11 January, 2023

Direttiva UE 2022/2555 (NIS 2): nuovi obiettivi di cyber security

La pubblicazione della Direttiva NIS 2, lo scorso 27 dicembre 2022, si pone come ulteriore passo lungo l’iter di consolidamento, diffusione e rafforzamento degli obiettivi di cyber security precedentemente fissati e attuati dall’UE attraverso la Direttiva NIS. Ecco tutto quello che c’è da sapere.

La Direttiva (UE) 2022/2555, più conosciuta come “Direttiva NIS 2”, pubblicata lo scorso dicembre nella Gazzetta ufficiale dell’Unione Europea, entrerà in vigore il 17 gennaio 2023. Da quel momento in poi, gli Stati membri dell’Unione europea avranno a disposizione 21 mesi per adottare e pubblicare i relativi atti nazionali di recepimento.

Allo stesso tempo, i soggetti pubblici e privati interessati saranno chiamati a preparare e allineare la loro organizzazione e i loro processi ai nuovi obblighi di sicurezza.

La Direttiva NIS 2, in realtà, prende forma e sostanza dalla Direttiva (UE) 2016/1148 (di seguito “Direttiva NIS”), recepita in Italia attraverso il D.lgs. n. 65/2018, la quale può essere considerata come il primo atto della strategia legislativa europea in materia di cyber security.

Essa fissa – almeno fino alla sua abrogazione, che avverrà il 18 ottobre 2024 – specifici obiettivi in questo settore, i quali, però, avrebbero dovuto tradursi nell’adozione coordinata da parte degli Stati membri di misure tecniche e organizzative adeguate per il rafforzamento dei livelli di sicurezza dei sistemi informativi e delle reti, nonché nel miglioramento della gestione degli incidenti cyber.

Questi piani, seppur coerenti sulla carta, hanno mostrato nel corso del tempo notevoli limiti, dovuti principalmente alla repentina digitalizzazione dei processi di un numero sempre maggiore di società (sensibilmente accelerata anche dalla crisi pandemica) e alla conseguente accresciuta esposizione agli attacchi cibernetici anche di nuovi operatori economici, divenuti particolarmente strategici per la sicurezza nazionale dell’Unione europea a seguito del mutato quadro socioeconomico.

Pertanto, pur ereditandone gran parte degli obiettivi, la Direttiva NIS 2 introduce, inter alia, misure più stringenti e specifiche in termini di cyber risk management, di segnalazione e condivisione delle informazioni relative agli incidenti di sicurezza, rivolgendosi anche a un novero di settori e di soggetti ben più ampio rispetto a quello previsto, fino ad oggi, dall’originaria Direttiva NIS.

[...]

L’ambito di applicazione della Direttiva NIS 2

L’originaria Direttiva NIS si rivolge – e si rivolgerà fino alla sua abrogazione – a quegli operatori privati che svolgono la loro attività in sette settori ritenuti “essenziali” dall’Unione europea, ovvero quelli dell’energia, dei trasporti, delle banche, delle infrastrutture dei mercati finanziari, dell’acqua potabile, della sanità e delle infrastrutture digitali.

A questi soggetti, inoltre, si affiancano anche i fornitori di servizi digitali, ovvero coloro che operano nei settori dell’e-commerce, dei motori di ricerca e del cloud computing.

Partendo da queste basi e in ragione delle criticità poc’anzi evidenziate, il legislatore ha arricchito il ventaglio degli attori, includendo nel campo di applicazione della Direttiva NIS 2 anche ulteriori soggetti attivi in settori definiti “ad alta criticità”, ovvero quelli delle acque reflue, della gestione dei servizi ICT (business-to-business), della pubblica amministrazione e dello spazio.

Inoltre, ha previsto anche la tipologia dei c.d. “altri settori critici”, includendovi:

-i servizi postali e di corriere;

-la gestione dei rifiuti;

-la fabbricazione, la produzione e la distribuzione di sostanze chimiche;

-la produzione, la trasformazione e la distribuzione di alimenti;

-la fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro;

-la fabbricazione di computer e prodotti di elettronica e ottica;

-la fabbricazione di apparecchiature elettriche;

-la fabbricazione di macchinari e apparecchiature n.c.a.;

-la fabbricazione di autoveicoli, rimorchi e semirimorchi;

-la fabbricazione di altri specifici mezzi di trasporto;

-i fornitori di servizi digitali;

-le organizzazioni di ricerca.

Occorre evidenziare, inoltre, come la Direttiva NIS 2 superi anche la precedente impostazione legata ai concetti di “operatore di servizi essenziali” e di “fornitore di servizi digitali”, liberamente identificati dagli Stati membri dell’Unione europea attraverso criteri disomogenei, stabilendo, invece, alcuni criteri uniformi per permettere una più coerente e organica identificazione degli operatori pubblici e privati da includere in due nuove categorie di attori: quella dei “soggetti essenziali” e quella dei “soggetti importanti”.

