La Commissione Europea ha sostituito la direttiva NIS, il primo atto legislativo a livello dell’UE in materia di cyber sicurezza, con la Direttiva NIS 2 al fine di rispondere alle crescenti minacce poste dalla digitalizzazione e all’ondata di attacchi informatici e contestualmente rafforzare la sicurezza in azienda e nelle catene di approvvigionamento, semplificare gli obblighi di comunicazione e introdurre norme più rigorose misure di vigilanza e requisiti di applicazione più severi, comprese sanzioni armonizzate in tutta l’UE.
Direttiva NIS2 approvata: ecco cosa cambia in materia di sicurezza di dati, reti e sistemi
L’ampliamento proposto dell’ambito di applicazione delle NIS2 obbliga più entità e settori ad adottare misure di sicurezza e contribuisce ad aumentare il livello di sicurezza informatica in Europa a lungo termine. Il nuovo testo punta a migliorare la frammentazione di attuazione della Direttiva NIS che era stata riscontrata a diversi livelli nel mercato interno per ogni stato membro.
Indice degli argomenti
Introduzione alla direttiva NIS 2
Dall’introduzione nel 2016 della Direttiva NIS (Directive 2016/1148/EC) con l’obbligo di recepimento ed attuazione a partire dal 2018 la commissione Europea ha valutato la necessità di ampliarne ulteriormente l’ambito di applicazione includendo altri settori e servizi critici che non sono coperti dalla legislazione settoriale specifica.
A valle di una serie di riunioni del consiglio europeo, una significativa consultazione pubblica (OPC), l’analisi ENISA sugli investimenti in cybersecurity (NIS investments report) e l’analisi di Impatto, si è arrivati ad una proposta della NIS 2 presentata il 16 dicembre 2020.
Gli ulteriori periodi di valutazione, negoziazione, verifiche, compreso l’Iter legislativo, sono terminati il 28 novembre 2022 giorno in cui il Consiglio Europeo ha votato l’adozione della Direttiva NIS2 in sostituzione della NIS.
La nuova direttiva è attesa in pubblicazione nell’ “Official Journal of the European Union” ed entrerà in vigore il ventesimo giorno successivo a tale pubblicazione. Da tale data di entrata in vigore gli Stati membri hanno 21 mesi per recepire le disposizioni della direttiva NIS 2 nella legislazione nazionale.
Come la NIS, la nuova Direttiva stabilisce le misure di gestione dei rischi e gli obblighi di cybersicurezza, le sanzioni per garantirne l’applicazione e gli obblighi di comunicazione in tutti i settori individuati ed elencati nella Direttiva stessa.
Ma diversamente dalla NIS mira a rimuovere le divergenze nei requisiti e nell’attuazione delle misure nei diversi Stati membri e a tal fine, stabilisce regole minime per un quadro normativo e meccanismi per un’efficace cooperazione tra le autorità competenti in ciascuno Stato membro.
Tre sono i suoi obiettivi generali:
aumentare il livello di resilienza informatica di un insieme completo di imprese che operano nell’Unione europea in tutti i settori pertinenti, mediante l’adozione di norme e adeguate misure di sicurezza informatica;
ridurre le incoerenze nella resilienza nel mercato interno nei settori già contemplati dalla direttiva, allineando ulteriormente l’ambito di applicazione (de facto) i requisiti di sicurezza e di segnalazione degli incidenti, le disposizioni che disciplinano la vigilanza e l’esecuzione nazionali e le capacità delle autorità competenti pertinenti degli Stati membri;
migliorare il livello di consapevolezza comune (situational awareness) e la capacità collettiva di prepararsi e rispondere adottando misure per aumentare il livello di fiducia tra le autorità competenti condividendo maggiori informazioni e stabilendo regole e procedure in caso di incidente o crisi su vasta scala.
Cambiamenti evolutivi ed estensioni
Una caratteristica importante della NIS 2 è rappresentata dall’espansione dei settori di mercato ritenuti di “elevata criticità” (11 in totale), nonché ulteriori settori definiti “importanti”.
Oltre ai settori altamente critici già compresi nella NIS originaria ovvero Trasporti (aerei, ferroviari, marittimi, stradali), Banche, Infrastrutture del mercato finanziario, Salute, Acque (da bere), Infrastruttura digitale (ampliata per includere fornitori di servizi di data center, fornitori di reti per la distribuzione di contenuti, fornitori di servizi fiduciari, fornitori di reti pubbliche di comunicazione elettronica e servizi di comunicazione elettronica disponibili al pubblico) compaiono anche i settori delle Acque Reflue, la Gestione dei servizi ICT (business-to-business), la Pubblica Amministrazione, l’ambito Spazio.
Inoltre, sono considerati settori critici anche i fornitori digitali (mercati online, motori di ricerca online, piattaforme di servizi di social networking), i Gestori di rifiuti, le aree di fabbricazione, produzione e distribuzione di prodotti chimici, quelle di produzione, trasformazione e distribuzione di alimenti, l’area Manifatturiera, i Servizi Postali e i Corrieri e le Organizzazioni di Ricerca.
