Massivedynamic.co

Direttiva NIS 2: Chi riguarda e cosa prevede?
  • Text Hover
  • Text Hover
La Direttiva NIS 2, pubblicata nella Gazzetta Ufficiale dell’Unione Europea il 27 dicembre 2022 ed entrata in vigore il 16 gennaio 2023, nasce in seguito a una profonda revisione della precedente Direttiva NIS attuata in Italia con D.lgs. n. 65 del 18 maggio 2018 che ha propulso lo sviluppo delle capacità di cyber sicurezza in tutta l'Unione Europea, rilevando però alcune importanti carenze che impediscono di di affrontare le sfide emergenti sulla sicurezza informatica su temi quali l'Intelligenza Artificiale (AI) .

La nuova Direttiva NIS 2, che dovrà essere recepita dalle legislazioni nazionali degli Stati membri dell’UE entro il 18 ottobre 2024, vedrà l'estensione di obblighi ad un maggior numero di settori e servizi oltre a quelli essenziali già definiti nella precedente Direttiva. 

A differenza della NIS, in cui gli Stati membri potevano decidere individualmente quali operatori fossero essenziali, la NIS 2 introduce una regola di dimensionamento. Entità di dimensioni medio-grandi (con minimo 50 dipendenti e un fatturato annuo superiore a 10 milioni) che operano nei settori rilevanti saranno obbligate ad adoperarsi. 

Le imprese più piccole in generale sono escluse, con l’eccezione di quelle la cui attività è ritenuta di importanza critica per la società. Tali imprese sono costrette a soddisfare requisiti più severi, adottare misure di vigilanza più rigide, e a sottostare a precisi obblighi di comunicazione.
Quali sono i settori essenziali?

  • Energia (elettrica, teleriscaldamento, petrolio, gas, idrogeno) & acqua potabile / acque reflue

  • Banche, mercati finanziari, infrastrutture digitali & pubblica amministrazione

  • Trasporti (ferroviario, stradale, aereo e nautica) e spazio

  • Fornitori di servizi digitali, e-commerce, motori di ricerca, cloud computing, gestione di servizi ICT, reti pubbliche di comunicazione e servizi di comunicazione

  • Sanità (assistenziali, R&S, laboratori, case farmaceutiche e produttori di dispositivi medici)

Il legislatore europeo ha definito ulteriori settori critici per cui anche imprese di piccole dimensioni rientreranno nella NIS2:

  • Servizi postali e di corriere

  • Gestione dei rifiuti

  • Fabbricazione, produzione e distribuzione di sostanze chimiche

  • Produzione, trasformazione e distribuzione di alimenti

  • Fabbricazione di: dispositivi medici e medico-diagnostici in vitro; computer, prodotti di elettronica e ottica; apparecchiature elettriche; macchinari e apparecchiature n.c.a.; autoveicoli, rimorchi e semirimorchi e altri mezzi di trasporto

Cosa prevede la Direttiva NIS2?
La nuova direttiva, volta ad aumentare a livello europeo i requisiti minimi di sicurezza per garantire una maggiore cyber-resilienza, prevede che ogni stato membro adotti strategie nazionali per mantenere un elevato livello di cybersicurezza nei settori critici, includendo un quadro di governance per chiarire i ruoli e le responsabilità dei portatori di interesse, una politica per la sicurezza delle catene di approvvigionamento, gestione delle vulnerabilità, promozione e sviluppo dell'istruzione e formazione sulla cybersecurity, e misure per aumentare la consapevolezza sulla stessa. Possiamo dunque riassumere ciò che la Direttiva impone in alcuni pilastri fondamentali che comprendono: 

  • La razionalizzazione dei requisiti minimi di sicurezza;
  • L’adozione di un approccio multirischio”;
  • L'obbligo di segnalare minacce e incidenti informatici significativi alle autorità competenti o a Computer Security Incident Response Teams (CSIRT) entro le 24 ore;
  • La produzione e l'implementazione di un piano di risposta agli incidenti;
  • La regolamentazione della divulgazione coordinata delle vulnerabilità (CVD);
  • L’implementazione di misure di cooperazione, al fine di sostenere la gestione coordinata delle crisi su vasta scala.
  • Text Hover
I requisiti per la conformità
Ad ogni stato membro spetta il compito di garantire che le entità essenziali e importanti adottino misure adeguate alla gestione dei rischi. Queste misure includono anche la prevenzione e la minimizzazione degli impatti di incidenti sui destinatari dei loro servizi.
Le misure che queste entità essenziali e importanti devono dunque adottare si devono basare su un approccio multirischio che mira a proteggere i sistemi informatici, le reti e il loro ambiente fisico dagli incidenti, e deve includere almeno i seguenti elementi:

  • Politiche di analisi dei rischi e sicurezza dei sistemi informatici;
  • Politiche per la gestione degli incidenti;
  • Servizi di continuità operativa con gestione dei backup e ripristino in caso di disastro;
  • Sicurezza della catena di approvvigionamento, compresi i rapporti con fornitori;
  • Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
  • Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cyber sicurezza;
  • Pratiche di igiene informatica di base e formazione in materia di cybersicurezza;
  • Politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
  • Sicurezza delle risorse umane, strategie di controllo dell’accesso, e autenticazione a più fattori o di autenticazione continua;
  • Soluzioni di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti.
Il ruolo dell'ACN nel coordinamento
Il ruolo di coordinamento e di individuazione dei soggetti è assegnato all’Agenzia per la Cybersicurezza Nazionale (ACN), la quale realizzerà una piattaforma, attiva dal 18 ottobre 2024, sulla quale le entità che ritengono di essere coinvolte dalle regole della NIS 2 dovranno registrarsi, indicando un elenco delle proprie attività, dei propri servizi e di tutti gli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza.

L’Agenzia, entro 90 giorni dalla comunicazione, rilascerà una sorta di conformità circa la qualificazione di “soggetto essenziale” o di “soggetto importante”, quindi stabilirà le categorie di rilevanza nonché il processo, le modalità e i criteri per caratterizzare le attività e i servizi da registrare sulla piattaforma.

Alla luce di tali adempimenti, la NIS 2 sarà operativa dal 17 aprile 2025, ovvero quando l’ACN avrà presumibilmente completato la lista dei soggetti che dovranno attenersi alla direttiva.  

Le attività potranno essere successivamente soggette ad attività di vigilanza e audit sulla sicurezza, periodici e mirati, effettuati da organismi indipendenti o da ACN.

Il potere dato alle autorità competenti
Rispetto alla precedente direttiva NIS, con questa direttiva sono concessi maggiori poteri alle autorità competenti per il monitoraggio delle entità che saranno soggette a vigilanza ex ante ed ex post.

Le autorità competenti, durante le loro attività di supervisione sui soggetti importanti, avranno il potere di eseguire:

  • Ispezioni sul posto e vigilanza a distanza, compresi controlli casuali eseguiti da professionisti qualificati.
  • Audit periodici e mirati sulla sicurezza eseguiti da un organismo indipendente o dall’autorità competente.
  • Audit straordinari in caso di incidenti significativi o violazioni della direttiva.
  • Scansioni di sicurezza basate su criteri di valutazione dei rischi in cooperazione con il soggetto interessato.
  • Richieste di informazioni per valutare le misure di gestione dei rischi di cyber security adottate, comprese le politiche documentate e il rispetto degli obblighi informativi verso le autorità competenti.
  • Richieste di accesso a dati, documenti e altre informazioni necessarie per svolgere le attività di vigilanza.
  • Richieste di dati che dimostrino l’attuazione delle politiche di cyber security, come i risultati di audit effettuati da un controllore qualificato e le relative prove.
Esistono sanzioni nel caso di inadempimento?
Il testo lo spiega chiaramente senza lasciare spazio per interpretazioni: Gli Stati membri devono provvedere affinché le sanzioni amministrative pecuniarie imposte ai soggetti essenziali e importanti in relazione alle violazioni della direttiva siano abbastanza salate da poter dissuadere potenziali trasgressori. 

La direttiva prevede uno specifico apparato sanzionatorio, più severo e armonizzato a livello europeo, allo scopo di garantire una maggiore uniformità e deterrenza in tutta l’UE.

In presenza di difformità, rispetto alle prescrizioni contenute nella Direttiva, l’ACN invia una diffida all’operatore e, nel caso di cui le anomalie non siano state sanate o sanabili, può irrogare sanzioni in base alla categoria di appartenenza:

  • I soggetti essenziali possono ricevere sanzioni amministrative pecuniarie fino a un massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale, qualsiasi dei due sia superiore;
  • I soggetti importanti andrebbero in contro a sanzioni amministrative pecuniarie fino a un massimo di euro 7.000.000 o dell’1,4% del totale del fatturato annuo su scala mondiale, qualsiasi dei due sia superiore;
  • Le pubbliche amministrazioni possono essere invece soggette a sanzioni amministrative pecuniarie da euro 25.000 a euro 125.000.

Oltre a queste sanzioni, gli Stati membri hanno la facoltà di infliggere penalità di mora al fine di imporre a un soggetto essenziale o importante di cessare una violazione della direttiva NIS 2.