Direttiva NIS2: cosa cambia?
L’Unione Europea ha approvato la Direttiva NIS2
di Lorenzo Berto
Introduzione
Negli ultimi due anni ci siamo abituati, nostro malgrado, a familiarizzare con il lessico che gli specialisti utilizzano per descrivere le pandemie e le relative strategie di difesa.
È affascinante notare che gli operatori della cybersecurity si avvalgono spesso del medesimo apparato lessicale per descrivere le minacce ai sistemi informatici. Conosciamo tutti l’esistenza dei virus, a causa dei quali i dispositivi potrebbero essere messi in quarantena; sappiamo che questi software malevoli attaccano un sistema e lo infettanoriproducendosi in moltissime copie; abbiamo sentito parlare del periodo di incubazione del virus informatico e, infine, delle sue mutazioni che rendono ancora più complessa l’attività di protezione del sistema attaccato.
Naturalmente, si tratta di ambiti dell’esperienza umana molto diversi. Tuttavia, ci pare che lo sviluppo del linguaggio della cybersicurezza in analogia a quello, più collaudato, della epidemiologia, non sia solamente un fatto curioso, ma riveli la somiglianza tra le minacce descritte e, di conseguenza, la coincidenza tra le soluzioni proposte.
Così, cercando di fare tesoro di questi due anni di pandemia da Covid-19, possiamo affermare schematicamente che i pilastri di una buona difesa da minacce invisibili, in rapida evoluzione e capaci di diffondersi secondo una logica esponenziale (siano esse virus biologici o informatici), sono due: un piano preciso, adottato a priori e regolarmente aggiornato, e un meccanismo di notifica dell’infezione quasi tempestivo, onde prevenire la diffusione del virus.
Questi due pilastri sono ben visibili nella direttiva c.d. NIS2[1] “relativa a misure per un livello comune elevato di cybersicurezza nell’Unione”, approvata il 10.11.2022 dal Parlamento Europeo e il 28.11.2022 dal Consiglio dell’Unione Europea.
Essa, infatti, da un lato mira ad aggiornare il primo atto legislativo in materia di cybersicurezza adottato dall’Unione, e cioè la Direttiva NIS1[2], a partire dalla consapevolezza che, negli ultimi anni, le minacce informatiche si sono fatte sempre più sofisticate e invasive e hanno riguardato un numero sempre crescente di soggetti, anche a causa della pandemia da Covid-19 (stavolta richiamata esplicitamente dal legislatore, e non come mera suggestione[3]), che ha accelerato l’utilizzo delle ICT in moltissimi settori; dall’altro lato, la direttiva interviene proprio sui meccanismi di notifica degli incidenti, aiutando a riportare ordine in un groviglio di norme in cui non era facile orientarsi.
Vediamo, dunque, seppur brevemente, le principali novità apportate dalla direttiva NIS2.
Le novità della NIS2
La direttiva NIS2, anzitutto, presenta un ambito di applicazione assai più ampio rispetto alla NIS1.
Essa elimina la distinzione presente nel precedente testo legislativo, basata sul tipo di servizio fornito, tra operatori di servizi essenziali e fornitori di servizi digitali, adottando una classificazione fondata sull’importanza del servizio offerto. Pertanto, la NIS2 distingue tra i più critici “soggetti essenziali” e i “soggetti importanti”[4]. Il criterio determinante per stabilire su un soggetto rientri o meno nell’ambito di applicazione della direttiva corrisponde alle dimensioni dell’entità; sono in ogni caso escluse le piccole e microimprese, con alcune eccezioni[5].
Così, in aggiunta ai settori ricompresi nell’ambito di applicazione della precedente direttiva, le disposizioni della direttiva NIS2 vincoleranno anche quegli operatori che forniscono, inter alia:
- piattaforme di cloud computing, data centre, reti di comunicazione elettronica;
- servizi sanitari, quali – tra gli altri – società farmaceutiche e produttori di dispositivi medici;
- servizi di produzione, trasformazione e distribuzione di cibo, ivi comprese le imprese della grande distribuzione.
I soggetti rientranti nell’ambito di applicazione della Direttiva NIS2 sono tenuti, in particolare, ad adottare misure minime di gestione della cybersicurezza e di prevenzione delle minacce, che riguardano anche la supply chain.
Tuttavia, la direttiva NIS2 non si limita a stabilire standard minimi, demandando agli Stati Membri il compito di dettagliare gli obblighi conseguenti; si premura, piuttosto, di fornire un elenco alquanto dettagliato di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi[6]. La circostanza non stupisce: una delle ragioni che hanno portato all’abrogazione della direttiva NIS1 è proprio la carenza di omogeneità delle soluzioni adottate dagli Stati Membri sotto il precedente regime.
Fin qui abbiamo esaminato, ancorché sinteticamente, il primo dei due pilastri cui abbiamo fatto riferimento in chiusura dell’introduzione, i.e. gli obblighi in materia di misure da adottare per prevenire o sventare le minacce informatiche (e i soggetti tenuti ad adottare tali misure).
