Con l’approvazione da parte del Parlamento Europeo prosegue la procedura per l’adozione della direttiva NIS2 relativa a misure per un livello comune elevato di cybersicurezza nell’Unione.
È interessante approfondire le ragioni di una revisione massiccia della direttiva NIS1, dopo sei anni dalla pubblicazione (direttiva 2016/1148), e capire come questo ennesimo sforzo normativo si colloca nel panorama sempre più affollato di legislazione cyber e, in senso lato, digital nell’Unione Europea.
Come alzare il livello di cybersecurity nell’UE
La proposta di direttiva NIS2 rientra in un pacchetto di misure volte a migliorare ulteriormente le capacità di resilienza e di risposta agli incidenti di soggetti pubblici e privati, delle autorità competenti e dell’Unione nel suo complesso nel campo della cybersicurezza e della protezione delle infrastrutture critiche. L’esigenza è cresciuta con l’accelerazione della digitalizzazione dovuti alla pandemia COVID-19 ed è una priorità della Commissione Europea.
Che cosa si è fatto finora con NIS1
Stando alla relazione di accompagnamento della proposta, la direttiva NIS ha:
1) contribuito al miglioramento delle capacità di cybersicurezza a livello nazionale chiedendo agli Stati membri di adottare strategie nazionali per la cybersicurezza e nominare autorità competenti in materia;
2) rafforzato la cooperazione tra Stati membri a livello dell’Unione istituendo vari forum che facilitano lo scambio di informazioni strategiche e operative;
3) migliorato la resilienza informatica (cyberresilienza) di soggetti pubblici e privati in sette settori specifici (energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali) e in tre servizi digitali (mercati online, motori di ricerca online e servizi di cloud computing) chiedendo agli Stati membri di garantire che gli operatori di servizi essenziali e i fornitori di servizi digitali introducano requisiti di cybersicurezza e segnalino gli incidenti.
La proposta affronta inoltre alcune carenze che hanno impedito alla direttiva NIS di realizzare appieno il suo potenziale. La trasformazione digitale della società (intensificata dalla crisi COVID-19) ha ampliato il panorama delle minacce e sta lanciando nuove sfide, che richiedono risposte adeguate e innovative.
Gli attacchi informatici sono in continuo aumento, molti dei quali, sempre più sofisticati, provengono da un’ampia gamma di fonti interne ed esterne all’UE.
La valutazione del funzionamento della direttiva NIS, condotta ai fini della valutazione d’impatto della proposta di NIS2, ha identificato i seguenti problemi:
1) il basso livello di cyber resilienza delle imprese operanti nell’UE;
2) i diversi livelli di resilienza tra Stati membri e tra settori;
3) il basso livello di consapevolezza e la mancanza di una risposta comune alle crisi. Ad esempio, alcuni importanti ospedali di uno Stato membro non rientrano nell’ambito di applicazione della direttiva NIS e pertanto non sono tenuti ad attuare le risultanti misure di sicurezza, mentre in un altro Stato membro quasi tutti gli ospedali sono soggetti ai requisiti di sicurezza della direttiva NIS.
Direttiva NIS2 approvata: i nuovi obblighi di cyber sicurezza per le aziende
Perché la NIS1 non è stata recepita adeguatamente
Da un punto di vista paneuropeo, appaiono sconcertanti le conclusioni dell’analisi dell’adeguatezza della legislazione vigente, in altre parole di come è stata recepita la direttiva NIS complessivamente:
- L’ambito di applicazione della direttiva NIS è troppo limitato in termini di settori considerati, principalmente a causa de: i) l’aumento della digitalizzazione negli ultimi anni e il livello più elevato di interconnessione, ii) il fatto che l’ambito di applicazione della direttiva NIS non riflette più tutti i settori digitalizzati che forniscono servizi chiave all’economia e alla società nel suo complesso.
- La direttiva NIS non è sufficientemente chiara per quanto riguarda l’ambito di applicazione per gli operatori di servizi essenziali e le sue disposizioni non chiariscono a sufficienza la competenza nazionale sui fornitori di servizi digitali. Questo ha determinato una situazione in cui determinati tipi di soggetti non sono stati individuati in tutti gli Stati membri e non hanno pertanto l’obbligo di mettere in atto misure di sicurezza e segnalare incidenti.
- La direttiva NIS ha concesso agli Stati membri un’ampia discrezionalità nello stabilire i requisiti di sicurezza e di segnalazione di incidenti per gli operatori di servizi essenziali. La valutazione mostra che in alcuni casi gli Stati membri hanno attuato tali requisiti in modi significativamente diversi, creando oneri aggiuntivi per le società operanti in più di uno Stato membro.
- Il regime di vigilanza e esecuzione della direttiva NIS non è efficace. Gli Stati membri hanno ad esempio mostrato molta riluttanza nell’applicazione delle sanzioni ai soggetti che omettevano di adottare requisiti di sicurezza o di segnalare incidenti. Ciò può avere conseguenze negative per la cyberresilienza di singoli soggetti.
