La crescente interconnessione e digitalizzazione della società ha reso istituzioni, imprese e cittadini sempre più esposti alle minacce informatiche. Gli attacchi informatici hanno raggiunto picchi senza precedenti, sia per frequenza che per gravità: negli ultimi 5 anni, il numero di attacchi registrati a livello globale è cresciuto del 60% secondo i dati del rapporto Clusit 2023. Ad aggravarsi sono state anche le conseguenze sociali ed economiche degli incidenti causati dagli attacchi cyber: sempre secondo il Clusit, l’80% degli attacchi rilevati nel 2022 hanno avuto impatti gravi o molto gravi, a differenza di cinque anni fa quando ammontavano a una quota del 52% del totale.
La Direttiva NIS 2 nell’attuale contesto geopolitico
Lo scenario geopolitico presenta una rischiosità come non si aveva da decenni, e questa rischiosità così elevata comprende i temi cyber, che rappresenta un ambito nuovo rispetto a periodi di pari rischiosità. L’Unione Europea ha riconosciuto quindi la necessità di aumentare la capacità di resilienza e risposta a questi rischi sia a livello di Unione che di singoli Stati Membri, fino alle aziende e pubbliche amministrazioni che sono nel concreto le prime esposte alle minacce.
Nel 2016 era stata emanata la Direttiva NIS, con l’obiettivo di raggiungere un livello comune elevato di cybersicurezza tra gli Stati Membri. Nel 2020 è stata avviata la revisione programmata dell’efficacia della norma e della sua implementazione, ed i risultati hanno rivelato carenze intrinseche nella norma che le hanno impedito di affrontare efficacemente le sfide attuali ed emergenti in materia di cibersicurezza, in particolare in termini di uniformità di approccio fra i diversi Stati Membri e perimetro di applicazione.
La Direttiva NIS2, pubblicata nella Gazzetta Ufficiale dell’Unione Europea il 27 dicembre 2022 ed entrata in vigore il 16 gennaio 2023, mantiene l’obiettivo di raggiungere un livello comune elevato di cybersicurezza tra gli Stati Membri, migliorando la capacità di garantire uniformità ed efficacia nell’applicazione, e quindi di garantire un’effettiva protezione per la vita sociale ed economica dell’Unione. La normativa impone, in particolare, obblighi di cybersicurezza stringenti in capo a un’ampia platea di organizzazioni operanti in settori ritenuti critici per il funzionamento della società europea.
La Direttiva NIS2 sostituirà quindi la precedente Direttiva NIS, che abrogherà, a decorrere dal 18 ottobre 2024, con l’obiettivo di affrontare un panorama di minacce mutato radicalmente e ovviare, al tempo stesso, le problematiche che hanno impedito alla Direttiva NIS di ottenere i risultati sperati.
Chi è soggetto alla Direttiva NIS2
Una delle più importanti novità introdotte dalla Direttiva NIS2 è l’ampio bacino di settori merceologici in perimetro. Viene abbandonata la distinzione tra Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD) in favore di quella tra Soggetti Essenziali e Soggetti Importanti. Ricadono in queste categorie tutti i soggetti che operano nei Settori ad Alta Criticità e negli Altri Settori Critici indicati rispettivamente negli Allegati 1 e 2 della Direttiva e che soddisfano specifici criteri di dimensionamento (pur prevedendo alcune, limitate, eccezioni).
Fra i nuovi settori è compreso quello della Pubblica Amministrazione.
