Il 2024 è l’anno in cui gli Stati membri dell’Ue devono recepire la direttiva 2022/2555, la cd. Network and Information Security “NIS” 2.
Con questi atti l’Unione vuole creare un mercato unico di prodotti, servizi e processi più sicuri, rafforzando le norme di sicurezza informatica.
La NIS 2 ha le sue origini nella direttiva sulla sicurezza delle reti e delle informazioni (NIS), volta a garantire una resilienza informatica del sistema complessivo e dei singoli Paesi in merito a tutte le tematiche attinenti alla cybersecurity.
Indice
NIS, Network and Information Security
Con la prima direttiva, recepita in Italia con il D.lgs. 65/2018, sono state definite le misure necessarie per implementare un elevato livello di sicurezza delle reti e dei sistemi informativi:
- designando specifiche autorità
- creando gruppi di intervento per la sicurezza informatica (CSIRT)
- adottando strategie nazionali per la sicurezza della rete e dei sistemi informativi.
Con la NIS, tra gli obiettivi precipui, vi è quello di gestire gli incidenti di sicurezza informatica in coordinamento tra gli Stati dell’Unione Europea.La NIS, nell’introdurre l’obbligo di adottare misure appropriate per la cybersicurezza e di segnalare all’autorità nazionale il verificarsi di incidenti gravi, si applica:
- agli Operatori di Servizi Essenziali (OSE), siano essi soggetti pubblici e privati che forniscono servizi essenziali per la società e l’economia
- ai Fornitori di Servizi Digitali (FSD), ovvero persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca digitali.
Gli Stati membri, invece, devono:
- adottare una strategia nazionale di cybersecurity
- assicurare la cooperazione internazionale e la collaborazione con l’ENISA (European Union for Network and Information Security Agency)
- designare autorità nazionali competenti, punti di contatto e gli CSIRT (Computer Security Incident Response Team).
Fin dalle sue primissime applicazioni, la direttiva iniziò a mostrare i limiti intrinsechi all’aumento del tasso di digitalizzazione dei Paesi membri, che aveva ampliato la superficie di attacco informatico.
La NIS 2
Con l’avvento della pandemia di Covid-19 e del conflitto Russo-Ucraino, l’applicazione della NIS mostrò delle divergenze tali da portare la Commissione Europea a intervenire sulla Direttiva stessa.
La NIS 2 si pone l’obiettivo di:
- eliminare divergenze stabilendo norme minime riguardanti il funzionamento di un quadro normativo coordinato
- istituire meccanismi per una cooperazione efficace tra le autorità responsabili in ciascuno Stato membro
- aggiornare l’elenco dei settori e delle attività soggetti agli obblighi in materia di cybersicurezza
- prevedere mezzi di ricorso e misure di esecuzione effettivi che siano funzionali all’efficace applicazione di tali obblighi.
A chi si rivolge la NIS 2
La NIS si rivolge a due categorie di soggetti:
- Soggetti essenziali
Sono
a) i soggetti che superano i massimali per le medie imprese di cui all’articolo 2, paragrafo 1, dell’allegato della raccomandazione 2003/361/CE;
b) prestatori di servizi fiduciari qualificati e registri dei nomi di dominio di primo livello, nonché prestatori di servizi DNS, indipendentemente dalle loro dimensioni;
c) fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico che si considerano medie imprese ai sensi dell’articolo 2, dell’allegato alla raccomandazione 2003/361/CE;
d) i soggetti della pubblica amministrazione di cui all’articolo 2, paragrafo 2, lettera f), punto i);
e) qualsiasi altro soggetto di cui all’allegato I o II che uno Stato membro identifica come soggetti essenziali ai sensi dell’articolo 2, paragrafo 2, lettere da b) a e);
f) soggetti identificati come soggetti critici ai sensi della direttiva (UE) 2022/2557, di cui all’articolo 2, paragrafo 3 della direttiva;
g) se lo Stato membro lo prevede, i soggetti che tale Stato membro ha identificato prima del 16 gennaio 2023 come operatori di servizi essenziali a norma della direttiva (UE) 2016/1148 o del diritto nazionale.
- Soggetti importanti
Sono considerati soggetti importanti i soggetti di una tipologia elencata negli allegati I o II che non sono considerati soggetti essenziali.
