È stato approvato lo scorso giugno dal Consiglio dei Ministri in via preliminare lo schema del decreto legislativo che recepisce in Italia la Direttiva Nis2 (Network and Information Security Directive) – anche conosciuta come Direttiva 2022/2555 -, il framework che l’Unione europea ha concepito per indirizzare le nuove sfide della resilienza informatica.
Cos’è la Direttiva NIS2?
La Direttiva NIS2 costituisce un importante avanzamento nella strategia di cybersecurity dell’Unione Europea, superando le disposizioni della precedente Direttiva Network and Information Systems (NIS).
La nuova direttiva è stata, infatti, progettata per rafforzare la sicurezza informatica delle entità essenziali e importanti all’interno dell’UE, rispondendo alle crescenti minacce digitali e proteggendo il mercato interno dell’Unione.
A questo proposito, NIS2 introduce protocolli di sicurezza più rigorosi, richiede una maggiore segnalazione delle violazioni e istituisce quadri di governance più solidi, estendendo la sua applicazione a un numero maggiore di settori rispetto alla direttiva precedente. Per creare un meccanismo di difesa unico e robusto contro le minacce digitali, la direttiva prevede misure specifiche come l’identificazione dei soggetti critici, la valutazione del rischio, l’adozione di idonee misure di sicurezza e la collaborazione tra le autorità nazionali.
Il decreto legislativo associato integra un quadro di gestione delle crisi informatiche a livello nazionale, e conferma l’Agenzia per la Cybersicurezza Nazionale (ACN) come Autorità Nazionale Competente NIS. Inoltre, istituisce le Autorità di settore NIS che lavorano in collaborazione con l’ACN.
La direttiva stabilisce anche i criteri per l’identificazione dei soggetti pubblici e privati tenuti a rispettare gli standard di sicurezza informatica, classificandoli in categorie “essenziali” e “importanti” in base alla loro rilevanza economica e sociale. Questi criteri delineano gli obblighi in materia di gestione dei rischi per la sicurezza informatica, contribuendo a consolidare la resilienza del mercato unico digitale europeo.
Cosa prevede la Direttiva NIS2: le novità
Entriamo nel dettaglio delle principali novità introdotte e recepite dal recente decreto legislativo:
- L’ampliamento del campo di applicazione della normativa;
- L’adozione di un “approccio multirischio”;
- La regolamentazione della divulgazione coordinata delle vulnerabilità e le specifiche funzioni di coordinamento assegnate ai Csirt (Computer Security Incident Response Team) nazionali;
- La distinzione tra “soggetti essenziali” e “soggetti importanti”, basata su criteri dimensionali;
- La semplificazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria;
- L’implementazione di misure di cooperazione per supportare la gestione coordinata, a livello operativo, degli incidenti e delle crisi di cybersicurezza su larga scala.
I requisiti minimi previsti dalla Direttiva NIS2
NIS 2 si concentra su diverse aree chiave per rafforzare le capacità di difesa e risposta della cybersecurity: gestione del rischio e misure di sicurezza, segnalazione e gestione delle violazioni, sicurezza della catena di approvvigionamento e formazione e sensibilizzazione sulla cybersecurity. È quanto emerge dalle linee guida della direttiva, secondo cui le organizzazioni sono tenute a implementare processi di gestione del rischio completi e adottare misure di sicurezza per mitigare i rischi individuati, seguire protocolli specifici per la registrazione e la comunicazione tempestiva degli incidenti informatici alle autorità nazionali, proteggere le proprie catene di approvvigionamento dalle minacce informatiche e promuovere una cultura della sicurezza informatica attraverso programmi di formazione e sensibilizzazione continui per il personale e la dirigenza.
Tempi e implementazione
NIS2 è entrata in vigore il 17 gennaio 2023 e gli Stati membri dell’UE devono introdurre la direttiva nella legislazione nazionale entro il 17 ottobre 2024. Le organizzazioni coperte dalla direttiva devono conformarsi alla legislazione nazionale che implementa la NIS2 entro questa scadenza.
Differenze strutturali tra NIS e NIS2
Promuovendo l’adozione di un approccio multirischio, la direttiva, che sostituisce la precedente Network and Information Security del 2016, si articola su quattro principi chiave: protezione dei dati personali, diritti fondamentali, safety e cybersecurity. Mentre la direttiva del 2016 si concentrava su un numero più ristretto di settori, la NIS 2 estende la sua portata includendo anche “soggetti critici” operanti in settori chiave come l’energia, i trasporti, il settore bancario e la sanità.