- Le risorse finanziarie e umane accantonate dagli Stati membri per l’adempimento dei loro compiti (come l’identificazione o la vigilanza degli operatori di servizi essenziali), e di conseguenza i diversi livelli di maturità nell’affrontare i rischi di cybersicurezza, variano considerevolmente. Ciò ha ulteriormente accentuato le differenze in termini di cyberresilienza tra gli Stati membri.
- Gli Stati membri non condividono sistematicamente le informazioni tra loro, con conseguenze negative in particolare sull’efficacia delle misure di cybersicurezza e sul livello di consapevolezza situazionale comune a livello dell’UE. Questo vale anche per la condivisione di informazioni tra soggetti privati e per il coinvolgimento tra soggetti privati e strutture di cooperazione a livello dell’UE.
Le scelte della Commissione europea
Alla luce di quanto sopra la Commissione ha individuato tre opzioni:
1) nessun intervento a livello legislativo,
2) modifiche mirate alla direttiva NIS,
3) modifiche sistemiche e strutturali alla direttiva NIS tramite un nuovo provvedimento.
Secondo le valutazioni della Commissione, la scelta della terza opzione trova ragioni in termini di efficacia e di efficienza.
Le modifiche strutturali che portano alla NIS2
Quanto all’efficacia, l’opzione prescelta determinerebbe chiaramente l’ambito di applicazione della direttiva NIS, estendendolo a un insieme più rappresentativo di economie e società dell’UE, e la razionalizzazione dei requisiti, unitamente a un quadro più definito di vigilanza e controllo che dovrebbe mirare ad aumentare il livello di conformità.
Tale opzione comporta altresì misure volte a migliorare gli approcci di definizione delle politiche a livello degli Stati membri e a cambiarne il paradigma, promuovendo nuovi quadri per la gestione del rischio relativo alle relazioni con i fornitori e la divulgazione coordinata delle vulnerabilità.
Al contempo, l’opzione strategica prescelta crea una chiara base per la responsabilizzazione (accountability) e le responsabilità condivise e prevede meccanismi volti a promuovere una maggiore fiducia tra Stati membri, sia a livello di autorità che di industria, incentivando la condivisione di informazioni e garantendo un approccio maggiormente operativo, come ad esempio meccanismi di assistenza reciproca e di revisione tra pari.
Come gestire le crisi
Questa opzione prevedrebbe anche un quadro di gestione delle crisi a livello dell’UE, basato sulla rete operativa dell’UE varata di recente, e garantirebbe un maggiore coinvolgimento dell’ENISA, entro i limiti del suo mandato attuale, nel mantenere un’accurata panoramica dello stato di cybersicurezza dell’Unione.
Quanto all’efficienza, sebbene l’opzione prescelta comporterà con tutta probabilità ulteriori costi di compliance e messa in esecuzione per imprese e Stati membri, essa potrebbe determinare anche efficienti compromessi per garantire un livello superiore e coerente di cyberresilienza dei soggetti chiave all’interno dell’Unione, con conseguenti risparmi di costi sia per le imprese che per la società.
Questa opzione d’intervento potrà determinare alcuni oneri amministrativi e costi di compliance supplementari per le autorità degli Stati membri.
Armonizzare norme, iniziative e misure strategiche
Nel complesso, tuttavia, nel medio e lungo termine si auspica che porti anche benefici sostanziali mediante una maggiore cooperazione tra Stati membri, anche a livello operativo, nonché incentivando un aumento complessivo delle capacità di cybersicurezza a livello nazionale e regionale attraverso l’assistenza reciproca, i meccanismi di revisione tra pari e una migliore panoramica delle imprese chiave e dell’interazione con le stesse.
L’opzione d’intervento prescelta dovrebbe inoltre garantire maggiore coerenza con altre normative, iniziative o misure strategiche, compresa la lex specialis settoriale (ad esempio il regolamento DORA relativo alla resilienza operativa digitale per il settore finanziario).
Sebbene gli effetti della NIS2 si vedranno tra qualche anno visto che la direttiva deve ancora essere approvata dal Consiglio prima che venga pubblicata nella Gazzetta ufficiale dell’UE e che gli Stati membri avranno poi un periodo massimo di 21 mesi per il recepimento nazionale, è possibile che gli operatori più grandi si portino avanti alzando il livello dei presidi cyber alla luce dei principi e delle nuove norme di cui alla NIS2.
Inoltre la conformità a questa normativa è strumentale a una maggiore e migliore tutela dei dati personali e, quindi, a un innalzamento della compliance GDPR.
In ogni caso, resta il tema del sovraffollamento normativo di matrice europea che imporrà sempre di più alle società uno sforzo di comprensione e sintesi delle regolamentazione di natura orizzontale (NIS) e di natura verticale (come il già citato regolamento DORA) o ancora di natura orizzontale ma con focus specifici come il cyber resilience act riguardo la cybersicurezza per i prodotti con elementi digitali, senza dimenticare tutto il resto della normativa in ambito digital e di gestione dei dati (personali e non).
Ora come non mai, un approccio olistico e non a silos è fondamentale per dominare e razionalizzare gli obblighi che la nuova legislazione di derivazione europea impone.