Direttiva (UE) 2022/2555 – NIS2
Lo scorso 14 dicembre 2022 il Parlamento Europeo e il Consiglio hanno approvato la Direttiva (UE) 2022/2555 relativa a misure per un livello comune ed elevato di cybersicurezza nell’Unione, cd Direttiva NIS2. Entrata in vigore il 17 gennaio 2023, la nuova Direttiva arricchisce il panorama europeo delle normative e linee guida in tema di privacy e protezione dei dati e, nello specifico, interviene abrogando la precedente Direttiva NISUE 2016/1148 (con effetto a decorrere dal 18 ottobre 2024) e deve essere recepita dagli Stati membri entro il 17 ottobre 2024, con applicazione delle disposizioni attuative delle misure necessarie a conformarsi alla Direttiva a partire dal 18 ottobre 2024.
Obbiettivi e funzioni della Direttiva |
L’obbiettivo principale della novità normativa è quello di rafforzare l’aspetto della cybersecurity, attraverso l’individuazione di misure idonee a garantire un livello di cybersicurezza elevato e comune a tutti gli stati membri, a sua volta finalizzato al più corretto funzionamento del mercato interno (come specificato dall’art.1, par.1 della Direttiva).
In linea con la funzione che la Direttiva si propone, la disciplina dettata mira a rafforzare l’aspetto della cybersicurezza, soprattutto con riferimento ai settori critici: tra le varie novità, una è rappresentata proprio dall’individuazione di nuove categorie di operatori dei servizi essenziali (a titolo di esempio le società di produzione e distribuzione di energia, i servizi sanitari, i trasporti etc) e dei fornitori dei servizi digitali (come gli e-commerce, i motori di ricerca, i gestori di servizi ICT etc) i quali, nonostante non presentino un livello di rischio elevato in caso di malfunzionamento come per i fornitori di servizi essenziali, dovranno comunque essere in grado di predisporre un solido sistema di sicurezza informatica.
In generale, possono essere individuati come interessati dalla normativa i seguenti settori: sanità, infrastruttura digitale, trasporti, approvvigionamento idrico, provider di servizi digitali, settore bancario, infrastruttura del mercato finanziario, energia, provider di reti o servizi di comunicazione elettronica pubblica, acque reflue, prodotti chimici, salute (farmaci, R&S, dispositivi medici critici), produttori, aziende di trattamento e distributori di prodotti alimentari, fabbricazione di prodotti critici (dispositivi medici, computer, elettronica, veicoli a motore), provider digitali (piattaforme di social networking, motori di ricerca, marketplace online), aerospazio, servizi postali e corrieri espresso, pubblica amministrazione.
I soggetti obbligati |
In base alle indicazioni contenute nell’art. 2 della Direttiva, i soggetti obbligati sono individuati, anzitutto, attraverso il criterio della dimensione: è prevista l’applicazione della Direttiva ai soggetti delle tipologie di cui agli allegati I e II della stessa (che fanno riferimento rispettivamente ai settori ad altra criticità e agli altri settori critici), pubblici o privati, considerati medie imprese ai sensi dell’art. 2, par.1 dell’allegato alla Raccomandazione 2003/361/CE o che superino i massimali previsti dalla stessa Raccomandazione e che prestano i loro servizi o svolgono le loro attività all’interno dell’Unione.
Inoltre, l’art. 2 par.2 della Direttiva individua ulteriori particolari categorie di soggetti obbligati indipendentemente della loro dimensione, si tratta di soggetti delle tipologie previste dall’allegato I e II, qualora:
- figurino come particolari fornitori di servizi (di rete di comunicazione elettronica pubblica o di servizi di comunicazione elettronica accessibili al pubblico, prestatori di servizi fiduciari, registri dei nomi di dominio di primo livello e fornitori dei servizi di sistema dei nomi di dominio);
- il soggetto sia l’unico fornitore di uno Stato membro di un servizio essenziale per il mantenimento di attività sociali o economiche fondamentali;
- la perturbazione del servizio fornito potrebbe comportare un rischio sistemico significativo, in particolare nei settori in cui tale perturbazione potrebbe avere un impatto transfrontaliero;
- il soggetto sia un soggetto critico in ragione della sua importanza a livello nazionale o regionale per quel particolare settore o tipo di servizio;
- il soggetto è un ente della pubblica amministrazione (dell’amministrazione centrale o dell’amministrazione a livello regionale, in questo secondo caso quando a seguito di una valutazione risk-based, l’amministrazione regionale fornisce servizi la cui perturbazione potrebbe avere un impatto significativo su attività sociali ed economiche critiche).
