La revisione della direttiva NIS tocca diversi ambiti correlati alla protezione dei dati personali: il Garante europeo ha sottolineato i punti di contatto e fornito raccomandazioni specifiche su incidenti e supply chain.
Direttiva NIS: una revisione necessaria
La Direttiva 2016/1148 dell’Unione Europea sulla sicurezza delle reti e dei sistemi informativi (NIS) è stata recepita nell’ordinamento italiano con il decreto legislativo n.65 del 18 maggio 2018. Tuttavia, come noto, già lo scorso dicembre la Commissione ha presentato una proposta di revisione che porterà alla nascita della c.d. NIS 2. Recentemente, lo European Data Protection Supervisor (EDPS), il Garante europeo della protezione dei dati, si è espresso sulla proposta formulando una serie di commenti e raccomandazioni che potranno fornire interessanti spunti sulle modifiche.
Una tale accelerazione al processo di revisione si è dimostrata necessaria non solo vista la velocità che contraddistingue le tecnologie digitali, ma soprattutto a causa della spinta fornita dalla pandemia. Improvvisamente ci si è resi conto dell’importanza di tutta una serie di infrastrutture e operatori di servizi essenziali che, tuttavia, non rientravano a pieno nell’ambito di applicazione della NIS perché non chiaramente definiti tali, o per via del margine di discrezionalità lasciato agli stati membri.
D’altra parte, in assenza di adeguate cautele e misure di sicurezza, il trasferimento improvviso e massiccio di buona parte delle attività lavorative in ambienti digitali ha esposto i sistemi a crescenti attacchi cibernetici per i fini più disparati: dal cyber-crime allo spionaggio, fino agli attacchi da parte di attori statali.
In generale, nel valutare il funzionamento della direttiva, sono stati riscontrati:
- un basso livello di cyber resilienza delle imprese operanti nell’Unione Europea,
- un’applicazione disomogenea tra i vari stati,
- un comune basso livello di consapevolezza e capacità di risposta alle crisi.
Entità essenziali ed entità importanti
Sarà quindi introdotta una nuova classificazione che sostituirà quella attualmente in vigore che distingue fra operatori di servizi essenziali (OSE) e fornitori di servizi digitali (FSD). Superando l’incertezza derivante dalla possibilità per i singoli Stati di procedere all’individuazione dei soggetti a cui si applica la direttiva, si prevede l’introduzione delle categorie di “entità essenziali” ed “entità importanti”.
Fra le prime dovrebbero rientrare settori classici quali energia, trasporti, banche, mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, Pubblica Amministrazione e spazio. La categoria delle entità importanti, invece, sembra rispondere direttamente alla necessità di salvaguardare anche quelle realtà dimostratesi essenziali durante gli eventi dell’anno appena trascorso, ma che non risultavano adeguatamente tutelate. Ecco quindi fare il loro ingresso i seguenti settori: servizi postali, manifatturiero, provider di servizi digitali, smaltimento rifiuti, industria chimica e alimentare. A tale distinzione si accompagna una previsione di carattere dimensionale che riporta tutte le medie e grandi imprese, come definite dalla raccomandazione della Commissione Europea 2003/361/CE, nel campo di applicazione della NIS 2. Ciò al fine di non lasciare margine di discrezionalità e di non imporre incombenze troppo onerose per le realtà più piccole (a meno che non rivestano ruoli di particolare importanza), che dovranno comunque sottostare a linee guida e misure minime individuate dagli stati.
Gestione dei rischi cibernetici
Vengono introdotte novità anche per quanto concerne la gestione dei rischi: gli obblighi di sicurezza vengono rafforzati con la previsione di un elenco di misure minime di sicurezza. I soggetti rientrati nel campo di applicazione dovranno adottare misure tecniche e organizzative adeguate e proporzionate per gestire le minacce poste alla sicurezza delle reti e dei sistemi informativi, nonché per minimizzare l’impatto di eventuali incidenti informatici. Tuttavia, se per le entità essenziali si prevede un regime regolatorio stringente e sottoposto a vigilanza preventiva, per quelle importanti ci si limiterà a un controllo successivo più leggero sull’implementazione delle misure e sulla risposta agli incidenti.
A tal proposito, il Garante europeo ha suggerito di prevedere una più profonda integrazione della protezione dei dati personali con la gestione del rischio cibernetico, al fine di realizzare un approccio olistico che induca una sinergia fra organizzazioni pubbliche e private. Ciò permetterebbe di evitare inutili sovrapposizioni e semplificare gli sforzi necessari per proteggere contestualmente dati personali e sistemi informatici.
