È ormai imminente la pubblicazione nella Gazzetta Ufficiale dell’Unione europea la direttiva che contiene “misure per un livello comune elevato di cybersicurezza”. Si chiama NIS2, perché riforma il quadro giuridico disegnato dalla precedente direttiva NIS del 2016. Le norme entreranno in vigore il ventesimo giorno successivo alla pubblicazione. Da quel momento, gli Stati membri avranno 21 mesi per adottare – e far rispettare agli operatori nell’ambito di applicazione – le misure necessarie per conformarsi alle nuove regole.

La Strategia della Commissione europea

Il 16 dicembre 2020 la Commissione europea ha presentato la nuova Strategia dell’UE in materia di cybersecurity – componente chiave del Piano europeo di transizione al digitale, del Piano di Ripresa e della Strategia europea per la sicurezza (luglio 2020) – con l’obiettivo di coordinare gli sforzi verso una digitalizzazione sicura.

La Strategia individua gli strumenti per affrontare tre macro-aree di azione:

  1. resilienza, sovranità tecnologica e leadership;
  2. costruzione di capacità operative di prevenzione, dissuasione e risposta;
  3. promozione di un cyberspazio globale e aperto.

Non solo. Con l'intento di rafforzare e potenziare la cybersecurity nell’Unione, vengono pubblicate – insieme con la Strategia – due proposte legislative: la proposta di direttiva NIS2 e una nuova direttiva sulla resilienza delle entità critiche (CER). In particolare, la direttiva NIS2 revisiona la ccosiddetta NIS (acronimo di network and information systems, Direttiva sulla sicurezza delle reti e dei sistemi informativi) del 2016. E affronta le diverse debolezze – individuate dalla valutazione sull’impatto dello strumento legislativo proposto dalla Commissione – che hanno impedito alla legge di dispiegare appieno il suo potenziale.

I cambiamenti strutturali della direttiva NIS2

1. L'ambito di applicazione

Nella relazione illustrativa della proposta della Commissione del dicembre 2020 emerge come la crescente digitalizzazione degli ultimi anni e l'aumento del tasso di interconnessione siano stati fattori cruciali per una graduale inadeguatezza della direttiva NIS, il cui limitato ambito di applicazione non riusciva più a riflettere tutti i settori digitalizzati che forniscono servizi chiave nell'Unione.

La NIS2 opera una macro-distinzione tra EE-entità essenziali (operanti in settori più sensibili quali energia; trasporti; bancario; infrastrutture dei mercati finanziari; salute; acqua potabile; acque reflue; infrastrutture digitali; PA; spazio e gestione di servizi ICT) e EI-entità importanti (operanti in settori precedentemente non considerati dalla NIS quali servizi postali e di corriere; gestione dei rifiuti; fabbricazione, produzione e distribuzione di prodotti chimici; produzione, lavorazione e distribuzione di prodotti alimentari; manifattura e fornitori digitali). Sostituisce la precedente distinzione tra operatori di servizi essenziali e fornitori di servizi digitali della NIS, tenendo in considerazione il livello di criticità del settore e il tipo di servizio che fornisce.

Per evitare una frammentazione del quadro giuridico tra gli Stati membri, la NIS2 prevede un criterio quantitativo fondato sulle dimensioni dell’entità per determinare quali operatori rientrino nell’ambito di applicazione della direttiva. In via generale, le micro e piccole imprese sono escluse; d’altra parte, la NIS2 prevede una serie di eccezioni in virtù delle quali anche a queste entità si applicano gli obblighi della direttiva.

2. Misure di gestione del rischio di cybersecurity e procedure di notifica degli incidenti

Sempre nell’ottica di una maggior armonizzazione a livello di recepimento nazionale, l’approccio scelto con la NIS2 è quello di prevedere un elenco minimo di misure tecniche di gestione dei rischi posti alla sicurezza dei sistemi che le entità (sia EE che EI) utilizzano nella fornitura dei loro servizi. Tra queste ci sono analisi del rischio, gestione degli incidenti, business continuity, sicurezza della supply chain, pratiche di computer "igiene", eccetera.

Il rapporto Clusit dell'Associazione italiana per la sicurezza informatica può essere richiesto cliccando qui.

Per quanto concerne, invece, gli obblighi di notifica, le EE e EI devono effettuare una notifica iniziale, poi particolareggiata con altre informazioni e secondo altri termini, alle autorità competenti (nel caso italiano, all’Agenzia Nazionale per la Cybersicurezza) senza indebito ritardo – e comunque entro 24 ore da quando ne sono venuti a conoscenza – ogni incidente avente un impatto significativo sulla fornitura dei servizi. Anche i destinatari del servizio dovranno essere informati qualora gli incidenti possano ripercuotersi negativamente sulla fornitura del servizio. L’incidente di cybersicurezza è considerato significativo se causa o può causare una perturbazione operativa o perdite finanziarie, materiali o immateriali considerevoli.

3. Controllo e sanzioni
La NIS2, inoltre, mira a rafforzare i poteri di vigilanza ed esecuzione delle autorità competenti affinché vi sia un monitoraggio efficace ed effettivo e gli obblighi vengano rispettati. Mentre le EE saranno soggette a un regime di vigilanza stringente, alle EI si applicherà un regime di vigilanza solo ex-post, quando cioè l’autorità competente abbia ricevuto elementi di prova che una EI non sia compliant, sulla scia del cosiddetti approccio light-touch applicato ai fornitori di servizi digitali nell'ambito della NIS.
Consigliati per te:

Analogamente al modello sanzionatorio del GDPR, la NIS2 prevede severe sanzioni amministrative pecuniarie, fino ad un massimo di 10 o 7 milioni – a seconda degli obblighi violati – oppure, se superiore, equivalenti al 2% o all'1.4% del fatturato mondiale totale annuo.

4. Cooperazione e condivisione delle informazioni

Infine, vengono istituiti nuovi meccanismi di cooperazione, come la rete EU-CyCLONe dedita al supporto della gestione coordinata di incidenti e crisi di cybersecurity di larga scala nell’Unione, e di condivisione delle informazioni (ad ogni livello, tra Stati membri e tra operatori privati), attraverso specifici accordi di condivisione delle informazioni di cybersecurity.

Il necessario raccordo con la "normativa Perimetro"

In questo contesto, il legislatore nazionale non solo dovrà modificare il testo del D. Lgs. che recepiva la direttiva NIS ma anche operare un opportuno raccordo tra il nuovo quadro giuridico europeo e la recente normativa di matrice nazionale introdotta dal Decreto-Legge n. 105 del 21 settembre 2019 – e successivi decreti attuativi – che ha istituito il Perimetro di sicurezza nazionale.