giurisdizione sia unicamente dello Stato Membro in cui le entità hanno il principale stabilimento, individuato come il luogo in cui sono prese le decisioni sulla gestione dei rischi di cyber security o, se questo non è nell’UE, nello stabilimento in UE con il maggior numero di dipendenti.
In assenza di uno stabilimento nell’Unione, le entità sarebbero tenute nominare un rappresentante in uno degli Stati Membri, tra quelli dove è offerto il servizio, a cui spetterà la relativa giurisdizione.
Inasprimento delle misure sanzionatorie
La proposta di Direttiva NIS 2 si propone inoltre di rafforzare le misure sanzionatorie, imponendo agli Stati membri di prevedere sanzioni amministrative fissate nel massimo almeno a 10 000 000 euro o 2% del fatturato mondiale annuale, se superiore (salvo che non si applichino per la stessa violazione le sanzioni stabilite dal GDPR).
Conclusione
La proposta di Direttiva NIS 2 riflette, senza dubbio, l’intenzione della Commissione di rafforzare il quadro normativo sulla cyber sicurezza ed ottenere una maggiore uniformità tra i vari Stati Membri, estendendo l’ambito applicativo della NIS 1 e rafforzandone l’apparato sanzionatorio ma anche disciplinando con maggiore analiticità gli obblighi da imporre alle entità rilevanti.
La cyber sicurezza, pur dovendo tenere in considerazione aspetti necessariamente di competenza e a discrezione degli Stati membri, è innegabilmente un elemento centrale per il funzionamento del mercato interno.
Infatti, essa è necessaria per consentire alle aziende che operano in diversi Stati Membri di non doversi rapportare con normative che impongono requisiti contradditori e/o sovrapposti.
Aspetti, questi, che sono diventati ancora più evidenti dopo l’esplosione della COVID-19 che ha rafforzato la dipendenza dell’economia dai sistemi e dalle reti informative, mostrando come tutti i settori sono necessariamente interconnessi su tale piano.
L’importanza strategica di un quadro normativo chiaro ed efficace è, quindi, evidente. Da un lato, l’impatto sociale ed economico dei rischi cibernetici rende necessario individuare un framework regolamentare chiaro.
Dall’altro, un intervento normativo di tal genere è fondamentale per accrescere la fiducia dei cittadini nelle reti e nei sistemi informativi, con chiari benefici per le aziende e per l’economia digitale nel suo insieme.
Alcuni punti, tuttavia, rimangono non pienamente convincenti. Il processo di approvazione della proposta è, tuttavia, al suo inizio e, pertanto, potrebbe subire delle modifiche.
L’auspicio è, in ogni caso, che il testo finale non si traduca in un eccessivo peso amministrativo sugli operatori coinvolti e che si possa trovare il giusto equilibrio tra misure efficaci ad assicurare un adeguato livello di cyber sicurezza, da un lato, e una opportuna flessibilità per gli operatori, dall’altro.