La Direttiva NIS 2 per la cybersecurity

La Direttiva NIS

La Direttiva NIS (Network and Information Security) ha introdotto delle misure per un maggiore livello di sicurezza delle reti e dei sistemi informativi nell’Unione Europea.

La direttiva individua sette settori strategici: energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali, oltre a motori di ricerca, cloud e piattaforme online.

Si tratta di settori strategici per l’Unione Europea la cui integrità dipende in misura considerevole dalle tecnologie digitali. La Direttiva NIS prevede un obbligo, per le imprese operanti nel mercato europeo e per i governi, di adottare misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici, come anche la definizione di un piano di valutazione dei rischi connessi e programmi di formazione e sensibilizzazione in materia di cyber security.

In Italia la Direttiva NIS è stata recepita attraverso il Decreto Legislativo n. 65 del 18 maggio 2018. Il decreto-legge n. 105 del 2019 ha successivamente istituito un perimetro di sicurezza nazionale cibernetica al fine di assicurare un elevato livello di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche e degli Enti e degli operatori nazionali, pubblici e privati, con misure volte a minimizzare i rischi.

La Direttiva NIS ha altresì dato luogo all’istituzione di un gruppo di cooperazione in ambito UE per la condivisione delle informazioni e le best practices, il CSIRT (Computer Security Incident Response Team).

Il Italia, a decorrere del 6 maggio 2020 il CSIRT ha sostituito il Cert-Pa e il Cert nazionale, strutture che hanno supportato rispettivamente pubbliche amministrazioni e settore privato nella prevenzione e nella risposta agli incidenti cyber.

Le piattaforme di collaborazione come la rete di CSIRT / CERT europei, si sono dimostrate efficienti, ma devono essere ulteriormente migliorate per colmare quel divario di sicurezza necessario a fronteggiare ogni tipo di minaccia cibernetica attraverso una più ampia condivisione di informazioni su minacce informatiche, vulnerabilità ed incidenti, sul modello ad esempio dei centri di condivisione e analisi delle informazioni (ISAC).

La Direttiva NIS 2

Il processo di revisione in corso della direttiva NIS (UE) 2016/1148, in un periodo in cui la sicurezza informatica assume una rilevanza fondamentale nella vita e nell’economia europee, ha visto, a decorrere dal 25 giugno 2020, l’apertura della consultazione pubblica relativamente alla futura revisione della direttiva NIS.

Il 13 agosto 2020 si è chiuso il primo step della consultazione pubblica. Ciò ha consentito alla Commissione di raccogliere le opinioni dei principali stakeholders coinvolti in merito alle potenziali modifiche della Direttiva NIS, oltre che informazioni utili sullo stato di preparazione della sicurezza informatica di società ed organizzazioni.

Una revisione della Direttiva NIS si è resa oltremodo necessaria nel contesto COVID che ha visto un aumento delle minacce cyber.

La Commissione Europea ha quindi ritenuto opportuno proporre un importante aggiornamento della Direttiva NIS a soli due anni dalla sua attuazione e ciò anche perché alcuni Stati membri non hanno ancora attuato la Direttiva NIS nella sua completezza.

Di seguito i punti salienti introdotti dalla NIS 2:

1 Estensione degli obblighi a soggetti operanti in settori ad oggi non coperti dalla Direttiva NIS

La maggiore novità introdotta dalla proposta della Commissione Europea è senz’altro l’estensione degli obblighi in materia di cyber security anche a soggetti operanti in settori ad oggi non coperti dalla Direttiva NIS, quali il settore della gestione dei rifiuti, aerospaziale, della produzione e distribuzione di alimenti, della produzione e distribuzione di prodotti chimici, dei servizi postali, della produzione di dispositivi medici ed apparecchiature elettroniche e della Pubblica Amministrazione.

Tale estensione dell’ambito di applicazione dalla normativa NIS sarà maggiormente significativo in quegli stati, come l’Italia, che hanno optato per un’applicazione delle norme della NIS limitatamente a quei settori individuati dalla Direttiva.

2 Definizione univoca degli operatori di servizi essenziali

Non saranno più i singoli Paesi Membri ad identificare gli operatori di servizi essenziali soggetti agli obblighi della Direttiva, ma sarà la Direttiva a definire il proprio ambito di applicazione. Ciò alla luce del fatto che l’identificazione degli operatori di servizi essenziali è stata declinata in maniera disomogenea nei diversi Stati Membri con l’attuale Direttiva NIS.

3 Innalzamento delle sanzioni

La Direttiva NIS 2 stabilisce sì che le sanzioni per le violazioni degli obblighi imposti dalla Direttiva verranno fissate dai singoli Paesi Membri, ma tali sanzioni, nella misura massima, dovranno essere pari ad almeno 10 milioni di euro o fino al 2% del fatturato totale annuo mondiale dell’impresa interessata. Si tratta di un incremento di quasi il 700% dell’importo relativo alle sanzioni attualmente applicabili in Italia.

4 Elenco delle misure specifiche da adottare

Rispetto alla Direttiva NIS, che prevede l’obbligo di adottare misure genericamente adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici, viene introdotto un novero di misure specifiche che devono essere necessariamente adottate dagli operatori interessati.

5 Limite temporale di notifica degli incidenti informatici

L’attuale limite temporale per la notifica degli incidenti informatici con impatto rilevante sui servizi forniti ora quantificato in “senza ingiustificato ritardo” diventa più dettagliata prevedendo che la notifica vada effettuata entro 24 ore.

L’iter di approvazione della NIS 2

La consultazione pubblica in merito alla NIS 2, è rimasta aperta fino al 2 ottobre 2020 con l’obiettivo di chiudere l’aggiornamento del pacchetto di regole, scritto tra il 2014 e il 2015 e approvato nel 2016, già entro la fine del 2021.

Il testo delle proposte della Commissione Europea potrebbe subire cambiamenti nel corso dell’iter legislativo. Iter che durerà diversi anni perché, al tempo necessario per adottare la Direttiva NIS 2 va aggiunto anche il periodo necessario a farla propria da parte dei Paesi membri.