Il 2022, soprattutto nella sua fase finale, potrebbe essere ricordato come l’anno della cybersecurity. Alla luce dei diversi attacchi sferrati nel tempo, dopo un lungo percorso il legislatore europeo ha emanato due importanti strumenti normativi, tra fine novembre e metà dicembre. Il Regolamento DORA (Digital Operational Resilience Act) è destinato agli operatori del settore bancario e finanziario. La Direttiva Europea n. 2.555/2022, invece, è per le aziende fornitrici di servizi.
Quest’ultima, anche nota come Direttiva NIS 2, è entrata in vigore il 17 gennaio 2023. Norma gli obblighi e le regole nell’ambito della cybersecurity europea. Prende il posto dell’omonima precedente, la Direttiva NIS, quando entrerà a pieno regime nei diversi ordinamenti europei.
Entro il 17 ottobre 2024 (i famosi 21 mesi), infatti, tutti gli Stati Membri dell’Unione dovranno recepire le disposizioni della nuova Direttiva, attraverso lo strumento legislativo più idoneo. In Italia, quindi, attendiamo il Decreto attuativo, come già accaduto per la prima NIS.
Nel mentre, qui trovate tutte le fasi – e le esigenze – che hanno portato a normare la materia. In evidenza ci sono anche le novità e le differenze tra la Direttiva NIS e la Direttiva NIS 2.
- Il dominio operativo del cyberspace
- Dalla Direttiva NIS alla NIS 2
- I destinatari della Direttiva NIS 2
- I settori di appartenenza dei soggetti obbligati
- Gli obblighi per gli Stati Membri
- Gli obblighi per i soggetti destinatari
- La segnalazione dell’evento
- La giurisdizione e il sistema sanzionatorio
Il dominio operativo del cyberspace
Le esigenze di un mercato sempre più tecnologico
È oramai noto quanto sia importante, da qualche anno, l’aspetto tecnologico, presenza costante in ogni settore della vita odierna, della quale sembra non si possa ormai più fare a meno. Da un lato questo modus operandi rappresenta un fattore di evoluzione e di crescita. Dall’altro offre il fianco alle più disparate minacce, rendendo necessaria – per la stessa sopravvivenza societaria e imprenditoriale – una serie di obblighi in materia di cybersecurity.
Così, nel corso dell’ultimo decennio (ma anche più), i domini operativi dell’Unione sono passati da quattro a cinque. A quello marittimo, aereo, terrestre e spaziale si è aggiunto anche il cyberspace, con una sovranità digitale che ha necessariamente bisogno di una tutela. Partendo da questa esigenza, nel 2016 è stata approvata la Direttiva europea NIS (acronimo di Network and Information Security), recepita in Italia nel 2018.
Questa imponeva, a tutti gli Stati dell’Unione, l’adozione di alcune misure comuni e strategiche per la sicurezza delle reti e dei sistemi informatici. In particolare, la NIS stabiliva l’adozione di “misure tecniche ed organizzative adeguate e proporzionate” in considerazione dei rischi cyber. Aveva l’obiettivo di prevenire e minimizzare l’impatto di possibili incidenti causate da problematiche connesse alla cybersecurity.
Dalla Direttiva NIS alla NIS 2
Un fallimento lungo 6 anni (più 21 mesi!)
Nel tempo, però, sono emerse delle lacune. Gli obblighi introdotti dalla NIS, infatti, si sono rivelati troppo generici, provocando una sorta di disarmonizzazione all’interno dell’Unione, a causa della mancanza di omogeneità sull’intero territorio. L’obiettivo a cui si puntava non è stato raggiunto, con il verificarsi di eventi che hanno messo in dubbio la bontà operativa delle statuizioni.
Inoltre, con la pandemia sono emerse diverse e notevoli criticità in ambito di cybersicurezza, di seguito alla massiccia attivazione di smart working, con un velocissimo aumento degli attacchi informatici, implementando quello che, ultimamente, viene definito il mercato del cybercrime.