Inoltre, il par. 3 e il par. 4 dell’art.2 prevedono rispettivamente l’applicazione della Direttiva, indipendentemente dalla dimensione, ai soggetti indentificati come soggetti critici ai sensi della Direttiva (UE) 2022/2557 e a quelli che forniscono servizi di registrazione dei nomi di dominio.
Tra le novità della Direttiva NIS2, sono definite poi le due nuove categorie dei soggetti essenziali e soggetti importanti, nelle quali distinguere i soggetti obbligati ad adottare le misure previste dalla Direttiva: il par. 1 dell’art. 3 individua come soggetti essenziali, tra gli altri, i soggetti di cui all’allegato I che superano i massimali per le medie imprese, i prestatori di servizi fiduciari qualificati e registri dei domini dei nomi di primo livello, prestatori di servizi DNS indipendentemente dalle loro dimensioni, i fornitori di rete pubblica di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico che si considerano medie imprese, i soggetti della pubblica amministrazione di cui all’art. 2 par. 2 lett f), punto i), qualsiasi altro soggetto di cui all’allegato I e II identificato dallo Stato come soggetto essenziale ai sensi dell’art. 2 par. 2 lett. Da b) a e), i soggetti identificati come critici ai sensi della Direttiva UE 2022/2557 e, infine, se lo stato lo prevede, i soggetti che lo stesso ha identificato prima del 16 gennaio 2023 come operatori di servizi essenziali a norma della Direttiva UE 2016/1148 o del diritto nazionale. Il par. 2 dello stesso articolo individua invece i soggetti importanti con riferimento a quelli di una tipologia elencata negli allegati I o II che non sono considerati essenziali ai sensi del paragrafo precedente, compresi quelli identificati dagli Stati membri come soggetti importanti ai sensi dell’art. 2 par. 2 lett. da b) a e).
Sarà comunque compito degli Stati membri definire un elenco dei soggetti essenziali ed importanti entro il 17 aprile 2025, da aggiornare e riesaminare almeno ogni due anni.
Cosa fare per adeguarsi alla Direttiva |
A) Le misure previste
Per adeguarsi al sistema elaborato dalla Direttiva, l’art. 21 della stessa prevede che i soggetti essenziali e importanti debbano valutare le misure tecniche, operative e organizzative da adottare, le quali devono rispondere a criteri di adeguatezza e proporzionalità; Le misure così definite devono consentire, da un lato, la gestione dei rischi per la sicurezza dei sistemi informatici e di rete e, dall’altro, di prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei servizi. La valutazione in questione va effettuata con un approccio multirischio, che richiede anzitutto di valutare il grado di esposizione del soggetto ai rischi, le dimensioni del soggetto e il grado di probabilità che si verifichino incidenti (compresa la loro gravità e il loro impatto sociale ed economico) e, una volta effettuata tale valutazione, adottare delle misure proporzionate che assicurino un livello di sicurezza dei sistemi informatici e di rete adeguato ai rischi esistenti.
Il par.2 dell’art.21 elenca poi alcuni elementi minimi che devono essere ricompresi nelle misure di cui al par. 1, tra le quali l’elaborazione di politiche di analisi dei rischi e di sicurezza dei sistemi informatici, la gestione degli incidenti, la gestione del backup con ripristino in caso di evento disastroso che garantisca la continuità operativa, la sicurezza della catena di approvvigionamento e di acquisizione, di sviluppo e di manutenzione dei sistemi informatici e di rete, strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di sicurezza informatica, pratiche di igiene informatica di base e formazione in materia di cybersicurezza, uso della crittografia, sicurezza delle risorse umane e l’uso di autenticazione a più fattori.