Vediamo ora il secondo elemento portato della strategia di difesa dalle minacce alla cybersicurezza che l’Unione Europea intende perseguire: gli obblighi di notifica.
Anche in questo caso, occorre limitarsi alle novità principali.
A differenza della direttiva NIS, che definiva un incidente come “qualsiasi evento che abbia un effettivo effetto negativo sulla sicurezza della rete e dei sistemi informativi”, la Direttiva NIS2 fornisce una definizione più dettagliata: “un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei relativi servizi offerti dai sistemi informatici e di rete o accessibili attraverso di essi”[7]. Inoltre, nel nuovo quadro normativo un incidente sarà considerato significativo anche se ha solo il potenziale di causare un danno.
Ebbene, la Direttiva NIS2 prevede in capo ai soggetti essenziali o importanti un obbligo di notifica al CSIRT o alle autorità competenti:
- senza indebito ritardo, per eventuali incidenti che abbiano un impatto significativo sulla fornitura dei loro servizi. Peraltro, se opportuno, tali soggetti notificano senza indebito ritardo ai destinatari dei loro servizi gli incidenti che possono ripercuotersi negativamente sulla fornitura di tali servizi[8];
- senza un ritardo ingiustificato e, in ogni caso, entro 24 ore dal momento in cui l’entità sottoposta all’obbligo di notifica è venuta a conoscenza dell’incidente, un “early warning” che indichi se l’incidente significativo sia presumibilmente causato da una azione illecita o possa avere un impatto transfrontaliero[9].
Si segnala, da ultimo, che gli obblighi stabiliti dalla Direttiva NIS2 sono assistiti da un apparato sanzionatorio[10] che ricalca quello presente nel GDPR.
I prossimi passi
Come anticipato, la direttiva NIS2 è stata approvata dai co-legislatori dell’Unione Europea, e cioè dal Parlamento Europeo e dal Consiglio dell’Unione Europea.
Gli Stati Membri, entro il termine massimo di 21 mesi, dovranno recepire la direttiva a livello nazionale; solo a quel punto le norme diventeranno vincolanti per le imprese e abrogheranno le precedenti.
Il tempo non manca, dunque. Lo sforzo di compliance, tuttavia, è davvero significativo, ciò che dovrebbe suggerire alle imprese di avviare i processi interni di adeguamento. Anche i consulenti, peraltro, dovrebbero giocare d’anticipo: il quadro tracciato dalla direttiva NIS2 è infatti ulteriormente complicato dalla stratificazione normativa, avente ambiti di applicazione diversi ma a volte sovrapponibili, che l’Unione Europea sta adottando in materia di cybersecurity (si pensi, ad esempio, al Regolamento DORA[11], al Cyber Resilience Act[12], oltre ai già esistenti GDPR[13], Regolamento eIDAS[14], la direttiva PSD2[15] ed il Codice Europeo delle Comunicazioni Elettroniche[16]).
È la stessa Unione Europea a ricordarci che la trasformazione digitale della società ha ampliato il panorama delle minacce e sta lanciando nuove sfide, che richiedono risposte adeguate e innovative. Questa volta, almeno, sappiamo da dove partire: di fronte a minacce invisibili a occhio nudo e in rapida evoluzione sono necessari piani precisi, definiti ex ante, e risposte istantanee.
[1] Al momento della redazione del presente articolo la Direttiva NIS2 non è ancora stata pubblicata in Gazzetta Ufficiale; per le citazioni degli articoli faremo quindi riferimento al testo approvato dal Parlamento Europeo, disponibile al seguente link: https://eur-lex.europa.eu/resource.html?uri=cellar:be0b5038-3fa8-11eb-b27b-01aa75ed71a1.0011.02/DOC_1&format=PDF.
[2] Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio; recepita in Italia senza sostanziali modifiche con il D. Lgs. N. 65/2018.
[3] Cfr. considerando 20 della direttiva NIS2.
[4] Art. 2 e, rispettivamente, gli allegati I e II della NIS2.
[5] Art. 2 NIS2.
[6] Art. 18 NIS2.
[7] Art. 4, comma 1, punto 5 NIS2.
[8] Art. 20 comma 1, NIS2.
[9] Art. 20 comma 4, lettera a) NIS2.
[10] Art. 31 NIS2. Con particolare riferimento alle sanzioni, è ormai consuetudine nel diritto dell’Unione Europea riguardante i servizi digitali in senso ampio, ricorrere al modello del GDPR.
[11] Regolamento del Parlamento europeo e del Consiglio relativo alla resilienza operativa digitale per il settore finanziario (ancora allo stato di proposta).
[12] Regolamento del Parlamento europeo e del Consiglio (ancora allo stato di proposta).
[13] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
[14] Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio.
[15] Direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio.
[16] Direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio.