La Direttiva NIS2 è stata approvata dal Parlamento europeo e introduce nuovi oneri per le aziende in materia di cyber sicurezza. La Direttiva NIS 2 è un’evoluzione della Direttiva NIS1, recepita in Italia con il D.Lgs. 65/2018, che prevede che le società rientranti nel suo ambito di applicazione siano tenute ad adottare misure tecniche e organizzative adeguate e proporzionate rispetto alla gestione dei rischi cyber, dovendo prevenire e minimizzare l’impatto degli eventuali incidenti di sicurezza subiti.

La Direttiva NIS1, tuttavia, dispone obblighi generici che hanno portato ad una disomogeneità all’interno dell’Unione europea. Per tale motivo, il legislatore comunitario ha precisato tali obblighi, rafforzandoli ed ampliandoli, nella nuova Direttiva NIS2.

Ambito di applicazione della Direttiva NIS2

Le nuove disposizioni normative, otre ad essere applicabili ai settori già originariamente previsti dalla Direttiva NIS1 (sanitario, trasporti, bancario, energia, mercati finanziari, etc.) sono applicabili anche a società che forniscono, tra gli altri:

  • servizi digitali, come piattaforme di cloud computing, data centre, servizi di comunicazione elettronica e di reti di comunicazione elettronica;
  • servizi sanitari, come società farmaceutiche, produttori di dispositivi medici ed healthcare provider;
  • servizi di produzione, trasformazione e distribuzione di alimenti, ivi comprese le imprese della grande distribuzione.

Quanto alle dimensioni societarie, rientrano nel campo di applicazione della Direttiva NIS2 le società dei settori appena richiamati che siano di medie e grandi dimensioni, ma potrebbero rientrarci anche micro e piccole imprese se operano in settori chiave per la società. Inoltre, è prevista una deroga per i fornitori di servizi di comunicazione elettronica e di reti di comunicazione elettronica che, indipendentemente dalle dimensioni, rientrano nel campo di applicazione della nuova normativa.

Obblighi di cybersecurity

La Direttiva NIS2 prevede che gli Stati membri debbano mettere le società rientranti nell’ambito di applicazione della norma nelle condizioni di “adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza dei sistemi di rete e di informazione che tali soggetti utilizzano per le loro operazioni o per la fornitura dei loro servizi e per prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi e su altri servizi”.

Queste misure tecniche, operative ed organizzative devono comprendere almeno:

  • policy sull’analisi dei rischi e sulla sicurezza dei sistemi informativi;
  • sistemi di gestione degli incidenti;
  • sistemi di business continuity, come la gestione dei backup e il disaster ricoveri e la gestione delle crisi;
  • misure di gestione della sicurezza della supply chain;
  • la sicurezza nell’acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità;
  • policy e procedure per valutare l’efficacia delle misure digestione del rischio di cybersecurity;
  • pratiche di igiene informatica di base e formazione in materia di sicurezza informatica;
  • policy e procedure relative all’uso della crittografia;
  • misure sulla sicurezza delle risorse umane, politiche di controllo degli accessi e gestione degli asset;
  • uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e di teso protette e di sistemi di comunicazione di emergenza protetti all’interno dell’entità, ove opportuno.

Esiste, quindi, un principio generale di adeguatezza delle misure da adottare, ma gli Stati membri avranno il compito di specificare ulteriormente le misure minime previste dalla normativa comunitaria.

La Direttiva NIS2, in aggiunta, prevede che nell’analisi della adeguatezza delle misure di sicurezza si debba tener conto anche delle misure adottate dai fornitori delle società rientranti nell’ambito della direttiva stessa.

Entro 21 mesi dall’entrata in vigore della Direttiva, la Commissione europea deve definire i requisiti tecnici e metodologici applicabili alle misure che dovranno essere adottate, tra gli altri, dai fornitori di servizi di cloud computing, data center, online market Place, motori di ricerca e social network.

Obblighi di notifica dei cyber attacchi

La Direttiva NIS2 prevede un obbligo di notifica al CSIRT e alle autorità competenti, senza ritardo, di qualsiasi incidente che può avere un impatto significativo sulla fornitura del servizio. Prevede inoltre, quando necessario, che la notifica debba avvenire anche ai destinatari del servizio impattato dall’attacco, indicando le misure che gli stessi destinatari possono adottare per reagire all’attacco in questione.

l termine di notifica è di 24 ore dalla conoscenza dell’attacco per l’invio di un “early warning” che deve essere poi seguito, entro 72 ore dalla conoscenza, dalla notifica di un’analisi dettagliata dell’incidente.

L’autorità di riferimento

La Direttiva NIS2 prevede l’applicazione del principio dello stabilimento, quindi le società sono soggette alla giurisdizione delle autorità dello Stato membro in cui sono stabilite. Ci sono deroghe nel caso di fornitori di:

  • servizi di comunicazione e di rete elettronica che sono soggetti alla competenza del Paese in cui si trovano i destinatari dei loro servizi;
  • alcuni servizi online che sono soggetti alla competenza dello Stato membro dove si trova il loro stabilimento principale.

La Direttiva NIS2 prevede dei poteri di indagine per le autorità locali che hanno il compito di valutare l’adeguatezza delle misure adottate dalle società fornitrici di servizi essenziali ed importanti.

Nel caso di mancato adeguamento agli obblighi della Direttiva NIS2, gli Stati membri devono far in modo che tali società adottino, senza ritardo, tutte le azioni correttive appropriate e proporzionali.

La direttiva prevede, tra gli altri:

  • l’obbligo per gli Stati membri di stabilire la possibilità di sospendere l’attività aziendale dell’impresa e di imporre specifici divieti; e
  • l’applicazione di sanzioni fino a €10 milioni o al 2% del fatturato globale dell’anno precedente in caso di società essenziali; o sanzioni fino a €7 milioni o al 1,7% del fatturato globale dell’anno precedente in caso di società importanti.

Se un incidente informatico ha causato anche un data breach ai sensi del GDPR da cui è derivata una sanzione, le sanzioni previste dalla Direttiva NIS2 non sono applicabili.

Tempi di implementazione della Direttiva NIS2

La Direttiva NIS2 deve essere approvata dal Consiglio prima che venga pubblicata nella Gazzetta ufficiale dell’Unione europea. Gli Stati membri hanno, successivamente alla pubblicazione, un termine di 21 mesi per procedere al recepimento.

it_IT