Lo scorso 18 ottobre è stato pubblicato in Gazzetta Ufficiale dell’Unione europea il Regolamento di esecuzione (2024/2690) della Direttiva NIS 2 - approvato dalla Commissione europea il 17 ottobre – riguardante i requisiti tecnici e metodologici per la corretta gestione dei rischi di cibersicurezza.
Un inquadramento generale: cenni alla NIS 2
La Direttiva NIS 2 (Direttiva UE 2022/2555) (la “Direttiva”) si inserisce nel contesto di regolamentazione europea volta a garantire la tutela dei dati, anche non personali, e la prevenzione sistemica degli attacchi informatici nel contesto dell’Unione europea.
la Direttiva propone di eliminare le ampie divergenze tra gli Stati membri al fine di garantire una gestione integrata dei rischi cyber ed una applicazione uniforme degli obblighi all’interno di tutto il territorio europeo. Per raggiungere tali scopi, sono stati definiti dei criteri oggettivi per la corretta individuazione dei soggetti obbligati dalla nuova disciplina, individuati in funzione della rilevanza strategica del settore nel quale operano, dei servizi che erogano nonché delle dimensioni dell’impresa (c.d. “Size-cap”).
Il Regolamento di esecuzione (UE) 2024/2690 (il “Regolamento”) muove dalla necessità di rafforzare le misure di protezione informatica negli Stati membri dell’UE e di migliorare la resilienza delle reti critiche, in applicazione alla Direttiva NIS 2 finalizzata a garantire un livello comune elevato in materia di cybersicurezza all’interno del confine europeo, nel quale gli Stati membri sono chiamati a recepire la direttiva nel diritto nazionale di ognuno.
Il Regolamento di esecuzione (UE) 2024/2690: ambito di applicazione e corpus normativo
Il Regolamento è rivolto, in particolare, ai i) fornitori di infrastrutture digitali; ii) gestori dei servizi TIC (B2B) e iii) fornitori di servizi digitali (di cui, rispettivamente, ai punti nn. 8 e 9 dell’allegato 1 e n. 6 dell’allegato 2 della Direttiva) ed è costituito da un corpus normativo di 43 Considerando e 15 articoli e di un allegato che fornisce indicazioni specifiche in merito ai requisiti tecnici e metodologici delle misure di gestione dei rischi di cybersicurezza di cui all’art. 21 della Direttiva NIS 2 (e all’art. 24 D. lgs. 138/2024).
Gli articoli del Regolamento forniscono la definizione di “incidenti significativi” e determinano le soglie entro le quali si rende necessaria la comunicazione del fatto alle competenti autorità di controllo. L’art. 4 del Regolamento, in particolare, definisce i c.d. “incidenti ricorrenti” o collettivamente significativi come quegli incidenti “che singolarmente non sono considerati un incidente significativo ai sensi dell’articolo 3” ma che “sono considerati collettivamente come un unico incidente significativo se soddisfano tutti i criteri seguenti: a) si sono verificati almeno due volte nell’arco di sei mesi; b) presentano la stessa causa di fondo apparente; c) qualora l’incidente ha provocato o potrebbe provocare una perdita finanziaria superiore a 500 mila euro o pari al 5% di fatturato annuo dell’anno precedente (criterio di cui all’articolo 3, paragrafo 1, lettera a)).
Il Regolamento di esecuzione (UE) 2024/2690: requisiti tecnici e metodologici di cui all’Allegato
L’allegato al Regolamento introduce una serie di best practice sui requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza di cui all’articolo 21, paragrafo 2, lettere da a) a j), della Direttiva.
L’Allegato definisce i criteri per la corretta definizione delle politiche di sicurezza dei sistemi informativi e di rete; di gestione dei rischi e degli incidenti; per garantire la sicurezza di tutta la supply chain e delle procedure di e gestione delle crisi.
In particolare, ogni azienda interessata dal Regolamento deve sviluppare adeguate policy di sicurezza per le reti e sistemi informativi; implementare una procedura per la corretta identificazione e gestione dei rischi cyber; implementare una policy per la gestione degli incidenti informatici che includa procedure di business continuity e gestione delle crisi; adottare misure idonee a garantire la sicurezza delle informazioni in tutta la catena di fornitura; garantire sessioni di formazione volte ad incrementare la consapevolezza del personale interno; definire policy per il controllo degli accessi e garantirne l’aggiornamento periodico.
Le linee guida ENISA
Lo scorso 7 novembre l’ENISA ha pubblicato una bozza di guida tecnica per supportare le entità dell'UE nell'attuazione delle prescrizioni di cui al Regolamento di esecuzione della Commissione. Il documento è finalizzato a fornire ulteriori suggerimenti per garantire una corretta implementazione dei requisiti di cui al Regolamento, fornendo esempi, best practice e tabelle di approfondimento.
Le linee guida saranno in consultazione pubblica fino alle ore 18 del prossimo 9 dicembre. Tutti i soggetti interessati dal Regolamento di esecuzione della Commissione potranno inviare il proprio contributo scaricando il modulo reperibile sul sito dedicato e inviandolo al seguente indirizzo e-mail dell’autorità ENISA-NIS-DIRECTIVE@enisa.europa.eu.
Avv. Simona Lanna e Dott.ssa Silvia Mazzarella