Entro il 17 aprile 2025, gli Stati membri devono definire un elenco dei soggetti essenziali ed importanti nonché dei soggetti che forniscono servizi di registrazione dei nomi di dominio. Successivamente, gli Stati membri riesaminano l’elenco periodicamente, almeno ogni due anni e, se opportuno, lo aggiornano.
Il Gruppo di Cooperazione e la rete di CSIRT
Il Gruppo di Cooperazione
Sono confermati dalla normativa precedente sia il Gruppo di Cooperazione che la rete di CSIRT.
Il Gruppo di Cooperazione, definito all’art. 14, è composto da rappresentanti degli Stati membri e della Commissione dell’ENISA. Si occupa, in particolare, di:
- fornire orientamenti alle autorità competenti in merito al recepimento e attuazione della Direttiva
- fornire orientamenti strategici alla rete di CSIRT e EU-CyCLONe
- scambiare migliori prassi e informazioni sulle minacce informatiche, sugli incidenti, vulnerabilità, sviluppo di norme e specifiche tecniche e capacità.
La rete di CSIRT
La rete di CSIRT è, invece, composta dai rappresentanti CSIRT designati o istituiti allo scopo di contribuire allo sviluppo della fiducia e di promuovere una cooperazione operativa rapida ed efficace fra gli Stati membri.
I CSIRT possono stabilire relazioni di cooperazione con team nazionali di risposta agli incidenti di sicurezza informatica di paesi terzi.
Nell’ambito di tali relazioni di cooperazione, gli Stati membri facilitano uno scambio di informazioni efficace, efficiente e sicuro con tali team nazionali di risposta agli incidenti di sicurezza informatica di paesi terzi, utilizzando i pertinenti protocolli di condivisione delle informazioni, compreso il protocollo TLP (Traffic Light Protocol).
I CSIRT possono scambiare informazioni pertinenti con team nazionali di risposta agli incidenti di sicurezza informatica di paesi terzi, compresi dati personali a norma del diritto dell’Unione in materia di protezione dei dati.
I CSIRT possono cooperare con team nazionali di risposta agli incidenti di sicurezza informatica di paesi terzi o con organismi equivalenti di paesi terzi, in particolare al fine di fornire loro assistenza in materia di cibersicurezza.
EU-CyCLONe
La NIS 2 istituisce l’EU-CyCLONe, una rete di rappresentanti delle autorità di gestione delle crisi informatiche degli Stati membri, anche in questo caso, allo scopo di sostenere una gestione coordinata a livello operativo degli incidenti e delle crisi di cybersecurity su vasta scala, nonché di garantire un continuo scambio di informazioni pertinenti tra gli Stati, le istituzioni, gli organi e gli organismi dell’Unione. Tra i compiti più importanti dell’EU-CyCLONe si annoverano quelli di:
- aumentare il livello di preparazione per la gestione di crisi e incidenti su vasta scala
- sviluppare una conoscenza condivisa in merito agli incidenti e alle crisi su vasta scala
- coordinare la gestione degli incidenti e delle crisi su vasta scala, sostenendo il processo decisionale politico in merito.
La rete europea dell’organizzazione di collegamento in materia di cybersicurezza (EU-CyCLONe) è una rete di cooperazione per le autorità nazionali degli Stati membri responsabili della gestione delle crisi informatiche.
La rete è stata lanciata nel 2020 e formalizzata il 16 gennaio 2023 con ingresso in vigore ai sensi dell’articolo 16 NIS2.
L’obiettivo è quello di collaborare e sviluppare una condivisione tempestiva delle informazioni e la consapevolezza situazionale basata su strumenti e supporto forniti dall’Agenzia dell’UE per la sicurezza informatica, che funge da segretariato CyCLONe.
Il presidente è un rappresentante degli Stati membri che esercita la presidenza del Consiglio dell’UE.
L’EU-CyCLONe è composto dai rappresentanti delle autorità di gestione delle crisi informatiche degli Stati membri e, nei casi in cui una potenziale o continua crisi informatica su larga scala abbia o possa avere un impatto significativo sui servizi e sulle attività che rientrano nell’ambito di applicazione della presente direttiva, la Commissione. In altri casi, la Commissione partecipa alle attività dell’EU-CyCLONe in qualità di osservatore.
