Il futuro della cybersecurity è qui: scopri la Direttiva NIS 2
Sei al corrente delle novità introdotte per la prevenzione delle crisi informatiche? Se sei una società di medie dimensioni che opera nel settore della fornitura di servizi, potresti essere coinvolto dalla Direttiva Europea n. 2555/2022, in quanto rientrante tra i settori identificati ad alta criticità.
La crescente esposizione di dati in circolazione nello spazio europeo richiede una sempre maggiore sensibilità e conoscenza della cultura della sicurezza per la prevenzione delle minacce di incidenti informatici. Entro la fine del 2024 l’Italia e gli altri Paesi membri sono chiamati a dare attuazione agli obblighi in essa previsti per la cooperazione strategica al raggiungimento di un livello comune elevato di cybersecurity in tutta l’Ue.
Tra i principali settori interessati dalla normativa:
- il settore dei trasporti e dell’energia
- settore bancario, postale e dei mercati finanziari
- settore sanitario
- settore servizi digitali e informatici
- settore chimico
- acque e gestione dei rifiuti
- pubbliche amministrazioni
L’elenco non è esaustivo e non distingue il livello di criticità a cui sono esposti i vari settori. Pertanto, se interessato, ti invitiamo a contattarci per una consulenza approfondita che risponda alle tue perplessità, in grado di fornire un servizio ad hoc sulla gestione del rischio all’interno della tua organizzazione definendo le misure di sicurezza da implementare.
Rafforzare la propria sicurezza informatica, oltre a mettere a riparo dal rischio di attacchi hacker in settori cruciali per l’economia, costituisce per le organizzazioni un notevole vantaggio competitivo sul mercato.
L’inosservanza degli obblighi prescritti dalla normativa comporta sanzioni amministrative pecuniarie fino a 10.000.000 euro per i soggetti ritenuti essenziali e fino a e 7.000.000 euro per i soggetti ritenuti importanti.
Andiamo più nel dettaglio.
È di questi giorni la notizia dell’avvenuta entrata in vigore del D.lgs 4 settembre 2024, n. 138, relativo al recepimento della direttiva (UE) 2022/2555, riguardante le misure per un livello comune elevato di cibersicurezza nell’Unione.
Il decreto individua e classifica i soggetti a cui la normativa si applica: soggetti considerati essenziali e soggetti considerati importanti.
- Rientrano, fra i primi (definiti “alta criticità”), i gestori e i produttori di energia elettrica inclusi quelli di petrolio e gas naturale; le imprese di trasporto e gestori di infrastrutture aeree, ferroviarie, via acqua e su strada; banche e istituti di credito; produttori farmaceutici e di dispositivi medici, laboratori di ricerca e sviluppo in campo medico; gestori di acqua potabile e quelli adibiti allo smaltimento delle acque reflue; i gestori di server, cloud computing e reti pubbliche di comunicazione; ed infine, ultimi, ma non perché meno influenti, i fornitori di servizi di sicurezza e quelli di servizi spaziali.
- Fra i soggetti definiti importanti (“altri settori critici”) rientrano i fornitori di servizi postali; imprese di gestione dei rifiuti; produttori di sostanze chimiche; imprese alimentari; produttori di apparecchiature elettroniche, meccaniche, ottiche, elettriche, produttori di autoveicoli e altri mezzi di trasporto, ed infine, fornitori di servizi digitali inclusi social network.
Ai fini dell’applicazione della norma, sono altresì richiesti presupposti dimensionali che superino i massimali previsti per le piccole imprese[1] e che pertanto si tratti di medie e grandi imprese.
NIS, che cosa s’intende?
Facendo un passo indietro, è bene ricordare che cos’è la NIS 2. “NIS” è l’acronimo di Network and Information Systems, provvedimento contenente misure volte ad aumentare il livello di sicurezza delle reti informatiche dei Paesi Membri, reso necessario dall’aumento del tasso di digitalizzazione accentuatosi con le esigenze emergenziali da Covid-19, il quale ha vorticosamente indirizzato i Paesi nel mirino degli attacchi informatici.
E “2” sostituisce la precedente NIS, (direttiva (UE) 2016/1148), colmando i vuoti ed estendendone il campo di applicazione. In particolare, la nuova Direttiva ha imposto agli Stati requisiti di sicurezza informatica più rigorosi e richiedendo di intervenire con sanzioni più severe in caso di inadempienza. In effetti, le organizzazioni non coinvolte dalla Nis 2 sono davvero ristrette, posto che, determinati soggetti individuati dalla stessa norma, indipendentemente dalle loro dimensioni, sono considerati essenziali o comunque critici, incluse le pubbliche amministrazioni. Per ciò che concerne la sua applicazione nel territorio italiano, tra i soggetti eccettuati rientrano specificamente: il Parlamento, l’Autorità giudiziaria, la Banca d’Italia, l’Unità di informazione finanziaria per l’Italia e in generale tutti gli enti o organi che operano nei settori della pubblica sicurezza.
La direttiva NIS 2 stabilisce delle norme minime che tutti gli Stati membri devono rispettare per avere una maggiore armonizzazione a livello UE di legislazioni e procedure di cybersicurezza. Tuttavia, i singoli Stati sono liberi di approvare norme nazionali più severe, decidendo di innalzare ulteriormente il loro livello di sicurezza cibernetica nazionale. In particolare, gli Stati sono chiamati ad adottare una propria Strategia Nazionale di Cybersicurezza e a nominare un’Agenzia per la cybersicurezza nazionale (ACN) che ne assicura l’implementazione e funge da collegamento con le altre Autorità nazionali per garantire la cooperazione transfrontaliera. Tale strategia è volta a pianificare, coordinare e attuare misure idonee a rendere più sicuro e resiliente il nostro Paese. L’obiettivo è il raggiungimento di 82 misure entro il 2026.
Entro i primi mesi del 2025, le organizzazioni appartenenti ai settori interessati dovranno registrarsi su una piattaforma digitale già messa a disposizione dall’ACN e presente sul sito. Il numero dei soggetti essenziali e dei soggetti importanti inclusi nell’elenco verranno comunicati alla Commissione Europea entro il 17 aprile 2025 e, successivamente, aggiornati ogni due anni. I soggetti obbligati sono tenuti a dichiarare in un apposito atto la propria responsabilità per l’adempimento agli obblighi contenuti nel Decreto.
Secondo il legislatore, i soggetti interessati devono adottare misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che essi utilizzano nelle loro attività o nella fornitura dei loro servizi. il Decreto Legislativo rimane vago e non entra nel merito delle misure di sicurezza che dovranno essere adottate. Il dettaglio sarà definito dall’ACN sulla base dei seguenti parametri:
- il grado di esposizione al rischio;
- la dimensione dell’ente;
- la probabilità che si verifichino incidenti;
- la gravità (incuso l’impatto economico e sociale).
Ulteriori obblighi sono previsti in materia di notifica di incidente:
- I soggetti essenziali e i soggetti importanti sono tenuti a notificare tempestivamente al CSIRT, gruppo nazionale di risposta agli incidenti di sicurezza informatica[2], ogni incidente che ha un impatto significativo sulla fornitura dei loro servizi. Un incidente è considerato di portata significativa quando è in grado di causare una grave perturbazione operativa sui servizi o è in grado di provocare ripercussioni su persone fisiche o giuridiche con perdite materiali o immateriali, in ogni caso tale da causare ingenti perdite finanziarie.
Da parte sua, il CSIRT ha l’obbligo di fornire un supporto agli enti che hanno subito un attacco informatico. Infatti, entro 24 ore dalla notifica, il CSIRT è tenuto a dare un riscontro sull’incidente ed eventuali orientamenti/consulenze sulle possibili misure tecniche di mitigazione da adottare. Il ruolo del CSIRT, tuttavia, non si ferma qui. Qualora vi sia il sospetto che l’incidente abbia carattere criminale, dovrà fornire altresì orientamenti sull’opportunità di segnalare l’evento all’organo centrale del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione (Autorità di contrasto).
- L’obbligo di notifica si estende anche ai soggetti destinatari dei loro servizi o potenzialmente interessati, sui quali possono ripercuotersi conseguenze negative sulla fornitura di tali servizi, comunicando, altresì le azioni correttive che possono intraprendere in risposta a tale minaccia.
Sanzioni
Le sanzioni previste per la mancata osservanza degli obblighi introdotti dal D.lgs 138/2024 si distinguono a seconda del soggetto che commesso la violazione.
