La Commissione Ue ha presentato una serie di nuove misure in materia di cyber security tra cui spicca una proposta di aggiornamento sostanziale della Direttiva NIS. La proposta di revisione della Direttiva NIS consiste in realtà nella sostituzione dell’attuale Direttiva con una nuova (detta Direttiva NIS 2). Quest’ultima presenta molti punti in comune con la prima, ma anche parecchie novità importanti.
Una revisione della Direttiva NIS si è resa necessaria alla luce dell’accelerazione del processo di digitalizzazione di aziende ed enti pubblici connessa all’attuale pandemia e all’aumento delle minacce cibernetiche collegate alla stessa. Ad esempio, in alcuni Stati Membri, gli ospedali del sistema sanitario nazionale non sono stati inclusi tra gli enti sottoposti all’obbligo di adottare le misure di sicurezza imposte dalla NIS, e sono quindi risultati maggiormente esposti a minacce cibernetiche nel contesto della crisi legata al Covid. Vediamo le principali novità proposte.
Indice degli argomenti
Cosa dice la proposta della Commissione UE per NIS 2
Se c’era bisogno di una conferma della serietà con cui la Commissione Europea sta affrontando il tema della cyber security, le nuove misure appena presentate l’hanno sicuramente fornita. La serietà dell’approccio della Commissione è evidenziata in particolare dal fatto che ha ritenuto opportuno proporre un aggiornamento sostanziale della Direttiva NIS a soli due anni dalla sua piena applicazione. Ciò avviene abbastanza di rado e quindi sottolinea l’importanza della proposta della Commissione. Basti pensare che alcuni Stati Membri non hanno ancora attuato a pieno la Direttiva NIS, e per questo sono stati sottoposti a procedura di infrazione da parte della Commissione.
Tra le maggiori novità introdotte dalla proposta della Commissione è particolarmente rilevante l’estensione di specifici obblighi in materia di cyber security anche a soggetti operanti in settori ad oggi non coperti dalla Direttiva NIS, quali il settore della gestione dei rifiuti, aerospaziale, della produzione e distribuzione di alimenti, della produzione e distribuzione di prodotti chimici, dei servizi postali, della produzione di dispositivi medici ed apparecchiature elettroniche e della pubblica amministrazione in generale.
Tale ampliamento dei settori coperti dalla normativa NIS avrà un impatto maggiore in quegli Stati Membri, come l’Italia, che finora hanno optato per un approccio soft, limitandosi ad applicare le norme della NIS a quei settori specificamente individuati dalla Direttiva, quando avrebbero potuto spontaneamente ampliarne l’ambito di applicazione ad altri settori.
Si segnala inoltre che non saranno più i singoli Stati Membri ad identificare gli “operatori di servizi essenziali” soggetti agli obblighi della Direttiva, ma è la Direttiva stessa a definire il proprio ambito di applicazione. Ciò è dovuto al fatto che, nella pratica, gli attuali criteri per l’identificazione degli “operatori di servizi essenziali” sono risultati poco chiari e sono stati applicati in maniera diversa nei diversi Stati Membri.
L’identificazione degli “operatori di servizi essenziali” effettuata dai Ministeri competenti verrà quindi superata, anche se di fatto è probabile che tutti enti identificati come “operatori di servizi essenziali” continueranno ad essere soggetti agli obblighi della nuova Direttiva.
Obblighi di notifica degli incidenti informatici
Rispetto all’attuale Direttiva NIS, resta l’obbligo di adottare misure tecnico-organizzative “adeguate” alla gestione dei rischi e alla prevenzione degli incidenti informatici, ma viene aggiunta una lista di misure specifiche che devono essere necessariamente adottate dagli operatori interessati, quali ad esempio l’utilizzo della crittografia e di controlli sulla sicurezza informatica dei propri fornitori.
Resta anche l’obbligo di notifica degli incidenti informatici con impatto rilevante sui servizi forniti già previsto dall’attuale Direttiva NIS, ma viene regolamentato con maggiori dettagli. Ad esempio, viene previso che, di norma, la notifica va effettuata entro 24 ore. Oggi invece il decreto italiano di attuazione della NIS non fissa un limite temporale rigido per le notifiche; specifica solo che le stesse vanno effettuate “senza ingiustificato ritardo”.
Sanzioni più salate
Le sanzioni per le violazioni degli obblighi imposti dalla Direttiva NIS 2 verranno fissate dai singoli Stati Membri. Tuttavia, la Direttiva stabilisce che tali sanzioni dovranno essere pari ad un massimo di almeno 10 milioni di euro o fino al 2% del fatturato totale annuo mondiale dell’impresa interessata. Si tratta quindi di un incremento importante rispetto alle sanzioni attualmente applicabili in Italia, pari ad un massimo di 150.000 euro.
La resilienza dei soggetti critici
La proposta di revisione della Direttiva NIS si accompagna ad una proposta di Direttiva sulla resilienza dei soggetti critici volta ad introdurre misure a tutela di aziende ed enti operanti in settori critici (ovvero energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione e spazio) rispetto a minacce alla loro sicurezza fisica. Tale proposta è dettata dal fatto che anche le gestione dei rischi fisici sta diventando sempre più complessa e le attuali norme sulle infrastrutture critiche risalgono al 2008 e riguardano solo i settori dell’energia e dei trasporti. Si è reso quindi necessario un aggiornamento anche di quest’ultime norme, anche per superare la falsa dicotomia tra online e offline e l’approccio a compartimenti stagni che si è seguito finora.
Quello tra le due Direttive proposte è un connubio fondamentale, data la natura sempre più ibrida delle minacce a cui sono soggette le aziende e le infrastrutture critiche.
L’iter di approvazione
Ovviamente il testo delle proposte della Commissione potrebbe subire alcuni cambiamenti nel corso dell’iter legislativo che durerà svariati anni. Tuttavia, considerato che la prima direttiva NIS è stata approvata in tempi relativamente brevi (circa tre anni), è possibile che la Direttiva NIS 2 non richieda tempi di approvazione eccessivamente lunghi. Al tempo necessario per adottare la Direttiva va però aggiunto anche il tempo necessario a trasporre la nuova Direttiva a livello nazionale. È quindi probabile che le nuove norme NIS diventeranno pienamente applicabile solo tra quattro anni o cinque anni.
L’iter di approvazione della Direttiva sulla resilienza dei soggetti critici dovrebbe seguire tempistiche analoghe, vista la stretta connessione tra le due proposte legislative.