I compiti principali dell’UE CyCLONe sono:
- sostenere la gestione coordinata degli incidenti e delle crisi della cibersicurezza su larga scala a livello operativo e garantire lo scambio regolare di informazioni pertinenti tra gli Stati membri e le istituzioni, gli organi e le agenzie dell’Unione
- aumentare il livello di preparazione della gestione di incidenti e crisi di sicurezza informatica su larga scala
- sviluppare una consapevolezza situazionale condivisa per incidenti e crisi sulla sicurezza informatica su larga scala
- valutare le conseguenze e l’impatto dei pertinenti incidenti e delle crisi sulla cibersicurezza su larga scala e proporre possibili misure di mitigazione
- coordinare la gestione degli incidenti e delle crisi della cibersicurezza su larga scala e sostenere il processo decisionale a livello politico in relazione a tali incidenti e crisi
- discutere, su richiesta di uno Stato membro interessato, di un incidente nazionale sulla cibersicurezza e sui piani di risposta alle crisi su larga scala.
Approccio multirischio
Gli Stati membri devono verificare che i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.
La proporzionalità delle misure da adottare deve tener conto:
- del grado di esposizione del soggetto a rischi
- delle dimensioni del soggetto
- della probabilità che si verifichino incidenti, nonché della loro gravità, compreso il loro impatto sociale ed economico.
Le misure sono basate su un approccio multirischio che ha l’obiettivo di:
- proteggere da incidenti i sistemi informativi e di rete e il loro ambiente fisico
- adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete.
È possibile individuare una serie di elementi minimi per la protezione di questi sistemi.
In particolare:
- politiche di analisi dei rischi e di sicurezza dei sistemi informatici
- gestione degli incidenti
- continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi
- sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi
- sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità
- strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersicurezza
- pratiche di igiene informatica di base e formazione in materia di cybersicurezza
- politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura
- sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi
- uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.
Gli obblighi di segnalazione
L’art.23 disciplina gli obblighi di segnalazione e notifica di “incidenti significativi” alle autorità competenti e allo CSIRT, all’interno di un contesto estremamente operativo e dinamico.
Un incidente è considerato significativo se:
- ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato
- si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli
I soggetti interessati trasmettano al CSIRT o, se opportuno, all’autorità competente:
- senza indebito ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo, un preallarme che, se opportuno, indichi se l’incidente significativo è sospettato di essere il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero
- senza indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell’incidente significativo, una notifica dell’incidente che, se opportuno, aggiorni le informazioni di cui al precedente punto e indichi una valutazione iniziale dell’incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione
- su richiesta di un CSIRT o, se opportuno, di un’autorità competente, una relazione intermedia sui pertinenti aggiornamenti della situazione
- una relazione finale entro un mese dalla trasmissione della notifica dell’incidente.
Vigilanza e sanzioni
Le autorità competenti sono, inoltre, incaricate di monitorare affinché i singoli Stati membri adottino le misure necessarie a garantire il rispetto nella NIS 2 e, a loro volta, i Paesi hanno il compito di vigilare sul rispetto della direttiva.
Le misure di vigilanza a cui possono essere sottoposti i soggetti essenziali comprendono audit, ispezioni, richieste di informazioni, scansioni di sicurezza, richieste di dati che dimostrino l’attuazione delle politiche di cybersecurity.
Per quanto riguarda le sanzioni amministrative pecuniarie, la nuova direttiva NIS distingue tra entita’ essenziali e importanti:
- entità essenziali. Per quanto riguarda i soggetti essenziali, essa impone agli Stati membri di prevedere un certo livello di sanzioni amministrative pecuniarie, in particolare un import massimo di almeno 10 milioni di euro o del 2 % del fatturato totale annuo mondiale dell’esercizio precedente, se superiore
- entità importanti, la NIS 2 impone agli Stati membri di prevedere una sanzione pecuniaria massima pari ad almeno 7 milioni di euro o almeno all’1,4 % del fatturato totale annuo mondiale dell’esercizio precedente, se superiore.
Per garantire una reale responsabilità per le misure di cybersicurezza implementate la NIS 2 introduce delle disposizioni sulla responsabilità delle persone fisiche che detengono posizioni dirigenziali di alto livello nei confronti dei soggetti che rientrano nell’ambito di applicazione della nuova direttiva.