Enti essenziali e importanti
La Direttiva prevede una distinzione tra enti “essenziali” e “importanti”, con differenti regimi di vigilanza e applicazione per questi ultimi. Sfrutta inoltre i concetti legislativi generali dell’UE in materia di micro, piccole e medie imprese per aiutare a chiarire quali soggetti rientrano nel campo di applicazione.
Inoltre, diversamente dalla vecchia direttiva NIS per la quale gli Stati membri erano responsabili di determinare quali entità avrebbero soddisfatto i criteri per qualificarsi come operatori di servizi essenziali, la nuova direttiva NIS2 introduce una regola del massimale dimensionale (Size-cap) come regola generale per l’identificazione delle entità regolamentate.
Ciò significa che tutti i soggetti di medie e grandi dimensioni che operano nei settori o forniscono servizi coperti dalla direttiva rientreranno nel suo campo di applicazione.
Nuova direttiva europea sulle infrastrutture critiche: punti salienti e innovazioni
Chi è escluso dal NIS 2
Esclusioni importanti chiarite dal testo, riguardano gli enti che svolgono attività in settori quali la difesa o la sicurezza nazionale, la pubblica sicurezza e le forze dell’ordine. Anche la magistratura, i parlamenti e le banche centrali sono esclusi dal campo di applicazione della Direttiva NIS 2.
Fra i cambiamenti rispetto alla NIS il consiglio UE nel suo comunicato stampa chiarisce che “la direttiva include ulteriori disposizioni per garantire proporzionalità, un livello più elevato di gestione del rischio e chiari criteri di criticità per consentire alle autorità nazionali di determinare ulteriori entità coperte”.
La rete Ue per le crisi informatiche
Date le differenze di adozione dai paesi membri in tema di report sugli incidenti e successive azioni di rafforzamento, la NIS 2 istituisce formalmente la rete europea di organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe), per supportare la gestione coordinata degli incidenti di sicurezza informatica su larga scala.
Un meccanismo volontario di apprendimento tra pari è finalizzato ad aumentare la fiducia reciproca e l’apprendimento dalle buone pratiche e dalle esperienze nell’Unione, contribuendo così al raggiungimento di un elevato livello comune di cybersicurezza.
Il collegamento con DORA e CER
La nuova direttiva è stata allineata con altre normative settoriali specifiche come la resilienza operativa digitale per il settore finanziario (DORA) e la direttiva sulla resilienza delle entità critiche (CER per garantire chiarezza giuridica e coerenza tra le diverse direttive.
Infine, la direttiva NIS 2 pone una particolare attenzione ai rischi che interessano la catena di fornitura e include un focus sulla compliance della supply chain, con un’attenzione specifica ai fornitori più critici.
La compliance è considerata importante non più solo come documentazione attestante, ma ai fini di una efficacia ed effettiva implementazione delle misure di sicurezza e per questo motivo la NIS 2 stabilisce un aumento dei poteri delle autorità competenti, in particolare per le entità essenziali, che saranno soggette a vigilanza ex ante ed ex post.
Le sanzioni aumentano per i soggetti definitivi “essenziali” fino a 10 milioni di euro, o 2% del fatturato, e per i soggetti “importanti” fino a 7 milioni di euro, o 1,4% del fatturato.
Come procedere per le aziende e chiarimenti
A partire dall’entrata in vigore della Direttiva NIS 2, gli Stati membri hanno 21 mesi per recepire le disposizioni della direttiva NIS 2 nella legislazione nazionale, ma alle aziende si suggerisce di anticipare i lavori per adottare misure di sicurezza e in particolare è necessario:
- valutare se l’azienda operi in uno dei settori di applicazione della direttiva, ed in particolare verificare se si rientri nei settori del regolamento sulla resilienza operativa digitale per il settore finanziario (DORA) o della Direttiva sulla resilienza delle entità critiche (CER),
- monitorare e verificare l’attuazione nazionale;
- avviare o rivedere e aggiornare la governance e le procedure di sicurezza nell’azienda;
- valutare la conformità dei fornitori dal punto di vista della sicurezza e, se necessario, rafforzare le misure contrattuali per ottenere il livello di efficacia concordato
- formare il personale dirigente e i dipendenti sulle politiche interne di sicurezza informatica.
- Attuare esercitazioni regolari sia procedurali sia verifiche tecniche per valutare concretamente il livello delle misure di sicurezza implementate.
Per qualsiasi chiarimento o ulteriore dubbio sui temi della nuova Direttiva la commissione Europea ha predisposto un documento di domande e risposte inerenti sia l’iniziale direttiva NIS sia la NIS2 che possono essere consultate e che estendono la conoscenza del contesto entro il quale si è sviluppata la strategia digitale europea.