Tabella 1: settori ad alta criticità
Settore | Sottosettore | Tipo di soggetto |
1. Energia | a) Energia elettrica | — Impresa elettrica quale definita all’articolo 2, punto 57), della direttiva (UE) 2019/944 del Parlamento europeo e del Consiglio (1) che esercita attività di «fornitura» quale definita all’articolo 2, punto 12), di tale direttiva |
— Gestori del sistema di distribuzione quali definiti all’articolo 2, punto 29), della direttiva (UE) 2019/944 | ||
— Gestori del sistema di trasmissione quali definiti all’articolo 2, punto 35), della direttiva (UE) 2019/944 | ||
— Produttori quali definiti all’articolo 2, punto 38), della direttiva (UE) 2019/944 | ||
— Gestori del mercato elettrico designato quali definiti all’articolo 2, punto 8), del regolamento (UE) 2019/943 del Parlamento europeo e del Consiglio (2) — Partecipanti al mercato dell’energia elettrica quali definiti all’articolo 2, punto 25), del regolamento (UE) 2019/943 che forniscono servizi di aggregazione, gestione della domanda o stoccaggio di energia quali definiti all’articolo 2, punti 18), 20) e 59) della direttiva (UE) 2019/944 — Gestori di un punto di ricarica responsabili della gestione e del funzionamento di un punto di ricarica che fornisce un servizio di ricarica a utenti finali, anche in nome e per conto di un fornitore di servizi di mobilità | ||
b) Teleriscaldamento e teleraffrescamento | — Gestori di teleriscaldamento o teleraffrescamento quali definiti all’articolo 2, punto 19), della direttiva (UE) 2018/2001 del Parlamento europeo e del Consiglio (3) | |
c) Petrolio | — Gestori di oleodotti | |
— Gestori di impianti di produzione, raffinazione, trattamento, deposito e trasporto di petrolio | ||
— Organismi centrali di stoccaggio quali definiti all’articolo 2, lettera f), della direttiva 2009/119/CE del Consiglio (4) | ||
d) Gas | — Imprese fornitrici quali definite all’articolo 2, punto 8), della direttiva 2009/73/CE del Parlamento europeo e del Consiglio (5) | |
— Gestori del sistema di distribuzione quali definiti all’articolo 2, punto 6), della direttiva 2009/73/CE | ||
— Gestori del sistema di trasporto quali definiti all’articolo 2, punto 4), della direttiva 2009/73/CE | ||
— Gestori dell’impianto di stoccaggio quali definiti all’articolo 2, punto 10), della direttiva 2009/73/CE | ||
— Gestori del sistema GNL quali definiti all’articolo 2, punto 12), della direttiva 2009/73/CE | ||
— Imprese di gas naturale quali definite all’articolo 2, punto 1), della direttiva 2009/73/CE; | ||
— Gestori di impianti di raffinazione e trattamento di gas naturale | ||
e) Idrogeno | — Gestori di impianti di produzione, stoccaggio e trasporto di idrogeno | |
2. Trasporti | a) Trasporto aereo | — Vettori aerei quali definiti all’articolo 3, punto 4), del regolamento (CE) n. 300/2008 utilizzati a fini commerciali |
— Gestori aeroportuali quali definiti all’articolo 2, punto 2), della direttiva 2009/12/CE del Parlamento europeo e del Consiglio (6), aeroporti quali definiti all’articolo 2, punto 1), di tale direttiva, compresi gli aeroporti centrali di cui all’allegato II, sezione 2, del regolamento (UE) n. 1315/2013 del Parlamento europeo e del Consiglio (7), e soggetti che gestiscono impianti annessi situati in aeroporti | ||
— Operatori attivi nel controllo della gestione del traffico che forniscono un servizio di controllo del traffico aereo quali definiti all’articolo 2, punto 1), del regolamento (CE) n. 549/2004 del Parlamento europeo e del Consiglio (8) | ||
b) Trasporto ferroviario | — Gestori dell’infrastruttura quali definiti all’articolo 3, punto 2), della direttiva 2012/34/UE del Parlamento europeo e del Consiglio (9) | |
— Imprese ferroviarie quali definiti all’articolo 3, punto 1), della direttiva 2012/34/UE, compresi gli operatori degli impianti di servizio quali definiti all’articolo 3, punto 12), di tale direttiva | ||
c) Trasporto per vie d’acqua | — Compagnie di navigazione per il trasporto per vie d’acqua interne, marittimo e costiero di passeggeri e merci quali definite per il trasporto marittimo all’allegato I del regolamento (CE) n. 725/2004 del Parlamento europeo e del Consiglio (10), escluse le singole navi gestite da tale compagnia | |