B) Il sistema di segnalazione degli “incidenti significativi”
Tra gli altri adempimenti necessari ad adeguarsi, la Direttiva prevede anche la definizione di un sistema di segnalazione e gestione degli “incidenti significativi”, intendendosi per incidente significativo, in base al par.3 dell’art 23, un incidente che ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato e/o se si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.
È poi il par. 4 dello stesso articolo che prevede uno specifico iter di notifica da attuare nel caso in cui si verifichi un’incidente:
- Anzitutto, si prevede la trasmissione al CSIRT o all’autorità competente di un preallarme entro 24 ore da quando il soggetto è venuto a conoscenza dell’incidente significativo;
- Si prevede poi una notifica entro 72 ore dalla conoscenza dell’incidente significativo, che nel caso aggiorni le informazioni già tramesse con il preallarme e, se possibile, indichi una prima valutazione della gravità e impatto dell’incidente;
- Se richiesta dal CSIRT o da altra autorità competente, si prevede la trasmissione di una relazione intermedia che contenga aggiornamenti sulla situazione;
- Si prevede infine la trasmissione di una relazione finale, entro un mese dalla trasmissione della notifica di cui al secondo punto, che comprenda una descrizione dettagliata dell’incidente in relazione alla sua gravità e al suo impatto, il tipo di minaccia o la causa di fondo che potrebbe aver innescato l’incidente, le misure di attenuazione adottate e in corso e se opportuno, l’impatto transfrontaliero dell’incidente;
Inoltre, se al momento della trasmissione della relazione finale l’incidente è ancora in corso, si prevede la trasmissione di una relazione ulteriore relativa alle condizioni dell’incidente in quel momento e una relazione entro un mese dalla gestione dello stesso.
C) Il monitoraggio e l’aggiornamento continui
La Direttiva prevede poi che le misure adottate vengano aggiornate e modificate a seguito del monitoraggio continuo dei propri livelli di sicurezza informatica, di modo che rispondano alle più attuali best practices in materia.
Le sanzioni previste|
La Direttiva non elenca un novero di sanzioni determinate in caso di violazione delle misure: le indicazioni sul tema, reperibili agli artt. 34 e 36, prevedono l’adozione di sanzioni effettive, proporzionate e dissuasive; individuata la cornice, è lasciato poi agli Stati membri il compito di stabilire le norme relative alle sanzioni applicabili in caso di violazione delle misure nazionali adottate, che dovranno comunque essere comunicate alla Commissione entro il 17 gennaio 2025.
La normativa contiene comunque indicazioni con riguardo ai limiti massimi delle sanzioni amministrative pecuniarie irrogabili, distinguendo tra operatori essenziali e operatori importanti:
- gli operatori essenziali, in caso di violazione degli art. 21 e 23, potranno essere sottoposti a sanzioni pecuniarie amministrative pari ad un massimo di 10 milioni di euro o pari al 2% del fatturato mondiale globale;
- gli operatori importanti invece, sempre in caso di violazione degli art. 21 e 23, potranno essere soggetti a sanzioni pari a 7 milioni di euro e fino a un massimo dell’1,4 % del totale del fatturato mondiale globale.
Conclusioni |
Le novità apportate dalla Direttiva NIS2 rappresentano un punto di riferimento importante per implementare i livelli di cybersicurezza nelle aziende e per prevenire, gestire e ridurre l’impatto degli incidenti informatici, aspetti di massima priorità soprattutto con riferimento a fornitori di servizi essenziali, primi destinatari della nuova normativa. Attraverso una valutazione continua dei rischi e un costante aggiornamento, uniti a una costante formazione del personale sul tema, sarà possibile iniziare sin da subito ad adeguarsi alle nuove indicazioni, al fine di raggiungere non solo un più elevato livello di cybersicurezza ma anche un miglior funzionamento dell’organizzazione aziendale.
Dott.ssa Chiara Guarino
Comments are closed.