In particolare, il legislatore della Direttiva NIS 2 ha optato, anzitutto, per l’utilizzo del criterio della dimensione del soggetto da ritenere come essenziale o importante, affermando che essa si applica a tutti quei soggetti pubblici o privati ricompresi nelle tipologie denominate “alta criticità” o “altri settori critici” che:

-prestino i loro servizi o svolgano le loro attività all’interno dell’Unione;

-siano considerati medie imprese ai sensi all’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE, o che superino i massimali per le medie imprese di cui al paragrafo 1 del medesimo articolo.

Inoltre, al di là delle dimensioni, vengono comunque assoggettate alla Direttiva NIS 2 anche ulteriori particolari tipologie di soggetti, quali – ad esempio – i fornitori di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico, coloro che forniscono servizi di registrazione dei nomi di dominio, taluni enti della pubblica amministrazione, nonché i soggetti definiti c.d. “critici” dalla Direttiva (UE) 2022/2557, meglio nota come Direttiva CER, anch’essa di recentissima pubblicazione.

In ogni caso, saranno gli Stati membri a definire (entro il 17 aprile 2025) un elenco dei soggetti essenziali e importanti, da riesaminare e aggiornare almeno ogni due anni, per la cui compilazione – al netto del soddisfacimento dei criteri di applicabilità sopra accennati – gli stessi soggetti interessati saranno chiamati a fornire le necessarie informazioni.

I principali adempimenti della Direttiva NIS 2

La Direttiva NIS 2, così come la Direttiva NIS originaria, mira ad imporre ai soggetti essenziali e importanti l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e delle reti che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.

L’approccio utilizzato dalla nuova direttiva, però, è basato sul concetto del c.d. “multirischio”.

Tale metodologia richiede ai soggetti interessati che le misure tecniche, operative e organizzative comprendano almeno:

-le politiche di analisi dei rischi e di sicurezza dei sistemi informatici;

-la gestione degli incidenti;

-la continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e la gestione delle crisi;

-la sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;

-la sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;

-le strategie e le procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza;

-le pratiche di igiene informatica di base e di formazione in materia di cibersicurezza;

-le politiche e le procedure relative all’uso della crittografia e, se del caso, della cifratura;

-la sicurezza delle risorse umane, le strategie di controllo dell’accesso e gestione degli attivi;

-l’uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

Di assoluto rilievo, inoltre, è anche la prescrizione che invita gli Stati membri a prevedere che gli organi di gestione dei soggetti essenziali e importanti approvino le misure di governance dei rischi poc’anzi menzionate, sovraintendano alla sua attuazione, potendo, peraltro, essere ritenuti responsabili della violazione di tale obbligo (qualora, ovviamente, sarà previsto in fase di recepimento).

Tale previsione, peraltro, pare inserirsi nel solco di quanto già previsto in Italia all’interno della normativa sul Perimetro di Sicurezza Nazionale Cibernetica, nella parte in cui prevede ampie responsabilità personali nei confronti del c.d. “Responsabile dell’attuazione del Perimetro”.

Un altro adempimento cardinale all’interno dell’impianto regolatorio della Direttiva NIS 2 è quello legato all’obbligo di segnalazione degli incidenti. Seppure non si tratti di una reale novità, in quanto una simile richiesta è già presente nell’originaria Direttiva NIS, anche in questo caso il legislatore europeo, imparando dagli “errori” del passato, ha modificato il processo richiesto, rendendolo più coerente rispetto alla reale gestione di un attacco cyber all’interno di aziende complesse.

In tal senso, si prevede che i soggetti interessati da qualsivoglia “incidente significativo” siano assoggettati ad un iter di notifica alle autorità competenti organizzato in più fasi, il quale prevede la trasmissione di:

-un preallarme entro il termine di 24 ore dalla conoscenza dell’incidente;

-una notifica entro il termine di 72 ore dalla conoscenza dell’incidente, che aggiorni – se necessario – le informazioni del preallarme; una relazione finale entro un mese dalla trasmissione della notifica, il cui contenuto minimo è dettagliato dal legislatore.

Per comprendere, invece, quando un incidente debba essere considerato come significativo, il legislatore specifica che si dovrà tener conto se esso:

-ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;

-e/o se esso si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

In ultimo, particolare importanza assumono anche le misure di vigilanza e di esecuzione, alle quali saranno sottoposti – in misura differente – i soggetti essenziali e importanti. Esse includeranno audit regolari e mirati sulla sicurezza, scansioni di sicurezza, ovvero ispezioni in loco, vigilanza e richieste di informazioni (solo ex post, in caso di soggetti importanti).

Le sanzioni per la violazione delle misure di gestione dei rischi di cybersecurity o degli obblighi di segnalazione potranno arrivare a un massimo di almeno 10 milioni di euro (ridotti a 7, in caso di soggetti importanti) o a un massimo di almeno il 2 % (ridotto all’1,4%, in caso di soggetti importanti) del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto appartiene, se superiore.

Come prepararsi all’entrata in vigore della Direttiva NIS 2

La pubblicazione della Direttiva NIS 2, specialmente se considerata congiuntamente a quella del Regolamento (UE) 2022/2554 (c.d. “DORA”) e della Direttiva (UE) 2022/2557 (c.d. “CER”), disvela già oggi la necessità – prima che l’obbligo – di importanti valutazioni organizzative per tutti i soggetti pubblici e privati che saranno interessati dal nuovo quadro regolatorio europeo in materia di cyber security.

A tal riguardo, seppure l’abrogazione della Direttiva NIS e il recepimento della nuova direttiva saranno efficaci solo a partire dal 18 ottobre 2024, lasciando così un margine di pianificazione di ben 21 mesi, è fondamentale che i soggetti interessati dalla Direttiva NIS 2 (a maggior ragione se interessati anche dalle altre recenti normative europee) investano fin da subito tempo e risorse per prepararsi al suo recepimento all’interno dei processi aziendali.

Infatti, la recente pubblicazione in Gazzetta ufficiale dell’Unione europea della Direttiva NIS 2 pone già oggi per le imprese e per gli enti coinvolti un tema più che evidente di valutazione e armonizzazione, tra gli altri, delle politiche interne di sicurezza dei sistemi e delle informazioni, della loro continuità operativa, dei processi di gestione degli incidenti, così come di quelli di procurement e di supply chain security.

In altri termini, sarà necessario valutare e, se opportuno, ripensare tutti i principali processi interni di cyber security, tarandoli sui nuovi obiettivi e sui nuovi obblighi di sicurezza, anche attraverso l’implementazione dell’approccio “multirischio” introdotto dal legislatore.

Per leggere l'articolo completo di CYBERSECURITY360 clicca qui

Altre News

  • 04 April, 2024AI ACT: le basi del regolamento sull'Intelligenza Artificiale
  • 19 April, 2024Il metodo ‘dai il consenso o paga’ viola la privacy degli utenti
  • 12 April, 2024Al corriere rubano un pacco contenente documenti dei clienti, ma la banca tace e viene sanzionata per mancata notifica del data breach
  • 03 April, 2024Collegamento via web e app tra medico e paziente: il compendio del Garante
  • 28 March, 2024Auguri di buona Pasqua
  • 27 March, 2024Regolamento sull'Intelligenza Artificiale, l’utente deve sempre sapere se sta interagendo con un robot
  • 13 March, 2024Attacchi cyber, Italia più vulnerabile: i dati del rapporto Clusit 2024
  • 01 March, 2024SOSPESO IL LIMITE DI CONSERVAZIONE DEI METADATI
  • 23 February, 2024Email e metadati, i dubbi da DPO sul provvedimento del Garante Privacy
  • 16 February, 2024Più privacy per i siti web e BASTA dark pattern!
  • 14 February, 2024Attacco hacker all'Italia per sostenere gli agricoltori
  • 14 February, 2024Ricette mediche all’esterno dello studio: sanzionato un medico
  • 02 February, 2024Gli obblighi del sub-responsabile del trattamento
  • 02 February, 2024Installare un dispositivo gps nell’auto dell’ex non integra il reato di interferenze illecite nella vita privata
  • 26 January, 2024MOAB è il data breach più esteso della storia: esposti 26 miliardi di record globali!
  • 26 January, 2024Cybersicurezza, pugno duro dell'Italia contro gli hacker: decreto legge approvato
  • 19 January, 2024Pianificazione ed esecuzione degli audit in ambito di protezione dei dati personali connessi al whistleblowing
  • 11 January, 2024WHISTLEBLOWING: cos'è e cosa comporta
  • 03 January, 2024DPO, OdV e collegio sindacale: una sinergia vincente per garantire compliance e governance aziendale
  • 29 December, 2023Cessazione del rapporto di lavoro: una check list per la protezione dei dati personali
  • 21 December, 2023AUGURI FESTIVITA'
  • 18 December, 2023Raggiunto l'accordo politico sull'Artificial Intelligence Act
  • 07 December, 2023Basta commissionare una app per diventare Titolari del trattamento, anche senza aver mai visto un dato
  • 15 November, 2023Come far valere il proprio diritto alla privacy
  • 08 November, 2023Euro digitale in arrivo, ma ci sono ancora problemi di privacy da risolvere