LET’S TALK & CONNECT

La direttiva UE 2022/2555 del Parlamento Europeo e del Consiglio dello scorso 14 dicembre, nota anche come NIS 2, è volta a rivedere, e abrogare, la direttiva 2016/1148 il cui scopo era quello di sviluppare la capacità di cibersicurezza in tutta l’Unione, mitigare le minacce ai sistemi informatici e di rete, utilizzati per fornire servizi essenziali, e a garantire la continuità di tali servizi in caso di incidenti.

Nonostante molti progressi in campo di sicurezza informatica, e un considerevole cambio di mentalità, la NIS ha rivelato carenze che impedivano di approcciarsi, in maniera efficace, alle minacce che i sistemi informatici e di rete comportano, soprattutto a causa di importanti divergenze presenti da uno Stato membro all’altro, sia in termini di ambito di applicazione della direttiva che di attuazione degli obblighi in materia di sicurezza e segnalazioni degli incidenti.

La NIS 2 si prefigge, quindi, l’obiettivo di rimuovere tali differenze stabilendo norme minime, volte a garantire un livello comune elevato di cibersicurezza nell’Unione in modo da migliorare il funzionamento del mercato interno, istituendo meccanismi di cooperazione tra le autorità e aggiornando l’elenco dei settori “chiave” soggetti agli obblighi in materia di cibersicurezza.

La NIS 2 stabilisce

• obblighi che impongono agli Stati membri di adottare strategie nazionali in materia di cibersicurezza da intendersi, ai sensi della direttiva, come un quadro coerente che prevede priorità e obiettivi strategici in materia di cibersicurezza e la governance per il loro conseguimento, e designare/creare autorità deputate;
• misure in materia di gestione dei rischi di cibersicurezza e obblighi di segnalazione per i soggetti individuati dall’ambito di applicazione;
• norme e obblighi in materia di condivisione delle informazioni sulla cibersicurezza;
• obblighi in materia di vigilanza ed esecuzione per gli Stati membri.

La direttiva NIS 2 si applica a soggetti pubblici e privati indicati negli allegati I e II della direttiva, che sono considerati medie imprese o che superano i massimali per le medie imprese, che prestano servizi o svolgono le loro attività nell’Unione. Tra i servizi inclusi, a titolo esemplificativo: fornitura di energia elettrica, trasporti, settore bancario, settore sanitario etc. Si applica, inoltre, a soggetti di cui agli stessi allegati che, a prescindere dalla loro dimensione, rivestano una particolare importanza (es. registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio).

Tali soggetti sono definiti dalla direttiva “soggetti essenziali” o “soggetti importanti” in base ad una serie di criteri stabiliti dall’art. 3 ed è previsto che entro il 17 aprile 2025 gli Stati membri ne definiscano un elenco con nome, recapiti aggiornati, settore di appartenenza e Stati membri in cui viene prestato il servizio.

Le aziende sono chiamate ad adottare misure tecniche, operative e organizzative adeguate e proporzionate a gestire i rischi connessi alla sicurezza dei sistemi informatici e di rete che utilizzano nella loro attività o nella fornitura dei loro servizi.

Agli organi di gestione delle aziende è riservato un ruolo fondamentale: saranno chiamati ad approvare le misure adottate dai soggetti e saranno considerati responsabili in caso di violazione da parte degli stessi. Sarà richiesta, quindi, una specifica formazione della dirigenza e di tutti i dipendenti, in modo che possano acquisire conoscenze e competenze minime al fine di individuare i rischi di cibersicurezza e strategie per gestirli in maniera efficace.

In caso di incidenti significativi con impatti sulla fornitura dei loro servizi, i soggetti essenziali ed importanti sono chiamati a notificarli senza indebito ritardo al proprio CSIRT o alla autorità competente di riferimento e, qualora opportuno, anche ai destinatari dei servizi.

Alle autorità individuate sono attribuiti compiti di vigilanza ed esecuzione effettive, proporzionate e dissuasive e sono previste, in aggiunta, sanzioni pecuniare amministrative

• per i soggetti essenziali, pari a un massimo di almeno 10 milioni di euro o del 2% del fatturato mondiale annuo se superiore;
• per i soggetti importanti pari a un massimo di almeno 7 milioni di euro o del 1,4% del fatturato mondiale annuo se superiore.

All’autorità è attribuito, inoltre, il potere di fissare un termine entro il quale il soggetto essenziale è tenuto ad adottare le misure necessarie e porre rimedio alle carenze riscontrate. In caso di decorso infruttuoso del termine possono, tramite gli organi nazionali preposti, vietare temporaneamente a qualsiasi persona che svolga funzioni dirigenziali a livello di amministratore delegato o rappresentante legale di svolgere funzioni dirigenziali e la sospensione temporanea di un certificato o un’autorizzazione relativi a una parte o alla totalità dei servizi o delle attività pertinenti svolti dal soggetto fintanto che non avrà adottato le prescrizioni.

Il recepimento della NIS2 è fissato al 17 ottobre 2024, data entro cui gli Stati membri dovranno adottare le misure necessarie per conformarsi alla direttiva. Per le aziende le disposizioni relative alla strategia nazionale in materia di cibersicurezza saranno applicabili a partire dal 18 ottobre 2024, termine assai breve se commisurato alle misure che devono essere adottate dalle aziende.

Ma in cosa consistono le misure di gestione dei rischi di cibersicurezza?

I soggetti essenziali e importanti dovranno adottare misure tecniche, operative e organizzative adeguate e proporzionate a

• gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano per la fornitura dei loro servizi nonché per
• prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi.

Sarà, quindi, necessario individuare il perimetro di riferimento relativo ai sistemi informatici effettivamente utilizzati per la fornitura dei servizi e individuare, secondo un approccio multirischio, le misure idonee a proteggere tali sistemi da incidenti verificando anche, mediante un assessment, quello che è lo stato dell’arte. Tra le misure dovranno essere almeno adottate:

• politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
• gestione degli incidenti;
• continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
• sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi; in particolare dovranno considerarsi le vulnerabilità specifiche di ciascun fornitore e le loro pratiche di cibersicurezza;
• sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
• strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza;
• pratiche di igiene informatica di base e formazione in materia di cibersicurezza;
• politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
• sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
• uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

L’approccio dettato dall’art. 21 pare molto similare al principio di responsabilizzazione (o c.d. principio di accountability) del Regolamento UE 2016/679, secondo cui il Titolare è tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità e l’efficacia delle misure in relazione al trattamento di dati personali. Misure che dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

Le misure che i soggetti essenziali e importanti dovranno implementare dovranno assicurare, tenuto conto delle conoscenze più aggiornate in materia di cibersicurezza, dei costi di attuazione e delle norme europee e internazionali, un livello di sicurezza dei sistemi informatici e di rete adeguato ai rischi esistenti.

Nel valutare la proporzionalità di tali misure dovrà considerarsi:

• il grado di esposizione del soggetto ai rischi;
• le dimensioni del soggetto;
• la probabilità che si verifichino incidenti;
• la gravità degli incidenti che potrebbero verificarsi compreso il loro impatto sociale ed economico.