Direttiva NIS 2, in vigore la norma sulla cybersecurity: come cambia la sicurezza informatica

L’Italia si allinea alla norma NIS 2, che rappresenta un passo significativo verso il rafforzamento della cybersecurity all’interno dell’Unione Europea.

Pubblicato: 23 Settembre 2024 12:14Aggiornato: 21 ottobre 2024 15:56

Donatella Maisto

Esperta in digital trasformation e tecnologie emergenti

Dopo 20 anni nel legal e hr, si occupa di informazione, ricerca e sviluppo. Esperta in digital transformation, tecnologie emergenti e standard internazionali per la sostenibilità, segue l’Innovation Hub della Camera di Commercio italiana per la Svizzera. MIT Alumni.

Il 2024 è l’anno in cui gli Stati membri dell’Ue devono recepire la direttiva 2022/2555, la cd. Network and Information Security “NIS” 2.

Ed è infatti in vigore dal 16 ottobre 2024 la NIS2, che va sostituire la normativa concepita come prima disciplina comunitaria della cybersecurity, ovvero “NIS”. La NIS 2 si inserisce tra le politiche implementate dalla Commissione Europea nell’ambito della strategia per la cybersicurezza, come il Cybersecurity Act e il Cyber Resilience Act.
Con questi atti l’Unione vuole creare un mercato unico di prodotti, servizi e processi più sicuri, rafforzando le norme di sicurezza informatica.

La NIS 2 ha le sue origini nella direttiva sulla sicurezza delle reti e delle informazioni (NIS), volta a garantire una resilienza informatica del sistema complessivo e dei singoli Paesi in merito a tutte le tematiche attinenti alla cybersecurity.

NIS, Network and Information Security

Con la prima direttiva, recepita in Italia con il D.lgs. 65/2018, sono state definite le misure necessarie per implementare un elevato livello di sicurezza delle reti e dei sistemi informativi:

Con la NIS, tra gli obiettivi precipui, vi è quello di gestire gli incidenti di sicurezza informatica in coordinamento tra gli Stati dell’Unione Europea.La NIS, nell’introdurre l’obbligo di adottare misure appropriate per la cybersicurezza e di segnalare all’autorità nazionale il verificarsi di incidenti gravi, si applica:

Gli Stati membri, invece, devono:

Fin dalle sue primissime applicazioni, la direttiva iniziò a mostrare i limiti intrinsechi all’aumento del tasso di digitalizzazione dei Paesi membri, che aveva ampliato la superficie di attacco informatico.

La NIS 2

Con l’avvento della pandemia di Covid-19 e del conflitto Russo-Ucraino, l’applicazione della NIS mostrò delle divergenze tali da portare la Commissione Europea a intervenire sulla Direttiva stessa.
La NIS 2 si pone l’obiettivo di:

A chi si rivolge la NIS 2

La NIS si rivolge a due categorie di soggetti:

Entro il 17 aprile 2025, gli Stati membri devono definire un elenco dei soggetti essenziali ed importanti nonché dei soggetti che forniscono servizi di registrazione dei nomi di dominio. Successivamente, gli Stati membri riesaminano l’elenco periodicamente, almeno ogni due anni e, se opportuno, lo aggiornano.

Il Gruppo di Cooperazione e la rete di CSIRT

Il Gruppo di Cooperazione

Sono confermati dalla normativa precedente sia il Gruppo di Cooperazione che la rete di CSIRT.

Il Gruppo di Cooperazione, definito all’art. 14, è composto da rappresentanti degli Stati membri e della Commissione dell’ENISA. Si occupa, in particolare, di:

La rete di CSIRT

La rete di CSIRT è, invece, composta dai rappresentanti CSIRT designati o istituiti allo scopo di contribuire allo sviluppo della fiducia e di promuovere una cooperazione operativa rapida ed efficace fra gli Stati membri.

I CSIRT possono stabilire relazioni di cooperazione con team nazionali di risposta agli incidenti di sicurezza informatica di paesi terzi.
Nell’ambito di tali relazioni di cooperazione, gli Stati membri facilitano uno scambio di informazioni efficace, efficiente e sicuro con tali team nazionali di risposta agli incidenti di sicurezza informatica di paesi terzi, utilizzando i pertinenti protocolli di condivisione delle informazioni, compreso il protocollo TLP (Traffic Light Protocol).