Si è pertanto reso necessario un intervento dall’alto, con l’introduzione di ulteriori obblighi, e il rafforzamento (ma anche l’ampliamento) della platea di destinatari. E, così, il 14 dicembre del 2022 è stata approvata la Direttiva NIS2, in vigore dal successivo 17 gennaio 2023. Ora è in attesa di implementazione nei sistemi nazionali.
Partendo quindi dall’assunto normativo della Direttiva NIS – che individuava sette settori strategici – la nuova normativa stabilisce le misure per garantire un livello comune elevato di cybersicurezza, per far funzionare al meglio il mercato interno. Apporta modifiche ai soggetti interessati, agli obblighi e alle sanzioni.
I destinatari della Direttiva NIS 2
Soggetti pubblici, privati, medie e grandi imprese
La prima novità riguarda la platea di soggetti destinatari della Direttiva, più ampia rispetto a quanto stabilito in precedenza, quando si faceva semplicemente riferimento agli OSE (articolo 4), come operatori di servizi essenziali, delineati dagli Stati Membri. L’articolo 3 della nuova Direttiva, invece, differenzia i soggetti essenziali (comma 1) da quelli importanti (comma 2), con specifici dettagli – senza distinzione tra soggetti pubblici o privati.
I primi sono, appunto, operatori di “servizi essenziali”. Tra questi rientrano anche le pubbliche amministrazioni e, come già stabilito, le imprese del settore energetico, sanitario, spaziale, bancario, dei trasporti, delle infrastrutture digitali. I soggetti importanti, invece, sono quelli che operano nei servizi postali e di corriere, nella gestione dei rifiuti, nel settore chimico e agroalimentare – più altri ancora, come riportato nell’Allegato II.
Da un punto di vista dimensionale, i destinatari sono medie e grandi imprese. In taluni casi, vengono ricomprese anche le micro e piccole, operanti in comparti chiave per la società (articolo 2, comma 2), così come i fornitori di servizi e reti di comunicazione elettronica. In tutti i casi, per evitare ulteriori pericolose generalizzazioni, creando confusione tra essenziali e importanti, entro il 17 aprile 2025 gli Stati Membri dovranno predisporre uno specifico elenco delle due tipologie – che subirà una riesamina periodica, almeno biennale.
I settori di appartenenza dei soggetti obbligati
L’Allegato I e l’Allegato II della Direttiva NIS 2
Una ulteriore novità riguarda i settori a cui appartengono i soggetti obbligati, ovvero i destinatari di cui sopra. L’obbligatorietà deriva proprio dall’appartenenza a determinati settori, particolarmente sensibili ed esposti agli attacchi cyber. Nella NIS 1 i settori di appartenenza degli OSE erano soltanto sette. Riprendendo parzialmente quanto già stabilito in precedenza, la nuova Direttiva amplia anche il numero dei comparti, con una distinzione riportata nell’Allegato I e II.
Nel primo sono indicati i settori considerati “ad alta criticità”:
- Energia
- Trasporti
- Settore bancario
- Infrastrutture dei mercati finanziari
- Settore sanitario
- Acqua potabile
- Acque reflue
- Infrastrutture digitali
- Gestione dei servizi TIC (business-to-business)
- Pubblica amministrazione
- Spazio
Nell’Allegato II, invece, si fa riferimento ad altri tipi di settori, altrettanto critici (ma un gradino leggermente sotto):
- Servizi postali e di corriere
- Gestione dei rifiuti
- Fabbricazione, produzione e distribuzione di sostanze chimiche
- Produzione, trasformazione e distribuzione di alimenti
- Fabbricazione
- Fornitori di servizi digitali
- Ricerca
Pertanto, tutti i soggetti individuati, e appartenenti ai settori riportati negli Allegati alla Direttiva, sono tenuti a una serie di obblighi e sono eventualmente esposti a sanzioni.
Gli obblighi per gli Stati Membri
Strategie nazionali, autorità e CSIRT
La nuova Direttiva impone obblighi specifici agli Stati Membri, tra cui l’adozione di strategie nazionali in materia di cybersicurezza, (articolo 7), la creazione (o designazione) di una autorità competente in materia, di una autorità per la gestione di eventuali crisi informatiche e l’indicazione di punti di contatto (articolo 8).
