La nuova Direttiva introduce nuovi obblighi di sicurezza informatica e attribuisce maggiori responsabilità a quegli operatori che forniscono servizi di vitale importanza per le principali attività sociali ed economiche dell’UE (cd. “OSE”), con l’obiettivo di migliorare le capacità di gestione e risposta agli attacchi cyber sin già nella loro fase prodromica.
La Direttiva NIS 1: il primo tentativo di rafforzare il livello globale di cybersicurezza tra i Paesi Membri dell’Unione Europea
La normativa italiana di riferimento nazionale in materia di sicurezza dei dati è rappresentata dalla Legge 4 agosto 2021, n. 109 recante “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale” che ha recepito la Direttiva “NIS” UE 2016/1148 “Sulla sicurezza delle reti e dei sistemi informativi”, con cui la Commissione europea ha posto le prime indispensabili basi per normare e disciplinare gli aspetti strategici volti a garantire standard uniformi per la sicurezza informatica all’interno del territorio europeo. La Direttiva NIS 1 era rivolta in particolare alle aziende operanti nei servizi fondamentali e nelle infrastrutture critiche che rappresentano settori strategici da cui dipendono le sorti socioeconomiche dei paesi dell’Unione – i cd. OSE (Operatori di Servizi Essenziali) – che forniscono un servizio essenziale la cui interruzione avrebbe un impatto significativo sull’andamento dell’economia e della società (definizione Anssi).
Il continuo sviluppo della tecnologia – accelerato dalle necessità di connessione sorte in seguito all’esplosione della pandemia da Covid-19 – e conseguentemente, degli strumenti e delle modalità di attacco da parte dei cyber criminali, ha reso necessario un aggiornamento della normativa.
La Direttiva NIS2
Dopo l’approvazione da parte del Parlamento europeo, datata 10 novembre 2022, finalmente lo scorso dicembre la Direttiva NIS 2 – Direttiva (UE) 2022/2555, è stata pubblicata in Gazzetta. La disciplina, che entra in vigore il 17 gennaio 2023, dovrà essere recepita dagli Stati membri entro il 17 Ottobre 2024. Gli obiettivi principali che il legislatore europeo intende perseguire con la NIS 2 sono: la rideterminazione e l’ampliamento dell’ambito di applicazione delle norme in materia di sicurezza dei dati; il potenziamento degli organi e delle attività di supervisione a livello comunitario avente quale obiettivo il miglioramento della collaborazione tra gli Stati membri; la razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria degli incidenti informatici e l’ampliamento delle attività richieste per la valutazione delle vulnerabilità a tutta la supply chain, con il conseguente coinvolgimento di un maggior numero di stakeholder. Quest’ultimo punto, nello specifico, potrebbe portare ad una responsabilizzazione di quelle PMI fornitrici di servizi per quei titolari del trattamento vittime di attacchi informatici.
L’ambito di applicazione: gli operatori interessati dalla normativa
La NIS 2 ha notevolmente ampliato il novero dei soggetti interessati dalla disciplina, i cd. OSE: oltre ai soggetti definiti dalla NIS 1, saranno tenuti ad adeguarsi ai nuovi obblighi in materia di sicurezza informatica anche quegli operatori – individuati sulla base delle dimensioni aziendali e del fatturato annuo – che erogano servizi ritenuti “critici” tra cui, a titolo esemplificativo, coloro che erogano servizi postali, di trasporto e consegna merci, servizi di gestione dei rifiuti, fabbricazione di dispositivi medici, di prodotti informatici ed elettronici o, ancora, servizi della grande distribuzione alimentare.
Quali obblighi?
Gli operatori coinvolti dovranno adottare misure tecniche ed organizzative adeguate che consentano loro una agevole gestione dei rischi connessi alla sicurezza dei sistemi informatici e delle reti. Tali misure dovranno essere autorizzate dagli “organi di gestione” interni dell’operatore i quali dovranno preoccuparsi anche di verificarne la corretta implementazione ed aggiornamento. In particolare, gli operatori saranno tenuti a svolgere una serie di attività, volte a garantire dei requisiti minimi di sicurezza, tra cui: la costante analisi dei rischi di sicurezza (ad esempio, attraverso penetration test, vulnerability assessment), una corretta gestione degli incidenti di sicurezza (tramite un piano predefinito e la predisposizione di attività di monitoraggio continuo degli incident), la predisposizione di un piano di business continuity e gestione delle crisi, lo svolgimento di stress test continui per verificare la solidità e la sicurezza della propria rete ed infrastruttura IT, l’adozione di misure in grado di assicurare la sicurezza delle supply chain tramite controlli mirati sulle misure di sicurezza adottate dai propri fornitori.
Gli operatori saranno inoltre tenuti a notificare, all’autorità competente, eventuali incidenti che abbiano avuto un impatto significativo sulla fornitura dei loro servizi – entro le 24 ore dall’avvenuta conoscenza dell’incidente e ad effettuare un’ulteriore notifica di aggiornamento entro 72 ore – e potranno essere soggetti ad attività di vigilanza ed ispezione, sia da remoto che in loco, e sottoposti ad audit periodici da parte di organismi indipendenti o dall’autorità competente.
Rischi sanzionatori
La nuova Direttiva prevede un sistema sanzionatorio che distingue tra gli operatori cd. “essenziali” e quelli cd. “importanti”. Per i primi sono previste sanzioni pecuniarie amministrative pari ad un massimo di 10 milioni di euro o fino al 2% del fatturato mondiale annuo per l’esercizio precedente (nel caso di fatturati superiori) mentre, per i secondi, le sanzioni comminate possono raggiungere i 7 milioni di euro o l’1,4% del fatturato mondiale annuo per l’esercizio precedente (per fatturati superiori).
Conclusioni
Premesso che per la normativa di dettaglio gli operatori dovranno attendere il recepimento della Direttiva da parte del legislatore italiano, che ha tempo fino al 17 ottobre 2024, è opportuno comunque sottolineare che molti degli obblighi previsti dalla Direttiva NIS 2 coincidano con una serie di attività che la maggior parte delle organizzazioni già oggi dovrebbe implementare per garantire la protezione dei dati dei propri clienti e la sicurezza delle proprie operazioni di business. Pertanto, è bene che tutti i soggetti interessati dalla normativa in materia di cybersicurezza inizino a predisporre un piano tecnico organizzativo di adeguamento che tenga conto, tra l’altro, dei costi considerevoli sottesi a tali attività e della disciplina già vigente in Europa (si vedano il Regolamento DORA, la Direttiva CER e il Cyber Resilience Act) e in Italia (il Perimetro di Sicurezza Nazionale Cibernetica).
Avv. Simona Lanna