I CSIRT possono scambiare informazioni pertinenti con team nazionali di risposta agli incidenti di sicurezza informatica di paesi terzi, compresi dati personali a norma del diritto dell’Unione in materia di protezione dei dati.
I CSIRT possono cooperare con team nazionali di risposta agli incidenti di sicurezza informatica di paesi terzi o con organismi equivalenti di paesi terzi, in particolare al fine di fornire loro assistenza in materia di cibersicurezza.

EU-CyCLONe

La NIS 2 istituisce l’EU-CyCLONe, una rete di rappresentanti delle autorità di gestione delle crisi informatiche degli Stati membri, anche in questo caso, allo scopo di sostenere una gestione coordinata a livello operativo degli incidenti e delle crisi di cybersecurity su vasta scala, nonché di garantire un continuo scambio di informazioni pertinenti tra gli Stati, le istituzioni, gli organi e gli organismi dell’Unione. Tra i compiti più importanti dell’EU-CyCLONe si annoverano quelli di:

La rete europea dell’organizzazione di collegamento in materia di cybersicurezza (EU-CyCLONe) è una rete di cooperazione per le autorità nazionali degli Stati membri responsabili della gestione delle crisi informatiche.
La rete è stata lanciata nel 2020 e formalizzata il 16  gennaio 2023 con ingresso in vigore ai sensi dell’articolo 16 NIS2.
L’obiettivo è quello di collaborare e sviluppare una condivisione tempestiva delle informazioni e la consapevolezza situazionale basata su strumenti e supporto forniti dall’Agenzia dell’UE per la sicurezza informatica, che funge da segretariato CyCLONe.
Il presidente è un rappresentante degli Stati membri che esercita la presidenza del Consiglio dell’UE.

L’EU-CyCLONe è composto dai rappresentanti delle autorità di gestione delle crisi informatiche degli Stati membri e, nei casi in cui una potenziale o continua crisi informatica su larga scala abbia o possa avere un impatto significativo sui servizi e sulle attività che rientrano nell’ambito di applicazione della presente direttiva, la Commissione. In altri casi, la Commissione partecipa alle attività dell’EU-CyCLONe in qualità di osservatore.

I compiti principali dell’UE CyCLONe sono:

Approccio multirischio

Gli Stati membri devono verificare che i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.

La proporzionalità delle misure da adottare deve tener conto:

Le misure sono basate su un approccio multirischio che ha l’obiettivo di:

È possibile individuare una serie di elementi minimi per la protezione di questi sistemi.

In particolare:

Gli obblighi di segnalazione

L’art.23 disciplina gli obblighi di segnalazione e notifica di “incidenti significativi” alle autorità competenti e allo CSIRT, all’interno di un contesto estremamente operativo e dinamico.

Un incidente è considerato significativo se:

I soggetti interessati trasmettano al CSIRT o, se opportuno, all’autorità competente:

Vigilanza e sanzioni

Le autorità competenti sono, inoltre, incaricate di monitorare affinché i singoli Stati membri adottino le misure necessarie a garantire il rispetto nella NIS 2 e, a loro volta, i Paesi hanno il compito di vigilare sul rispetto della direttiva.

Le misure di vigilanza a cui possono essere sottoposti i soggetti essenziali comprendono audit, ispezioni, richieste di informazioni, scansioni di sicurezza, richieste di dati che dimostrino l’attuazione delle politiche di cybersecurity.

Per quanto riguarda le sanzioni amministrative pecuniarie, la nuova direttiva NIS distingue tra entita’ essenziali e importanti:

Per garantire una reale responsabilità per le misure di cybersicurezza implementate la NIS 2 introduce delle disposizioni sulla responsabilità delle persone fisiche che detengono posizioni dirigenziali di alto livello nei confronti dei soggetti che rientrano nell’ambito di applicazione della nuova direttiva.

© Italiaonline S.p.A. 2024Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963