La nuova direttiva europea NIS2 sulla CyberSecurity, approvata il 10 Novembre 2022, nasce per dar modo a tutti gli stati membri dell’UE di dare applicazione e rispettare il precedente regolamento (NIS 2016) sulle crescenti minacce alla sicurezza informatica. Cosa possiamo aspettarci dall’evoluzione di questa direttiva?
Come nasce la Direttiva NIS
Nell’ultimo decennio, parallelamente alla digitalizzazione dei modelli di business che ha portato una maggiore interconnessione e interdipendenza, è emerso un panorama di minacce in ambito cibernetico estremamente complesso, variegato ed in costante evoluzione. I regolatori di tutto il mondo sono stati chiamati a intervenire per mitigare il rischio cyber, in particolar modo sui settori e sugli operatori che erogano servizi essenziali per cittadini e imprese – come ad esempio energia, trasporti e infrastrutture digitali – messi a rischio dalla minaccia cyber.
La NIS in pillole
La Direttiva NIS (EU 2016/1148 – Network and Information Security Directive) nasce per rispondere a tale esigenza e rappresenta il primo atto legislativo dell’Unione Europea che si pone come principale obiettivo l’innalzamento del livello di Cyber Security all’interno dell’UE.
La Direttiva ha tre principali ambiti di intervento:
- migliorare le capacità nazionali di Cyber Security;
- rafforzare la cooperazione a livello dell’UE;
- promuovere una cultura di gestione del rischio e di segnalazione degli incidenti tra i principali attori economici, in particolare gli operatori che forniscono servizi essenziali per il mantenimento di attività economiche e sociali e i fornitori di servizi digitali.
Con il Decreto Legislativo 18 maggio 2018, n.65, pubblicato sulla Gazzetta Ufficiale n. 132 del 9 giugno 2018, l’Italia ha dato attuazione, recependola nell’ordinamento nazionale, alla Direttiva NIS.
Il decreto si applica agli Operatori di Servizi Essenziali (OSE) e ai Fornitori di Servizi Digitali (FSD). In particolare:
- gli OSE sono i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l’economia nei settori sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali.
- i FSD sono le persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca, con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale.
Tanto gli OSE che i FSD:
- sono chiamati ad adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi e a prevenire e minimizzare l’impatto degli incidenti a carico della sicurezza delle reti e dei sistemi informativi, al fine di assicurare la continuità del servizio;
- hanno l’obbligo di notificare, senza ingiustificato ritardo, gli incidenti che hanno un impatto rilevante, rispettivamente sulla continuità e sulla fornitura del servizio, al Computer Security Incident Response Team italiano (CSIRT Italia), ad oggi costituito presso l’Agenzia per la Cybersicurezza Nazionale (ACN).
L’applicazione della NIS in EU dal 2016 e la necessità di evolvere la Direttiva
L’Unione Europea ha concluso nel dicembre del 2020 un c.d. “Impact Assessment” sul funzionamento della direttiva negli Stati Membri dell’Unione, evidenziando una serie di aspetti di potenziale miglioramento per la normativa, che rappresenta una pietra miliare per la mitigazione del rischio cyber in EU, in costante aumento anche in relazione agli eventi globali (pandemia e instabilità geopolitica). In particolare, si è osservato che:
- nel recepimento della Direttiva, gli Stati Membri (SM) hanno attuato metodologie diverse tra loro, a partire dall’identificazione degli Operatori di Servizi Essenziali e delle misure di sicurezza, contribuendo a creare disomogeneità negli approcci in contrasto con l’obiettivo di raggiungere un livello comune di Cyber Security negli Stati Membri.
- I settori inclusi nella Direttiva non coprono tutte le aree produttive o di servizi essenziali al funzionamento di uno Stato, che la prassi ha dimostrato essere vulnerabili e che pertanto necessiterebbero di una maggiore protezione (e.g. il settore della produzione di dispositivi medici, della gestione dei rifiuti, quello aerospaziale).