L’ACN ai fini dell’esercizio dei suoi poteri di esecuzione, può effettuare verifiche ed ispezioni. Essa può intimare ai soggetti di eseguire, su base periodica o mirata, audit sulla sicurezza, in particolare, in caso di incidente significativo.
Nel merito, scattano da parte dell’ACN, a seguito di diffida:
- per i soggetti essenziali, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, se tale importo è superiore.
- per i soggetti importanti, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 7.000.000 o dell’1,4% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, se tale importo è superiore.
- per le pubbliche amministrazioni con sanzioni amministrative pecuniarie da euro 25.000 a euro 125.000.
Rapporti con il Garante e il REG EU 2016/679
Secondo le disposizioni del legislatore, l’ACN tratta i dati personali nel rispetto del Codice della Privacy e del Reg. EU 2016/679. Tuttavia, la gestione degli incidenti ha un’importante connessione con tale regolamento. Il GDPR prevede, infatti, che i titolari del trattamento dei dati personali debbano notificare alle autorità di controllo le violazioni dei dati personali, ovvero gli incidenti che comportano una distruzione, una perdita, una modifica, una divulgazione o un accesso non autorizzato ai dati personali, entro 72 ore dalla loro scoperta. Termine che sembrerebbe sovrapporsi a quello previsto per il processo di segnalazione dell’evento rilevante, da accertarsi entro le 24 ore successive (la norma definisce tale segnalazione preallarme), con successiva notifica dell’incidente entro le 72 ore complessive al CSIRT.
È bene chiarire che, sebbene le norme dispongano scadenze simili in fatto di notifica, ciò che differisce è rappresentato dalle metriche di misurazione della gravità dell’evento: nel caso della direttiva NIS 2, l’attenzione si focalizza sull’interruzione del pubblico servizio e sulle perdite in termini economici, mentre nel caso del GDPR l’attenzione viene posta sui potenziali rischi che l’evento potrebbe comportare per i diritti e le libertà degli individui.
Pertanto, può accadere che vi siano eventi rilevanti per il contesto data protection, ma non per la cyber security nazionale/transnazionale e viceversa.
Nonostante i tecnicismi della norma, il legislatore italiano ha lasciato ampio spazio di manovra all’interprete, non cogliendo fin da subito i dettagli tecnici necessari per la predisposizione di quelle misure di gestione dei rischi per la sicurezza informatica. Per questo motivo, in un’ottica di adeguamento, sarà prezioso il contributo di professionisti in ambito tecnico e legale con un’ampia esperienza sul tema, che sappiano mappare e valorizzare le attività già svolte dall’ente rispetto a quelle per le quali i settori interessati risultino impreparati.
Peraltro, al fine di rendere operativi molti degli obblighi che avranno un impatto diretto sulle organizzazioni e sulle pubbliche amministrazioni, il decreto di recepimento della Direttiva NIS 2 richiede l’emanazione di ulteriori e successivi atti normativi e circolari per i quali è più opportuno attendere indirizzi più approfonditi, piuttosto che correre ai ripari senza una matura consapevolezza, un curato assessment e pianificazione delle attività.
[1] Secondo l’articolo 2, paragrafo 1, dell’allegato della raccomandazione 2003/361/CE, “La categoria delle microimprese delle piccole imprese e delle medie imprese (PMI) è costituita da imprese che occupano meno di 250 persone, il cui fatturato annuo non supera i 50 milioni di EURO oppure il cui totale di bilancio annuo non supera i 43 milioni di EURO”
[2] I compiti del CSIRT sono definiti dal Decreto Legislativo 18 maggio 2018, n. 65 e dal Decreto del Presidente del Consiglio dei ministri 8 agosto 2019 art. 4. Essi includono: 1) il monitoraggio degli incidenti a livello nazionale; 2) l’emissione di preallarmi, allerte, annunci e divulgazione di informazioni alle parti interessate in merito a rischi e incidenti; 3) l’intervento in caso di incidente; 4) l’analisi dinamica dei rischi e degli incidenti; 5) la sensibilizzazione situazionale; 6) la partecipazione alla rete dei CSIRT 7) Il CSIRT stabilisce relazioni di cooperazione con il settore privato. Per facilitare la cooperazione, il CSIRT promuove l’adozione e l’uso di prassi comuni o standardizzate nei settori delle procedure di trattamento degli incidenti e dei rischi e sistemi di classificazione degli incidenti, dei rischi e delle informazioni.