I requisiti tecnici e metodologici saranno approvati dalla Commissione europea entro il 17 Ottobre 2024
La Direttiva cosiddetta NIS2 (NIS è acronimo per “Network and Information Security”) del 14 Dicembre 2022 ha l’intento di garantire un livello comune elevato di cybersicurezza nell’Ue in modo da migliorare il funzionamento del mercato interno. A tal fine, la Direttiva stabilisce: obblighi per gli Stati membri di adottare strategie nazionali in materia di cybersicurezza e di istituire team di risposta agli incidenti di sicurezza informatica (CSIRT); misure in materia di gestione dei rischi; obblighi di segnalazione degli incidenti di sicurezza; obblighi in materia di condivisione delle informazioni sulla cybersicurezza.
I requisiti tecnici e metodologici delle misure identificate dalla direttiva saranno approvati dalla Commissione europea entro il 17 Ottobre 2024.
L’art. 23 della NIS2 prescrive l’obbligo per i soggetti essenziali e importanti di notificare senza indebito ritardo al proprio CSIRT o, se opportuno, all’Autorità competente eventuali incidenti che abbiano un impatto significativo sulla fornitura dei loro servizi. Un incidente è considerato significativo se:
a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
b) si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.
In tal senso gli obblighi sono i seguenti: trasmettere al massimo entro 24 ore da quando si è venuti a conoscenza dell’incidente significativo un preallarme; trasmettere al massimo entro 72 ore una notifica dell’incidente con le informazioni necessarie, ivi inclusa la valutazione iniziale dell’incidente significativo comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione; una relazione finale e completa entro un mese dalla trasmissione della notifica dell’incidente, che contenga una descrizione dettagliata dell’incidente, il tipo di minaccia o la causa di fondo che ha probabilmente innescato l’incidente, le misure di attenuazione adottate e in corso e, infine, se opportuno, l’impatto transfrontaliero dell’incidente.
Non adeguarsi agli obblighi, stabiliti dalla NIS2, può comportare sanzioni amministrative pecuniarie di grande rilievo. In particolare, l’art. 34, paragrafi 4 e 5, prevede:
- per i soggetti essenziali sanzioni pecuniarie pari a un massimo di almeno € 10.000.000,00 o a un massimo di almeno il 2 % del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto essenziale appartiene, se tale importo è superiore;
- per i soggetti importanti sanzioni pecuniarie pari a un massimo di almeno € 7.000.000,00 o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto importante appartiene, se tale importo è superiore.
La logica per la determinazione delle sanzioni è molto simile dunque a quella adottata per le sanzioni di cui al GDPR (v. art. 83, paragrafi 4, 5 e 6 del GDPR).
L’art. 35 della NIS2 regolamenta poi le ipotesi di attacchi e incidenti, che possano comportare una violazione dei dati personali o “data breach” (v. art. 4, n. 12), del GDPR). Ebbene la norma stabilisce che, in tal caso, si debba rispettare l’art 33 del GDPR (notifica al Garante Privacy nazionale) e, se viene irrogata una sanzione pecuniaria per il data breach, allora non si potrà procedere a irrogare un’ulteriore sanzione pecuniaria ai sensi dell’art. 34 della NIS2.
Quanto infine al recepimento della NIS2, l’art. 41 fissa al 17 Ottobre 2024 il termine ultimo per gli Stati membri per adottare e pubblicare le misure necessarie per conformarsi alla direttiva stessa.
Trattasi di un provvedimento molto complesso, composto da 144 Considerando, 46 Articoli e 2 Allegati, con un ambito di applicazione piuttosto vasto, dal momento che, oltre agli operatori dei settori ritenuti “essenziali” (es. energia, trasporti, banche, sanità, acqua etc.) si applicherà anche ai fornitori di servizi digitali che operano in altri settori, anch’essi ormai ritenuti essenziali, come per es.: e-commerce; motori di ricerca; fornitori di servizi cloud e ICT; fabbricazione, produzione e distribuzione di sostanze chimiche; produzione, trasformazione e distribuzione di alimenti; fabbricazione di computer e di apparecchiature elettriche ed elettroniche. All’uopo l’art. 3 della NIS2 distingue tra “soggetti essenziali” e “soggetti importanti”, facendo poi riferimento agli Allegati I e II della direttiva medesima.