- Inoltre, si è osservata la necessità di potenziare il presidio su alcuni rischi cyber significativi, come quello legato alla Supply Chain, che negli ultimi anni si sono concretizzati in incidenti di vasta portata (es. SolarWinds).
Per indirizzare tali aspetti l’Unione Europea ha approvato nel dicembre 2020 una nuova strategia di Cyber Security, di cui la Direttiva NIS fa parte nella nuova versione aggiornata che ha come scopo l’ulteriore innalzamento del livello di Cybersecurity in EU: la c.d. Direttiva NIS 2.
Direttiva NIS 2: la risposta dell’EU all’incremento del rischio cyber sui settori strategici
NIS e NIS 2 a confronto: principali novità
La nuova proposta, pur mantenendo la forma di una Direttiva, e quindi confermando l’approccio di «armonizzazione minima» previsto dalla Direttiva NIS, si propone di raggiungere i seguenti obiettivi:
- una più chiara ed estesa determinazione dell’ambito di applicazione;
- una razionalizzazione dei requisiti minimi di sicurezza e degli obblighi di notifica degli incidenti;
- una maggiore definizione delle attività di supervisione e applicazione della normativa da parte delle autorità competenti, con un rafforzamento significativo del sistema sanzionatorio più allineato a quanto previsto, ad esempio, dal GDPR;
- una maggiore attenzione alla gestione del rischio e delle vulnerabilità della supply chain;
- il rafforzamento della collaborazione tra Stati membri e l’incentivo alla condivisione delle informazioni tra i vari soggetti coinvolti.
I principali ambiti delle misure di sicurezza previste
Rispetto alla NIS, che prevede l’obbligo di adottare misure genericamente adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici, la NIS 2 introduce un novero di misure specifiche che devono essere necessariamente adottate dagli operatori interessati.
Tali misure, elencate all’art. 21, comprendono almeno i seguenti elementi:
- analisi dei rischi e politiche di sicurezza dei sistemi informatici;
- gestione degli incidenti (prevenzione e rilevamento degli incidenti e risposta agli stessi);
- continuità operativa, come ad esempio l’adozione di politiche e infrastrutture di backup e Disaster Recovery, e gestione delle crisi;
- sicurezza della supply chain, ovvero l’inclusione della cybersecurity come elemento all’interno delle relazioni con fornitori e provider di servizi digitali;
- sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete. Al giorno d’oggi, questo include in particolare servizi critici come le infrastrutture cloud e gli ambienti di controllo industriale;
- definizione di strategie e procedure di test e auditing per valutare l’efficacia delle misure di gestione dei rischi di Cyber Security;
- misure minime di “Cyber Hygiene” e Training sulla Cybersecurity;
- politiche riguardanti l’uso della crittografia e della cifratura;
- Politiche per il controllo degli accessi, per la gestione degli asset e per gli aspetti di sicurezza legati alla gestione delle risorse umane;
- l’utilizzo di soluzioni di autenticazione a più fattori (MFA), e di misure di protezione per i sistemi di comunicazione, collaborazione e email;
Tempistiche ed evoluzioni future della NIS2
La Direttiva NIS2 è stata votata e approvata in Parlamento Europeo il 10 Novembre 2022. In seguito all’approvazione formale del Consiglio EU e alla pubblicazione in Gazzetta Ufficiale, gli Stati Membri avranno 21 mesi per recepire le sue disposizioni. Le aziende dei settori coinvolti saranno, quindi, chiamate a valutare importanti cambiamenti nei modelli di gestione della Cyber Security per garantire l’adeguamento alla normativa.
La Direttiva rappresenta una fonte di diritto dell’unione europea contenente delle disposizioni che ciascuno stato membro è obbligato a recepire con atti normativi interni. Il Regolamento, invece, costituisce una fonte di diritto dell’unione europea di portata generale e a carattere obbligatorio che non necessita di un atto di recepimento interno in quanto direttamente applicabile in ciascuno stato membro.
Scopri come rendere compliant il tuo business ai regolamenti della NIS2: contattaci per richiedere una valutazione ai nostri esperti.