Supply chain e crittografia
Particolare attenzione viene rivolta ai controlli sulla sicurezza informatica dei fornitori e di tutta la supply chain, che, come reso evidente dall’attacco a SolarWinds, possono avere risvolti catastrofici per portata e impatti. Inoltre, la possibilità che una tale compromissione rimanga celata per lungo tempo, esponendo quindi a rischi inconsapevoli, rende imprescindibile una verifica di tutta la catena di fornitori che dia sufficienti garanzie di sicurezza. Al fine di facilitare tali controlli di conformità, gli Stati membri potranno richiedere ai soggetti interessati di aderire a certificazioni di sicurezza informatica sviluppati in ambito europeo e coordinati dall’ENISA.
Il Garante ha raccomandato l’effettiva implementazione dei principi di privacy by design e by default, di cui all’articolo 25 del GDPR, anche nei sistemi dei fornitori, specialmente se extra-UE. Ha inoltre sottolineato come prodotti di sicurezza informatica a carattere open source (hardware, software e sistemi crittografici) potrebbero offrire la necessaria trasparenza per mitigare i rischi specifici della supply chain.
Riguardo alla crittografia, sottolineando quanto sia essenziale per la sicurezza di sistemi informatici e privacy, l’EDPS ha specificato non solo che le eccezioni dovrebbero limitarsi a quelle definite dalle autorità per i controlli di polizia, ma che la proposta non dovrebbe in alcun modo favorire l’indebolimento della crittografia end-to-end con l’uso di sistemi quali backdoor.
Direttiva NIS 2, perché la crittografia è leva per la privacy: cosa dice l’EDPS
Segnalazione incidenti e cooperazione
La NIS 2 proporrà disposizioni più dettagliate sulla procedura di segnalazione degli incidenti, nonché una precisa definizione di cosa costituisca un incidente rilevante nel senso della direttiva. Un incidente sarà ritenuto significativo qualora abbia un impatto sulla continuità e fornitura dei servizi, causi perdite finanziarie o danni alle attività operative, oppure colpisca persone fisiche o giuridiche determinando considerevoli danni, materiali o meno. Il tempo per effettuare la notifica allo CSIRT (Computer Security Incident Response Team) scende a 24 ore, mentre è previsto un report finale da rilasciare dopo un mese. A tali previsioni obbligatorie si accompagna un’esortazione per i soggetti non coperti dalla direttiva a riportare volontariamente incidenti o minacce alla sicurezza di reti o informazioni.
Il Garante ha accolto con favore l’attenzione rivolta ad eventuali danni alle persone che ben potrebbero consistere in violazioni di dati personali. Nonostante in tale frangente possa sembrare esserci una sovrapposizione con le disposizioni del GDPR, gli specifici obblighi differiscono ed evitano potenziale confusione. Viene accolta ugualmente con favore la previsione di una stretta collaborazione fra le autorità NIS e quelle deputate alla protezione dei dati personali in caso di incidenti che risultino in violazioni di dati personali. In tal caso, l’unico suggerimento dell’EPDS è quello di prevedere che l’obbligo di notifica alle autorità competenti in materia di privacy avvenga “senza ingiustificato ritardo” piuttosto che “entro un periodo di tempo ragionevole”.
Nell’ottica di favorire ulteriormente la cooperazione fra gli Stati membri e la condivisione di informazioni rilevanti in caso di incidenti, la proposta della Commissione è tesa a rinforzare il ruolo del Cooperation Group, in cui il Garante suggerisce di includere anche un rappresentante dello European Data Protection Board (EDPB). Al CyCLONe (Cyber Crisis Liaison Organisation Network) spetta invece il coordinamento della gestione degli incidenti cibernetici su larga a scala a carattere transfrontaliero. Infine, il Network degli CSIRT europei rappresenta il forum ideale per lo scambio di informazioni e per rafforzare la fiducia di tutte le parti coinvolte, incluse le organizzazioni private e i fornitori.
Cyber security, gli Stati Ue coalizzati nella rete CyCLONe: obiettivi e vantaggi
Conclusioni
Nelle more del processo di revisione, i rilievi positivi posti dal Garante confermano la bontà della direzione intrapresa dalla Commissione, ma allo stesso tempo evidenziano come si stiano stratificando normative e istituzioni i cui ambiti di competenza spesso si intersecano. Considerando anche la concomitante revisione della direttiva ICE, si corre il rischio di non riuscire a coordinare gli sforzi volti a proteggere infrastrutture e sistemi informativi europei.
In tale ottica, sono da accogliere positivamente tutte le iniziative volte ad accrescere la sensibilità sul tema e a favorire la cooperazione fra Stati membri e fra le realtà operanti negli stessi.