Le differenze principali tra le due direttive evidenziano l’intento di rafforzare la sicurezza informatica in tutta l’Unione Europea.
Ambito di applicazione ampliato
Mentre la Direttiva NIS1 si applicava esclusivamente agli “operatori di servizi essenziali” (OES) e ai “fornitori di servizi digitali” (DSP) nei settori specifici, la NIS2 amplia notevolmente il suo ambito di applicazione, includendo una gamma molto più ampia di entità classificate come “essenziali” e “importanti” in 15 settori diversi, tra cui energia, trasporti, banche, sanità, infrastrutture digitali e molti altri.
Requisiti e applicazione più rigorosi
La NIS2 introduce requisiti di sicurezza più dettagliati e armonizzati che le entità interessate devono implementare. Questi requisiti includono valutazioni del rischio, piani di risposta agli incidenti e misure di sicurezza per la catena di fornitura. Prevede anche obblighi più severi di segnalazione degli incidenti, con tempistiche più brevi per informare le autorità competenti.
Inoltre, la Network and Information Security Directive conferisce alle autorità nazionali il potere di imporre sanzioni molto più severe in caso di non conformità. Le multe possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale dell’azienda. Inoltre, le autorità hanno il potere di impartire istruzioni vincolanti e di sospendere temporaneamente i servizi in caso di gravi violazioni.
Miglioramento della collaborazione
Uno degli obiettivi principali della NIS2 è migliorare la cooperazione e la condivisione delle informazioni tra gli Stati membri. A tal fine, la direttiva prevede la creazione di un nuovo gruppo di cooperazione, volto a rafforzare la preparazione e la risposta collettiva dell’UE alle principali minacce informatiche.
Ambiti di applicazione della Network and Information Security Directive
La Direttiva NIS 2 si applica a specifici soggetti pubblici o privati che operano all’interno dell’Unione Europea. Per comprendere esattamente chi rientra nell’ambito di applicazione della Direttiva, è fondamentale considerare tre criteri principali: il dimensionamento, il settore merceologico e la territorialità.
Dimensionamento
Il primo criterio, quello del dimensionamento, stabilisce che la Direttiva NIS 2 riguarda le imprese qualificate come medie o quelle che superano i limiti delle medie imprese. Secondo l’articolo 2, paragrafo 1, della Direttiva, una media impresa è definita come un’entità che impiega meno di 250 persone e ha un fatturato annuo non superiore a 50 milioni di euro, oppure un bilancio totale annuo che non supera i 43 milioni di euro. Questa definizione è ripresa dalla Raccomandazione 2003/361/CE, che fornisce ulteriori dettagli sulle categorie di imprese: una piccola impresa occupa meno di 50 persone e ha un fatturato o bilancio annuo non superiore a 10 milioni di euro, mentre una microimpresa occupa meno di 10 persone e ha un fatturato o bilancio annuo non superiore a 2 milioni di euro.
Settore merceologico
L’articolo 2, paragrafo 1, della Direttiva NIS 2 si applica a soggetti pubblici o privati che operano nei settori elencati negli Allegati I e II della Direttiva stessa. Questi allegati distinguono tra settori ad alta criticità (Allegato I) e altri settori critici (Allegato II).
I soggetti appartenenti ai settori dell’Allegato I sono generalmente considerati essenziali, mentre quelli dell’Allegato II sono considerati importanti. Tuttavia, la Commissione Europea ha la facoltà di stabilire un elenco dettagliato di soggetti essenziali e importanti entro il 17 aprile 2025.
Territorialità
La Direttiva NIS 2 si applica ai soggetti pubblici o privati che operano nei settori elencati negli Allegati I o II e che rientrano nella definizione di medie imprese o superiori, purché prestino i loro servizi o svolgano le loro attività all’interno dell’Unione Europea.
Volendo sintetizzare, quindi, per determinare se un soggetto rientra nell’ambito di applicazione della Direttiva NIS 2, è necessario valutare tre aspetti: la dimensione dell’impresa, il settore di attività e l’ubicazione geografica delle operazioni. Questa analisi consente di garantire che le misure di sicurezza delle reti e delle informazioni siano applicate in modo appropriato e coerente, contribuendo così a migliorare la resilienza e la sicurezza cibernetica all’interno dell’Unione Europea.
Come prepararsi alla conformità di NIS2
La scadenza è ormai vicina e alle aziende è richiesto di prepararsi adeguatamente.