Ogni Stato, poi, dovrà individuare un team per la gestione degli incidenti informatici, indicato con l’acronimo di CSIRT (Computer Security Incident Response Team). Questa figura in Italia già esiste ed è stata istituita presso l’Agenzia per la cybersicurezza nazionale come disposto dalla NIS 1.
Le diverse autorità competenti, il punto di contatto unico e i CSIRT, appartenenti allo stesso Stato, qualora dovessero essere soggetti autonomi e separati, dovranno collaborare assieme per adempiere agli obblighi previsti dalla Direttiva.
Gli obblighi per i soggetti destinatari
La gestione dei rischi cyber
Nella Direttiva sono poi stabilite le misure per la gestione dei rischi di cybersicurezza, nonché gli obblighi di segnalazione, a cui dovranno provvedere i soggetti che operano nei suddetti settori “critici”, ovvero quelli che possono avere un effettivo coinvolgimento in ambito di cybersecurity.
I soggetti dovranno “adottare misure tecniche, operative e organizzative adeguate e proporzionate” per gestire i rischi di cybersecurity, prevenendo e riducendo al minimo l’impatto degli incidenti che potrebbero colpire i destinatari dei loro servizi. Per fare ciò, sarà necessario provvedere a una serie di atti specifici (articolo 21, comma 2), con un “approccio multirischio” che mira a proteggere, da incidenti, i sistemi informatici e di rete e il loro ambiente fisico.
Sono richieste diverse azioni, attraverso politiche di analisi dei rischi e di sicurezza dei sistemi informatici, continuità operativa (come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi), sicurezza delle risorse umane, strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersicurezza ecc.
La segnalazione dell’evento
Preallarme, notifica e relazione finale
La Direttiva, poi, stabilisce norme e obblighi anche in relazione alla condivisione delle informazioni sulla cybersicurezza, nonché in materia di vigilanza ed esecuzione. L’articolo 23, in particolare, fa riferimento agli obblighi di segnalazione.
Con un “preallarme senza indebito ritardo” (entro 24 ore dall’accaduto), seguito da una notifica dettagliata (entro 72 ore) di quanto già comunicato, ogni soggetto essenziale o importante dovrà segnalare al CSIRT o all’autorità competente eventuali incidenti significativi, che abbiano un impatto diretto sulla fornitura dei servizi. Infine, entro un mese dall’evento il soggetto dovrà trasmettere al CSIRT o all’autorità competente una relazione finale.
Ma cosa si intende per “incidente significativo”? La definizione è riportata nel comma 3 dell’articolo 23, e fa riferimento a un evento che possa provocare una “grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato” o possibili ripercussioni su persone fisiche e giuridiche, con eventuali “perdite materiali o immateriali considerevoli”.
È inoltre importante evidenziare ogni possibile “impatto transfrontaliero” dell’evento. Questo, per una maggiore collaborazione intraeuropea, logicamente.
La giurisdizione e il sistema sanzionatorio introdotti dalla Direttiva NIS 2
Il principio dello stabilimento e il carattere dissuasivo della pena
Le società (i soggetti essenziali e importanti) sono sottoposte alla giurisdizione delle proprie autorità nazionali, secondo il noto “principio dello stabilimento” (establishment criterion), sebbene ci siano specifiche deroghe alla norma (art. 26). In tutti i casi, le autorità locali dovranno monitorare efficacemente per l’applicazione della Direttiva, adottando anche le misure necessarie per garantirne il rispetto.
In caso di inottemperanza alle normative, ogni Stato Membro può imporre la sospensione dell’attività dell’impresa inadempiente, introducendo specifici divieti. Possono essere anche applicate sanzioni amministrative pecuniarie – a condizione che siano effettive, proporzionate e dissuasive, tenendo conto delle circostanze di ogni singolo caso – che variano a seconda del soggetto.
Alle società essenziali può essere imposta una sanzione fino a 10 milioni di euro, o per un valore pari al 2% del fatturato globale dell’anno precedente; per le seconde, invece, la sanzione non supera i 7 milioni (o l’1,7% del fatturato).