Il nuovo quadro comune in ambito di cybersecurity è stato approvato dal Parlamento europeo. Con 577 voti favorevoli, i deputati europei hanno approvato la nuova normativa NIS 2 in materia di cybersecurity, che andrà a sostituire la NIS 1 del 2016, recepita in Italia senza sostanziali modifiche con il D. Lgs. N. 65/2018.
Il relatore del testo Bart Groothuis ha dichiarato che “Il ransomware e le altre minacce informatiche hanno predato l’Europa per troppo tempo. Dobbiamo agire per rendere le nostre imprese, i nostri governi e la nostra società più resistenti alle operazioni informatiche ostili”.
Obiettivi e applicazione della direttiva NIS2
La NIS 1 (direttiva UE 2016/1148) è stato il primo strumento normativo con lo scopo di costruire un alto livello di cybersecurity tra i diversi Stati membri dell’Unione Europea. Sebbene la direttiva NIS si sia rivelata uno strumento funzionale al progressivo innalzamento delle misure di cyber-resilienza, la sua attuazione è stata eterogenea, dato il livello di discrezionalità conferito agli Stati membri.
La Direttiva NIS 2 arricchisce e amplia la portata rispetto alla precedente, allargando quali-quantitativamente il perimetro di azione ed introducendo una serie di attività e vincoli in capo ai destinatari, soprattutto in tema di risposta agli incidenti, sicurezza della catena di approvvigionamento, crittografia, divulgazione delle vulnerabilità software e certificazione di prodotto per la cybersecurity.
La nuova direttiva individua due categorie di settori ai quali si applica: settori altamente critici e settori critici. Nei primi abbiamo energia, trasporti, banche e mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione di servici ICT, Pubblica Amministrazione, spazio. Nei secondi abbiamo: fornitori di servizi postali, compresi i servizi di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, manifatture, fornitori di servizi digitali, ricerca.
Direttiva NIS2 approvata: i nuovi obblighi di cyber sicurezza per le aziende
In particolare, la presente direttiva mira a superare le carenze della differenziazione tra gli operatori di servizi essenziali e i fornitori di servizi digitali, ritenuta obsoleta in quanto non riflette l’effettiva importanza dei settori o dei servizi per le attività sociali ed economiche nel mercato interno.
Oltre all’estensione dei soggetti per comparto, il testo opera un’armonizzazione dei parametri per l’individuazione dei soggetti sottoposti agli obblighi della NIS 2 tramite l’introduzione di un criterio relativo alle dimensioni aziendali (Raccomandazione 2003/361/CE, artt. 1 e 2) che fissa i criteri per individuare medie e grandi imprese. Tutte le aziende a partire dalle medie operanti nei citati settori sono oggetto di applicazione della direttiva.
A ogni modo le disposizioni potrebbero essere applicate anche alle imprese di piccole dimensioni qualora siano ritenute essenziali per la vita economico-sociale di uno Stato membro.
Cybersecurity, perché è ormai una priorità per l’Italia: tre fattori che cambiano tutto
Gli effetti delle nuove disposizioni sulla PA
Per quanto concerne la PA le disposizioni producono effetti sull’interezza dell’amministrazione centrale dello Stato e sulle amministrazioni regionali i cui servizi sono ritenuti fondamentali in attività sociali o economiche critiche. Discrezionalmente i singoli Stati nazionali possono estendere l’applicazione della Direttiva anche alle amministrazioni locali e agli istituti di ricerca, specialmente se svolgono attività di ricerca considerate “critiche”. Tuttavia, la NIS 2 non è applicabile alle articolazioni statali che hanno compiti di sicurezza nazionale e pubblica, della difesa e del perseguimento dei reati.
Nell’opera di omogeneizzazione e unificazione degli standard è lasciata facoltà ai singoli Stati membri, secondo il criterio di “armonizzazione minima”, di mantenere o optare per dei livelli più elevati di cybersecurity, fermo restando la coerenza con gli obblighi stabiliti dalla normativa dell’Unione.
Cosa deve prevedere una strategia nazionale per la cybersecurity
Di fatto, la norma prevede che ogni Stato membro adotti una strategia nazionale per la cybersecurity (entro tre mesi dall’adozione della normativa) che preveda:
- gli obiettivi e le priorità della strategia per la cybersecurity dello Stato membro, che riguardano in particolare i settori ad “alta criticità” e “critici”;
- un quadro di governance che chiarisca i ruoli e le responsabilità dei pertinenti portatori di interessi a livello nazionale;
- un quadro strategico per il rafforzamento del coordinamento tra le autorità competenti a norma della presente direttiva e le autorità competenti a norma della direttiva (UE);
- un piano, comprendente le misure necessarie, per aumentare il livello generale di consapevolezza dei cittadini in materia di cybersecurity.
L’ENISA e la Commissione fungono anche da punto di collegamento con il punto di contatto unico nazionale designato tra le autorità competenti e responsabili della cybersecurity e dei compiti di vigilanza di ogni Stato Membro.
Gli obblighi di notifica e segnalazione
Per quanto concerne gli obblighi di notifica e segnalazione, l’articolo 23 evidenzia che ciascuno Stato membro provvederà affinché i soggetti altamente critici e critici notifichino gli incidenti significativi, senza indebito ritardo, al proprio CSIRT o, se opportuno, alla propria autorità competente e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente. Inoltre, viene introdotto il termine delle 72 ore entro le quali inviare una notifica dell’incidente che, se opportuno, aggiorni le informazioni della prima segnalazione e indichi una valutazione iniziale dell’incidente, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, degli indicatori di compromissione.
La nuova normativa applica delle modifiche anche alle condizioni generali per l’imposizione delle sanzioni amministrative pecuniarie ai soggetti interessati.
Infine, secondo quanto previsto dall’articolo 41, entro 21 mesi dalla data di entrata in vigore della presente direttiva, gli Stati membri sono obbligati ad adottare e pubblicare le misure necessarie per conformarsi alla presente norma.