Il primo passo consiste nell’informare e coinvolgere la direzione dell’organizzazione, assicurandosi che il management comprenda appieno le implicazioni e i requisiti della direttiva. Una valutazione approfondita della strategia di cybersecurity attualmente in uso è fondamentale. Ciò implica un’analisi dei sistemi IT, dei controlli di sicurezza e delle pratiche esistenti per individuare eventuali lacune o punti deboli. Sulla base di questa valutazione, diventa necessario sviluppare una tabella di marcia dettagliata e un piano di attuazione per soddisfare i requisiti della NIS2, dando priorità alle aree più critiche per rispettare la scadenza dell’ottobre 2024.
Implementare i necessari controlli tecnici di sicurezza, come l’autenticazione a più fattori, la crittografia, la gestione delle vulnerabilità e le funzionalità di monitoraggio e registrazione della sicurezza è essenziale per proteggere l’infrastruttura digitale dell’organizzazione. Assicurarsi che tutti i dipendenti ricevano una formazione solida e regolare sulla consapevolezza della cybersecurity migliora la resilienza complessiva dell’organizzazione, aiutando i dipendenti a identificare e rispondere alle potenziali minacce. Ed è per questo che serve assegnare budget e risorse adeguate, collaborando con la direzione per garantire fondi e risorse necessarie all’implementazione dei controlli e dei processi di sicurezza richiesti. Investimenti in nuove tecnologie, personale aggiuntivo, formazione continua e manutenzione costante potrebbero essere necessari. Le politiche e le procedure di sicurezza dell’organizzazione devono essere migliorate e aggiornate, inclusa la revisione delle politiche di sicurezza, dei piani di risposta agli incidenti e di altre procedure pertinenti per allinearsi ai mandati della Direttiva NIS2.
Non manca, poi, l’aspetto che riguarda la valutazione e la gestione dei rischi della catena di fornitura: è necessario valutare la robustezza delle strutture di cybersecurity dei fornitori e dei provider di servizi e implementare misure di sicurezza adeguate a mitigare i rischi lungo tutta la catena di fornitura.
Infine, è importante prepararsi per la segnalazione degli incidenti e gli audit, stabilendo solide procedure di rilevamento, analisi e segnalazione degli incidenti per soddisfare i requisiti di notifica della direttiva NIS2 e assicurandosi che l’organizzazione sia pronta per potenziali audit e ispezioni da parte delle autorità di regolamentazione.
Sanzioni per la non conformità: cosa rischiano le aziende
A partire dall’ottobre 2024, con l’entrata in vigore della Direttiva NIS2, tutte le organizzazioni dovranno conformarsi ai nuovi requisiti di sicurezza informatica, pena sanzioni significative, indipendentemente dalla loro classificazione come aziende essenziali o importanti.
Per le organizzazioni essenziali, classificate come a rischio essenziale, le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale. Le organizzazioni importanti, invece, classificate come a rischio importante, possono essere multate fino a 7 milioni di euro o all’1,4% del loro fatturato annuo globale.
Non solo le organizzazioni, ma anche le persone fisiche in posizioni dirigenziali possono essere ritenute responsabili dell’incapacità di soddisfare i nuovi requisiti. In altre parole, i membri del top management possono essere perseguiti legalmente se non aderiscono alle nuove regole. Inoltre, devono partecipare a corsi per migliorare la loro capacità di valutare i rischi per la cybersecurity e incoraggiare l’intera organizzazione a fare altrettanto.
Soggetti esclusi dall’ambito di applicazione della Network and Information Security Directive
La Direttiva NIS2 prevede alcune eccezioni significative riguardo la sua applicazione. In particolare, essa non si applica agli enti della PA che operano in settori cruciali quali la sicurezza nazionale, la pubblica sicurezza, la difesa, e le attività legate al contrasto, alla prevenzione, alle indagini, all’accertamento e al perseguimento dei reati, come specificato nell’articolo 2, paragrafo 7.
Inoltre, gli stati membri hanno la facoltà di esentare dall’ambito di applicazione della NIS2 alcuni soggetti specifici. Questi soggetti devono essere impegnati in settori analoghi a quelli menzionati per gli enti della pubblica amministrazione, ovvero sicurezza nazionale, pubblica sicurezza, difesa e attività di contrasto ai reati. Tale esenzione si estende anche a coloro che forniscono servizi esclusivamente a questi enti pubblici, come stabilito nell’articolo 2, paragrafo 8.
Infine, ci sono anche soggetti esentati in virtù del regolamento (UE) 2022/2554, noto come Regolamento DORA, per specifiche disposizioni contenute nell’articolo 2, paragrafo 4 di tale regolamento. Anche questi soggetti sono esclusi dall’ambito di applicazione della Direttiva NIS2, come previsto dall’articolo 2, paragrafo 10.