La Direttiva NIS 2: le nuove applicazioni e i nuovi soggetti coinvolti

La trasformazione digitale gioca un ruolo ormai fondamentale nella nostra società. Se da un lato ha notevolmente cambiato le abitudini, introducendo nuove potenzialità e possibilità, dall’altro espone gli utenti digitali a rischi e pericoli che devono essere attenzionati adeguatamente.

Per questo motivo, al fine di contrastare lo sviluppo del crimine informatico, l’Unione Europea nel corso degli anni ha messo in atto diverse tattiche. Gli stati membri hanno dovuto elaborare una “strategia nazionale in materia di sicurezza della rete e dei sistemi informativi” mediante l’azione di una rete di intervento per la sicurezza informatica (rete CSIRT), composta da operatori essenziali e fornitori di servizi digitali al fine di assicurare un adeguato monitoraggio ed un tempestivo intervento in caso di incidente di sicurezza. Tale strategia è una delle misure giuridiche proposte dalla Commissione Europea nella Direttiva UE 2016/1148 (conosciuta come Direttiva NIS in Italia).

Cos’è la direttiva NIS

La direttiva sulla sicurezza delle reti e dei sistemi informativi, nota anche come NIS, è il primo atto legislativo a livello europeo che concerne la sicurezza informatica.

Ha previsto l’attuazione di misure giuridiche volte ad incrementare il livello generale di cybersicurezza nell’UE attraverso la cooperazione degli Stati membri. La direttiva NIS ha cambiato l’approccio istituzionale e normativo alla sicurezza informatica in molti Stati membri ottenendo diversi risultati.

Come abbiamo già ricordato, la trasformazione digitale della società ha ampliato il panorama delle minacce e ha introdotto nuove sfide, che richiedono risposte adeguate e innovative. Proprio per questo nel dicembre 2020 è stato annunciato l’aggiornamento della direttiva NIS.

L’aggiornamento della direttiva è dovuto a vari fattori, tra tutti il più rilevante è quello delle minacce cyber le quali, considerate inizialmente come minacce tecnologiche, hanno preso piede insinuandosi nelle attività quotidiana, fino a includere l’ambito legale a causa delle significative implicazioni nella vita di persone, aziende e governi.

L’approvazione della direttiva NIS 2

Il 10 novembre 2022 il Parlamento Europeo ha approvato ed introdotto la Direttiva NIS 2 rafforzando il quadro della sicurezza cibernetica a livello europeo, aumentando la sicurezza delle infrastrutture tecnologiche e combattendo in maniera efficace i rischi causati dal cosiddetto cyber crime.

La direttiva NIS 2 si articola su quattro principi chiave:

• Protezione dei dati personali.
• Diritti fondamentali.
• Safety.
• Cybersecurity.

La vecchia direttiva NIS stabiliva la responsabilità assoluta, da parte degli Stati membri, di decidere quali entità potevano qualificarsi come operatori di servizi essenziali, rientrando quindi tra i soggetti ai quali la direttiva veniva rivolta.

Con l’avvento della NIS 2 vi è una regola sul limite di dimensione. Rientrano quindi nel campo di applicazione tutte le grandi entità che operano nei settori contemplati dalla direttiva. Essi sono, nello specifico:

• pubbliche amministrazioni;
• service provider pubblici di comunicazione elettronica;
• provider di servizi digitali;
• fornitori del trattamento delle acque reflue e la gestione dei rifiuti;
• chi opera nella fabbricazione di prodotti essenziali;
• servizi postali e di corriere;
• settore sanitario.

I nuovi obiettivi della direttiva NIS 2

I nuovi obiettivi della direttiva sono molteplici, tutti focalizzati sul potenziamento del livello di sicurezza.

La NIS2 prevede che gli Stati Membri debbano fare in modo che le società rientranti nel suo ambito di applicazione debbano “adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza dei sistemi di rete e di informazione che tali soggetti utilizzano per le loro operazioni o per la fornitura dei loro servizi e per prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi e su altri servizi.”

Queste misure organizzative secondo la direttiva devono comprendere:

1. policy riguardante l’analisi sui rischi e sulla sicurezza dei sistemi informativi;
2. sistemi di gestione degli incidenti;
3. sistemi di business continuity (la gestione dei backup e il disaster recovery) e la gestione delle crisi;
4. misure di gestione della sicurezza della supply chain;
5. la sicurezza nell’acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità;
6. procedure e policy volte a valutare l’efficacia delle misure di gestione del rischio di cybersecurity;
7. pratiche di igiene informatica di base (regole fondamentali per garantire la cybersecurity);
8.  formazione in materia di sicurezza informatica;
9. procedure e policy relative all’uso della crittografia e della cifratura crittografia;
10. misure sulla sicurezza delle risorse umane, le politiche di controllo degli accessi e la gestione degli asset;
11. l’uso di soluzioni di autenticazione a più fattori (es. multi-factor authentication) o di autenticazione continua, di sistemi di comunicazione di emergenza protetti all’interno dell’entità.

Per quanto riguarda l’analisi della adeguatezza delle misure di sicurezza, la direttiva prevede che è fondamentale tener conto delle misure adottate dai fornitori delle società rientranti nell’ambito della direttiva NIS 2.

Il suddetto punto è molto importante poiché gli obblighi in materia di cybersecurity si estendono indirettamente anche alle aziende fornitrici delle società che rientrano nel perimetro di sicurezza nazionale.

La direttiva NIS 2 e i cyber attacchi

Un’altra importante novità riguarda gli incidenti informatici. La nuova direttiva prevede, per qualsiasi incidente che può avere un impatto significativo sulla fornitura del servizio, un obbligo di notifica al CSIRT e alle autorità competenti.

Il termine della notifica, specificato nella direttiva, è di 24 ore dalla conoscenza per l’invio di un “early warning” che deve essere seguito dalla notifica di una analisi dettagliata dell’incidente entro 72 ore dalla conoscenza.

Viene anche stabilito che la notifica debba avvenire a beneficio dei destinatari del servizio impattato dal cyber attacco, indicando inoltre le misure che detti destinatari sono in grado di adottare per reagire all’attacco.

È inoltre introdotta la Eu-Cyclone, la rete europea dell’organizzazione di collegamento per le crisi informatiche, con una gestione coordinata degli incidenti. Obiettivo della nuova rete europea è il rafforzamento dei requisiti di sicurezza, introducendo un più elevato livello di gestione del rischio semplificando al tempo stesso gli obblighi di segnalazione.

Entro 21 mesi dall’entrata in vigore della direttiva la Commissione Europea dovrà definire i requisiti tecnici e metodologici che dovranno essere applicati alle misure adottate.

La direttiva NIS 2 sottolinea quanto sia importante stabilire un protocollo nei confronti delle cyber-minacce che, ancora troppo spesso, vengono sottovalutate e non attenzionate adeguatamente.

Accrescere la sensibilità verso tali tematiche è fondamentale per comprenderle e affrontarle al meglio.