— Organi di gestione dei porti quali definiti all’articolo 3, punto 1), della direttiva 2005/65/CE del Parlamento europeo e del Consiglio (11), compresi i relativi impianti portuali quali definiti all’articolo 2, punto 11), del regolamento (CE) n. 725/2004, e soggetti che gestiscono opere e attrezzature all’interno di porti | ||
— Gestori di servizi di assistenza al traffico marittimo (VTS) quali definiti all’articolo 3, lettera o), della direttiva 2002/59/CE del Parlamento europeo e del Consiglio (12) | ||
d) Trasporto su strada | — Autorità stradali quali definite all’articolo 2, punto 12), del regolamento delegato (UE) 2015/962 della Commissione (13) responsabili del controllo della gestione del traffico, esclusi i soggetti pubblici per i quali la gestione del traffico o la gestione di sistemi di trasporto intelligenti costituiscono soltanto una parte non essenziale della loro attività generale | |
— Gestori di sistemi di trasporto intelligenti quali definiti all’articolo 4, punto 1), della direttiva 2010/40/UE del Parlamento europeo e del Consiglio (14) | ||
3. Settore bancario | Enti creditizi quali definiti all’articolo 4, punto 1), del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio (15) | |
4. Infrastrutture dei mercati finanziari | — Gestori delle sedi di negoziazione quali definiti all’articolo 4, punto 24), della direttiva 2014/65/UE del Parlamento europeo e del Consiglio (16) | |
— Controparti centrali (CCP) quali definite all’articolo 2, punto 1), del regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio (17) | ||
5. Settore sanitario | — Prestatori di assistenza sanitaria quali definiti all’articolo 3, lettera g), della direttiva 2011/24/UE del Parlamento europeo e del Consiglio (18) | |
— Laboratori di riferimento dell’UE quali definiti all’articolo 15 del regolamento (UE) 2022/2371 del Parlamento europeo e del Consiglio (19) | ||
— Soggetti che svolgono attività di ricerca e sviluppo relative ai medicinali quali definiti all’articolo 1, punto 2), della direttiva 2001/83/CE del Parlamento europeo e del Consiglio (20) — Soggetti che fabbricano prodotti farmaceutici di base e preparati farmaceutici di cui alla sezione C, divisione 21, della NACE Rev. 2 — Soggetti che fabbricano dispositivi medici considerati critici durante un’emergenza di sanità pubblica (elenco dei dispositivi critici per l’emergenza di sanità pubblica) di cui all’articolo 22 del regolamento (UE) 2022/123 del Parlamento europeo e del Consiglio (21) | ||
6. Acqua potabile | Fornitori e distributori di acque destinate al consumo umano, quali definiti all’articolo 2, punto 1, lettera a), della direttiva (UE) 2020/2184 del Parlamento europeo e del Consiglio (22), ma esclusi i distributori per i quali la distribuzione di acque destinate al consumo umano è una parte non essenziale dell’attività generale di distribuzione di altri prodotti e beni | |
7. Acque reflue | Imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali quali definite all’articolo 2, punti da 1), 2) e 3), della direttiva 91/271/CEE del Consiglio (23), escluse le imprese per cui la raccolta, lo smaltimento o il trattamento di acque reflue urbane, domestiche o industriali è una parte non essenziale della loro attività generale | |
8. Infrastrutture digitali | — Fornitori di punti di interscambio internet | |
— Fornitori di servizi DNS, esclusi gli operatori dei server dei nomi radice | ||
— Registri dei nomi di dominio di primo livello (TLD) | ||
— Fornitori di servizi di cloud computing | ||
— Fornitori di servizi di data center | ||
— Fornitori di reti di distribuzione dei contenuti (content delivery network) | ||
— Fornitori di servizi fiduciari | ||
— Fornitori di reti pubbliche di comunicazione | ||
— Fornitori di servizi di comunicazione elettronica accessibili al pubblico | ||
9. Gestione dei servizi TIC (business-to-business) | — Fornitori di servizi gestiti — Fornitori di servizi di sicurezza gestiti | |
10. Pubblica amministrazione | — Enti della pubblica amministrazione delle amministrazioni centrali quali definiti da uno Stato membro conformemente al diritto nazionale | |