Entro il 17 aprile 2025, gli Stati membri dovranno definire l’elenco di tali soggetti, che andrà riesaminato e, se necessario, aggiornato almeno ogni due anni.
L’art. 6 della NIS2 offre, tra l’altro, una serie interessante di definizioni, come per es. quelle di “sistema informatico e di rete”, “incidente”, “incidente di cibersicurezza su vasta scala”, “rischio”, “minaccia informatica”, “vulnerabilità”, “servizio digitale”, “servizio di cloud computing”, “servizio di data center”.
Talune norme sono “programmatiche” e necessiteranno di specifici atti giuridici per essere attuate (convenzioni e accordi tra Stati ovvero provvedimenti governativi dei singoli Stati membri), come quelle che prevedono l’adozione di un piano nazionale di risposta agli incidenti e alle crisi di cibersicurezza su vasta scala (art. 9, paragrafo 4, della NIS2) e, soprattutto, l’istituzione di uno o più CSIRT.
Un altro aspetto particolarmente rilevante concerne la collaborazione tra Stati membri per realizzare una banca dati europea delle vulnerabilità (art. 12 della NIS2) in modo tale da divulgare (e dunque rendere note) in modo coordinato tutte le vulnerabilità scoperte, che anche solo potenzialmente possano essere sfruttate da minaccia informatica (ransomware e phishing prima di tutto).
L’art. 16 della NIS2 prevede addirittura l’istituzione di una “Rete europea delle organizzazioni di collegamento per le crisi informatiche”, cosiddetta “EU-CyCLONe”, al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di cibersicurezza su vasta scala e di garantire il regolare scambio di informazioni pertinenti tra gli Stati membri e le istituzioni, gli organi e gli organismi dell’Ue.
Quanto poi agli obblighi per i soggetti essenziali e importanti, l’art. 20 della NIS2 stabilisce che agli organi di gestione di tali soggetti (per es. rappresentanti legali, D.G., A.D., C.D.A. etc.) spetta la responsabilità di approvare le misure di gestione dei rischi e di sovrintendere alla loro attuazione e il successivo art. 21 si occupa proprio di tali misure (tecniche, operative e organizzative) che devono essere idonee a prevenire o a ridurre al minimo l’impatto degli incidenti e degli attacchi.
Quanto poi agli obblighi per i soggetti essenziali e importanti, l’art. 20 della NIS2 stabilisce che agli organi di gestione di tali soggetti (per es. rappresentanti legali, D.G., A.D., C.D.A. etc.) spetta la responsabilità di approvare le misure di gestione dei rischi e di sovrintendere alla loro attuazione e il successivo art. 21 si occupa proprio di tali misure (tecniche, operative e organizzative) che devono essere idonee a prevenire o a ridurre al minimo l’impatto degli incidenti e degli attacchi.
In particolare la NIS2 indica assolutamente decisivi, tra gli altri, i seguenti elementi: politiche di analisi dei rischi e di sicurezza dei sistemi informatici; gestione degli incidenti; continuità operativa, come la gestione del backup e il ripristino in caso di disastro; strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza (audit); pratiche di igiene informatica di base e formazione in materia di cibersicurezza; politiche e procedure relative all’uso della crittografia; sicurezza delle risorse umane (personnel security) e strategie di controllo dell’accesso; uso di soluzioni di autenticazione a più fattori (MFA) o di autenticazione continua.
È di tutta evidenza che vengono (finalmente, aggiungasi!) “istituzionalizzate” attività come le procedure di “incident response management”, “disaster recovery”, “igiene informatica” (es.: segmentazione della rete, aggiornamenti software, cambi periodici e programmati di password, limitazione degli account di accesso a livello di amministrator, formazione), audit e “Multi-Factor Authentication”.
Il 17 Ottobre 2024 scade il termine ultimo per gli Stati membri per adottare e pubblicare le misure necessarie per conformarsi alla direttiva stessa. Richiedi oggi stesso un approfondimento ai nostri legali per verificare come la direttiva potrà impattare sulla tua azienda.