Cybersecurity - nuova Direttiva NIS2

investimento webinar

Le nuove disposizioni, oltre ad essere applicabili ai settori originariamente previsti (energia, telecomunicazioni, trasporti, bancario e dei mercati finanziari, sanitario) interessano anche alcuni comparti manifatturieri.

E' stata pubblicata sulla GUCE del 27 dicembre 2022 la Direttiva U.E. 2022/2555 (c.d. Nis 2) sulla cybersecurity, in sostituzione della precedente in atto dal 2018. Le nuove disposizioni normative, oltre ad essere applicabili ai settori originariamente previsti dalla Direttiva NIS1, e ritenuti “essenziali”, ovvero quelli dell’energia, dei trasporti, delle banche, delle infrastrutture dei mercati finanziari, dell’acqua potabile, della sanità e delle infrastrutture digitali, si affiancano anche i fornitori di servizi digitali, ovvero coloro che operano nei settori dell’e-commerce, dei motori di ricerca e del cloud computing.

La nuova Direttiva ha inserito nel campo di applicazione anche ulteriori soggetti attivi in settori definiti “ad alta criticità”, ovvero quelli delle acque reflue, della gestione dei servizi ICT (business-to-business), della pubblica amministrazione e dello spazio.

Inoltre, ha previsto anche la tipologia dei c.d. “altri settori critici”, includendovi:

1. i servizi postali e di corriere;
2. la gestione dei rifiuti;
3. la fabbricazione, la produzione e la distribuzione di sostanze chimiche;
4. la produzione, la trasformazione e la distribuzione di alimenti;
5. la fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro;
6. la fabbricazione di computer e prodotti di elettronica e ottica;
7. la fabbricazione di apparecchiature elettriche;
8. la fabbricazione di macchinari e apparecchiature n.c.a.;
9. la fabbricazione di autoveicoli, rimorchi e semirimorchi;
10. la fabbricazione di altri specifici mezzi di trasporto;
11. i fornitori di servizi digitali;
12. le organizzazioni di ricerca.

Occorre evidenziare, inoltre, come la Direttiva NIS 2 stabilisca alcuni criteri uniformi per permettere una più coerente e organica identificazione degli operatori pubblici e privati da includere in due nuove categorie di attori: quella dei “soggetti essenziali” e quella dei “soggetti importanti”. 
In particolare, il legislatore della Direttiva NIS 2 ha optato, anzitutto, per l’utilizzo del criterio della dimensione del soggetto da ritenere come essenziale o importante, affermando che essa si applica a tutti quei soggetti pubblici o privati ricompresi nelle tipologie denominate “alta criticità” o “altri settori critici” che:

1. prestino i loro servizi o svolgano le loro attività all’interno dell’Unione;
2. siano considerati medie imprese o che superino i massimali per le medie imprese.

Inoltre, al di là delle dimensioni, vengono comunque assoggettate alla Direttiva NIS 2 anche ulteriori particolari tipologie di soggetti, quali ad esempio i fornitori di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico, coloro che forniscono servizi di registrazione dei nomi di dominio, taluni enti della pubblica amministrazione, nonché i soggetti definiti c.d. “critici” dalla Direttiva (UE) 2022/2557 (in allegato).

In ogni caso, saranno gli Stati membri a definire (entro il 17 aprile 2025) un elenco dei soggetti essenziali e importanti, da riesaminare e aggiornare almeno ogni due anni, per la cui compilazione, al netto del soddisfacimento dei criteri di applicabilità sopra accennati, gli stessi soggetti interessati saranno chiamati a fornire le necessarie informazioni.
La Direttiva NIS 2, così come la Direttiva NIS originaria, mira ad imporre ai soggetti essenziali e importanti l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e delle reti che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi .
La nuova Direttiva richiede ai soggetti interessati che le misure tecniche, operative e organizzative comprendano almeno:

1. le politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
2. la gestione degli incidenti;
3. la continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e la gestione delle crisi;
4. la sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
5. la sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
6. le strategie e le procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza;
7. le pratiche di igiene informatica di base e di formazione in materia di cibersicurezza;
8. le politiche e le procedure relative all’uso della crittografia e, se del caso, della cifratura;
9. la sicurezza delle risorse umane, le strategie di controllo dell’accesso e gestione degli attivi;
10. l’uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

La Direttiva prevede, pertanto, che nell’analisi della adeguatezza delle misure di sicurezza si debba tener conto anche delle misure adottate dai fornitori dei soggetti essenziali e importanti.
Un altro adempimento cardinale all’interno dell’impianto regolatorio della Direttiva NIS 2 è quello legato all’obbligo di segnalazione degli incidenti. E' previsto che i soggetti interessati da qualsivoglia “incidente significativo” siano assoggettati ad un iter di notifica alle autorità competenti organizzato in più fasi, il quale prevede la trasmissione di:

1. un preallarme entro il termine di 24 ore dalla conoscenza dell’incidente;
2. una notifica entro il termine di 72 ore dalla conoscenza dell’incidente, che aggiorni, se necessario, le informazioni del preallarme;
3. una relazione finale entro un mese dalla trasmissione della notifica, il cui contenuto minimo è dettagliato dal legislatore.

Per comprendere, invece, quando un incidente debba essere considerato come significativo, il legislatore specifica che si dovrà tener conto se esso:

1. ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
2. e/o se esso si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

In ultimo, particolare importanza assumono anche le misure di vigilanza e di esecuzione, alle quali saranno sottoposti, in misura differente, i soggetti essenziali e importanti. Esse includeranno audit regolari e mirati sulla sicurezza, scansioni di sicurezza, ovvero ispezioni in loco, vigilanza e richieste di informazioni (solo ex post, in caso di soggetti importanti).

Le sanzioni per la violazione delle misure di gestione dei rischi di cybersecurity o degli obblighi di segnalazione potranno arrivare a un massimo di almeno 10 milioni di euro (ridotti a 7, in caso di soggetti importanti) o a un massimo di almeno il 2 % (ridotto all’1,4%, in caso di soggetti importanti) del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto appartiene, se superiore.
Entro 21 mesi dall’entrata in vigore, la Commissione europea dovrà definire i requisiti tecnici e metodologici applicabili alle misure che dovranno essere adottate, tra gli altri, dai fornitori di servizi di cloud computing, data center, online market place, motori di ricerca e social network.

Se un incidente informatico comporta anche una violazione di dati personali ai sensi del GDPR (Reg. 2016/679), le sanzioni amministrative previste dalla Direttiva non sono applicabili in quanto prevalgono quelle previste dal GDPR. Tuttavia è importante precisare che la Direttiva NIS2 trova applicazione anche in caso di incidenti che non hanno comportato una violazione dei dati personali.

Gli Stati membri avranno un periodo massimo di 21 mesi per poter procedere al recepimento della normativa a livello nazionale. A quel punto le norme diventeranno vincolanti per le imprese e le norme di attuazione della direttiva NIS1 saranno abrogate.

Documenti correlati

• 26 gennaio 2021 - Materiale e registrazione Webinar "Cybersecurity nei processi produttivi" - 20 gennaio

Riferimenti