— Enti della pubblica amministrazione a livello regionale quali definiti da uno Stato membro conformemente al diritto nazionale | ||
11. Spazio | Operatori di infrastrutture terrestri possedute, gestite e operate dagli Stati membri o da privati, che sostengono la fornitura di servizi spaziali, esclusi i fornitori di reti pubbliche di comunicazione elettronica |
Tabella 2: altri settori critici
Settore | Sottosettore | Tipo di soggetto |
1. Servizi postali e di corriere | Fornitori di servizi postali quali definiti all’articolo 2, punto 1 bis), della direttiva 97/67/CE, tra cui i fornitori di servizi di corriere | |
2. Gestione dei rifiuti | Imprese che si occupano della gestione dei rifiuti quali definite all’articolo 3, punto 9), della direttiva 2008/98/CE del Parlamento europeo e del Consiglio (1), escluse quelle per cui la gestione dei rifiuti non è la principale attività economica | |
3. Fabbricazione, produzione e distribuzione di sostanze chimiche | Imprese che si occupano della fabbricazione di sostanze e della distribuzione di sostanze o miscele di cui all’articolo 3, punti 9) e 14), del regolamento (CE) n. 1907/2006 del Parlamento europeo e del Consiglio (2) e imprese che si occupano della produzione di articoli quali definite all’articolo 3, punto 3), del medesimo regolamento, da sostanze o miscele | |
4. Produzione, trasformazione e distribuzione di alimenti | Imprese alimentari quali definite all’articolo 3, punto 2), del regolamento (CE) n. 178/2002 del Parlamento europeo e del Consiglio (3) che si occupano della distribuzione all’ingrosso e della produzione industriale e trasformazione | |
5. Fabbricazione | a) Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro | Soggetti che fabbricano dispositivi medici quali definiti all’articolo 2, punto 1), del regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio (4) e soggetti che fabbricano dispositivi medico-diagnostici in vitro quali definiti all’articolo 2, punto 2), del regolamento (UE) 2017/746 del Parlamento europeo e del Consiglio (5) ad eccezione dei soggetti che fabbricano dispositivi medici di cui all’allegato I, punto 5), quinto trattino, della presente direttiva |
b) Fabbricazione di computer e prodotti di elettronica e ottica | Imprese che svolgono attività economiche di cui alla sezione C, divisione 26, della NACE Rev. 2 | |
c) Fabbricazione di apparecchiature elettriche | Imprese che svolgono attività economiche di cui alla sezione C, divisione 27, della NACE Rev. 2 | |
d) Fabbricazione di macchinari e apparecchiature n.c.a. | Imprese che svolgono attività economiche di cui alla sezione C, divisione 28, della NACE Rev. 2 | |
e) Fabbricazione di autoveicoli, rimorchi e semirimorchi | Imprese che svolgono attività economiche di cui alla sezione C, divisione 29, della NACE Rev. 2 | |
f) Fabbricazione di altri mezzi di trasporto | Imprese che svolgono attività economiche di cui alla sezione C, divisione 30, della NACE Rev. 2 | |
6. Fornitori di servizi digitali | — Fornitori di mercati online | |
— Fornitori di motori di ricerca online | ||
— Fornitori di piattaforme di servizi di social network | ||
7. Ricerca | Organizzazioni di ricerca |
Ai sensi del criterio del dimensionamento, sono automaticamente in perimetro NIS2 tutte le grandi imprese dei settori individuati, vale a dire quelle con più di 250 dipendenti o un fatturato annuo maggiore di 50 milioni di euro o un totale di bilancio annuo superiore a 43 milioni di euro. Sono inoltre in perimetro le medie imprese, ossia quelle con un numero di dipendenti compreso fra 50 e 250 o un fatturato annuo o un totale di bilancio compreso fra 10 e 50 milioni di euro o con un totale di bilancio annuo non superiore a 43 milioni di euro, che operano nei settori individuati. Diversi i criteri per l’individuazione delle Pubbliche Amministrazioni in perimetro, che lasciano maggiore spazio di valutazione agli Stati Membri in fase di recepimento. Si aggiungono infine alcune categorie specifiche di soggetti, anche piccole imprese, individuate più puntualmente nella Direttiva.
Obiettivo della Direttiva NIS2 è anche rafforzare il livello di armonizzazione nell’Unione, limitando la possibilità per gli Stati Membri di escludere talune entità (gli Stati Membri potranno, al contrario, intervenire in fase di recepimento per includere soggetti o definire requisiti più dettagliati). Ne conseguirà un ampliamento significativo della platea di soggetti impattati dalla Direttiva: secondo le stime presentate dalla Commissione Europea in fase di valutazione di impatto, saranno coinvolte direttamente circa 110.000 entità, suddivise, indicativamente, tra 67.000 soggetti essenziali e 43.000 soggetti importanti. A livello italiano, il numero potrebbe aggirarsi in un intorno dei 15.000 soggetti complessivamente. Importanti naturalmente anche le ricadute sulla catena di fornitura.
Gli obblighi per i soggetti in perimetro
Le entità in perimetro NIS2 saranno chiamate a rispettare requisiti che spaziano dalla governance della cybersicurezza, all’adozione di misure per la gestione dei rischi (inclusa la sicurezza della catena di fornitura), fino alla gestione della continuità operativa e alla segnalazione degli incidenti.
Governance
Dal punto di vista della governance, la NIS2 prevede che gli organi di gestione dei soggetti essenziali e importanti, ad esempio il Consiglio d’Amministrazione, debbano approvare le misure per la gestione dei rischi adottate dall’Organizzazione, seguire una formazione periodica su tematiche di cybersicurezza e offrire una formazione analoga ai loro dipendenti.
Risk management
Inoltre, la NIS2 prevede, in ambito risk management, l’obbligo di valutare i rischi e attuare le necessarie misure tecniche e organizzative: l’art. 21 della Direttiva presenta un elenco di requisiti di alto livello, come l’autenticazione a più fattori, la crittografia e il rispetto di pratiche di igiene informatica di base e sicurezza delle risorse umane.
I rischi da valutare comprendono anche quelli legati alla supply-chain: le organizzazioni in perimetro sono tenute a garantire la sicurezza della propria catena di approvvigionamento, presidiando gli aspetti di sicurezza dei rapporti con i propri fornitori, considerandone le vulnerabilità specifiche nonché la qualità complessiva di prodotti e pratiche di cybersicurezza.
La capacità di garantire la continuità operativa è, altresì, citata tra le misure di gestione del rischio, con riferimenti ad aspetti quali il backup, il ripristino in caso di disastro e la gestione delle crisi, finalizzati a ridurre al minimo l’impatto di eventuali interruzioni dei servizi erogati.
Oltre a garantire la resilienza e il ripristino in casi di disastro, le entità essenziali e importanti hanno il dovere di notificare ai rispettivi CSIRT o all’autorità nazionale competente – senza indebito ritardo e presentando un preallarme entro 24 ore dal momento in cui ne sono venuti a conoscenza – qualsiasi incidente che abbia un impatto significativo sulla fornitura dei loro servizi.
La catena di fornitura
Per quanto riguarda la catena di fornitura, ai soggetti in perimetro sarà richiesto di tenere conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro. Non si tratta solo dei fornitori di servizi e prodotti ICT: si tratta di tutti i fornitori per i quali un problema legato alla cibersicurezza possa portare ad un incidente presso il soggetto, ad esempio l’interruzione del servizio per il quale è stato incluso nel perimetro NIS2.
Controlli e sanzioni in caso di inadempienza
A livello di direttiva, non sono previste differenze tra soggetti essenziali e importanti dal punto di vista dei requisiti di cybersicurezza da soddisfare. Sarà però possibile che le misure di sicurezza, nel dettaglio, siano graduate in fase di recepimento in funzione delle dimensioni e della criticità del soggetto. Differenze importanti risiedono, invece, nella severità delle misure di vigilanza e delle sanzioni, con le entità essenziali soggette a controlli e multe più severe rispetto a quelle importanti. La logica per l’applicazione delle sanzioni è simile a quella di altre normative, come ad esempio il GDPR: l’entità della sanzione viene stabilita sulla base di un importo minimo predefinito o di una percentuale di fatturato a seconda di quale dei due valori sia superiore. In caso di inadempienza, le entità essenziali sono soggette a sanzioni “pari a un massimo di almeno 10.000.000 EUR o a un massimo di almeno il 2 % del totale del fatturato mondiale annuo.” Per i soggetti importanti le sanzioni sono più lievi: “un massimo di almeno 7 000 000 EUR o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo.”
Inoltre, la non conformità di un’entità essenziale, nei casi più gravi, può comportare la sospensione o il divieto temporaneo a qualsiasi persona che svolga funzioni dirigenziali (come amministratore delegato o rappresentante legale) in tale soggetto di svolgere le suddette funzioni in quel soggetto.
Cosa possono fare le imprese per prepararsi
Come detto, trattandosi di una Direttiva, la NIS2 dovrà essere recepita nel diritto nazionale dagli Stati Membri. Gli obblighi diverranno a tutti gli effetti applicabili dal giorno successivo alla data stabilita per il recepimento della Direttiva da parte degli Stati Membri, fissata per il 17 ottobre 2024. Durante il processo di recepimento, gli Stati Membri potranno definire in modo più puntuale alcuni degli obblighi imposti alle organizzazioni, tenendo conto delle peculiarità dei rispettivi contesti nazionali. È ipotizzabile, inoltre, che in fase di recepimento vengano definiti i tempi di adeguamento per i soggetti in perimetro.
Tuttavia, molti ambiti in cui le organizzazioni saranno chiamate a intervenire in ottica di adeguamento sono identificabili già oggi.
È dunque consigliabile per le organizzazioni muoversi fin da subito per verificare se rientrino o meno nel perimetro di applicabilità della Direttiva e con riferimento a quali settori.
Sarà poi opportuno procedere con una valutazione del proprio attuale livello di conformità al fine di pianificare per tempo le necessarie azioni di adeguamento. Interventi come quelli sulla catena di fornitura, ad esempio, possono richiedere un impegno ed un intervallo di tempo importanti, e può essere conveniente valutare con il dovuto anticipo quali azioni siano necessarie e quali si possano avviare più efficacemente fin da subito, per non trovarsi a operare poi in tempi stretti e con maggiore difficoltà.
Conclusioni
Negli ultimi anni è risultato ormai evidente come le aziende, le pubbliche amministrazioni e, complessivamente, la nostra vita sociale ed economica dipendano dalle informazioni e dai sistemi informativi che ne costituiscono uno strumento di gestione essenziale. Non possiamo sapere quali difficoltà e sfide ci potrà portare l’evoluzione dello scenario geopolitico nei prossimi anni, ma la Direttiva NIS2 e le altre norme ad essa collegate (Cyber Resilience Act, Regolamento DORA, Direttiva CER sui soggetti critici, ecc.) rappresentano uno strumento importante con cui l’Unione Europea vuole guidare le organizzazioni verso una resilienza adeguata per affrontare queste sfide.
Certamente, rappresenteranno il filo conduttore del mercato della sicurezza nei prossimi anni in Europa, come negli anni dal 2016 al 2020 lo ha rappresentato il GDPR. È opportuno quindi che i soggetti in perimetro e i loro fornitori si preparino ad affrontarle in modo tempestivo ed efficace, per ridurre gli impatti negativi sulle proprie organizzazioni e, soprattutto, per gestire adeguatamente i rischi che comunque nei prossimi anni si troveranno ad affrontare.