Cybersicurezza in UE: il punto sull’evoluzione normativa

Tramite l’odierna newsletter intendiamo fare il punto sull’evoluzione normativa comunitaria in materia di cybersicurezza, in particolare sulla Direttiva NIS 2, che a breve sostituirà la precedente NIS 1, e sul regolamento Dora, indicando brevemente quali sono i rispettivi ambiti e tempi di applicazione, nonché quanto già noto in merito agli adempimenti necessari per conformarsi a tali nuovi provvedimenti.

1. Cosa prevede la Direttiva NIS 1

Prima di introdurre la Direttiva NIS 2, è opportuno ricordare che nel nostro paese è tuttora in vigore e applicabile il d.lgs. 65/2018 – attuativo della Direttiva UE 2016/1148, c.d. NIS 1, il quale stabilisce le misure volte a conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo così ad aumentare il livello comune di sicurezza all’interno dell’Unione europea.

Come anticipato, la Direttiva NIS 1 sarà abrogata dalla Direttiva NIS 2 a partire dal 18 ottobre 2024. In attesa del recepimento della nuova direttiva da parte del legislatore italiano, la Direttiva NIS 1 ed il suo decreto attuativo rimangono pertanto validi.

Con riferimento ai soggetti privati coinvolti, la Direttiva NIS 1 si rivolge a:

• operatori di Servizi Essenziali (OSE): ossia quei soggetti pubblici o privati che forniscono un servizio essenziale per il mantenimento di attività economiche e/o sociali – nei settori dell’energia, dei trasporti, bancario, dei mercatai finanziari, sanitario, di distribuzione di acqua potabile e delle infrastrutture digitali – la cui fornitura dipende dal corretto e costante funzionamento della rete internet. Tali operatori sono stati oggetti di apposita individuazione da parte delle autorità competenti per ciascun settore di attività;
• qualsiasi Fornitore di Servizi Digitali (FSD), quali ad esempio servizi di e-commerce, di cloud computing o motori di ricerca.

Per tali soggetti la normativa prevede essenzialmente che siano tenuti a:

1. predisporre misure di sicurezza adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi utilizzati, con l’obiettivo di minimizzare l’impatto di eventuali incidenti;
2. notificare al CSIRT (gruppo di intervento per la sicurezza informatica, istituito presso l’Agenzia per la cybersicurezza nazionale) gli incidenti aventi un impatto rilevante sulla continuità dei servizi forniti.

Di notevole interesse è la previsione, contenuta nell’art. 19 del d.lgs. 65/2018, per i soggetti non identificati come OSE o FSD di notificare al CSIRT su base volontaria gli incidenti aventi un impatto rilevante sulla continuità dei servizi da loro prestati.

2. Le novità della Direttiva NIS 2

L’emanazione della Direttiva NIS 2 (Direttiva UE 2022/2555) si è resa necessaria a causa delle divergenze nell’attuazione della precedente direttiva da parte degli Stati membri che ha portato a livelli disomogenei di sicurezza e vulnerabilità all’interno dell’Unione. La nuova direttiva, pubblicata in G.U.U.E. in data 27 dicembre 2022, dovrà essere recepita all’interno degli ordinamenti degli Stati membri entro il 17 ottobre 2024.

Rispetto alla sua versione precedente la nuova normativa:

1. amplia notevolmente il novero dei soggetti obbligati: la direttiva elimina la precedente distinzione tra OSE e FSD e introduce quella basata su soggetti essenziali e soggetti importanti che dovranno essere indentificati dagli Stati membri con criteri uniformi. I settori “ad alta criticità” sono più numerosi rispetto a quelli compresi nella NIS 1, ai quali si aggiungono, ad esempio, il settore alimentare, il settore della fabbricazione e produzione di sostanze chimiche, della gestione dei rifiuti, della fabbricazione di dispositivi medici, di prodotti elettronici o di apparecchiature elettriche, ecc. Viene inoltre stabilito che, oltre alle medie-grandi imprese, anche le piccole e microimprese attive in settori chiave per la società possono rientrare nel novero dei soggetti obbligati. In ogni caso, entro il 17 aprile 2025, gli Stati membri sono tenuti a definire un elenco dei soggetti essenziali ed importanti ai quali dovranno applicarsi le previsioni della normativa (tra i chiarimenti necessari uno dei più importanti è quello inerente l’applicabilità della NIS 2 alla P.A.);
2. vengono dettagliati con maggiore chiarezza gli adempimenti a carico dei soggetti obbligati, i quali saranno tenuti, anche in questo a caso ad adottare “misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi”. La nuova direttiva specifica però che tali misure dovranno essere basate su approccio multirischio mirante a proteggere da incidenti i sistemi informatici e di rete, nonché il loro ambiente fisico, e che dovranno prevedere almeno gli elementi indicati dall’art. 21 comma 2 della direttiva (tra i quali vi sono, inter alia, politiche di analisi dei rischi, di gestione degli incidenti, di continuità operativa; strategia di procedura per la verifica l’efficacia delle misure di gestione dei rischi; pratiche di igiene informatica; ecc.);
3. con riferimento agli obblighi di segnalazione degli incidenti, la nuova direttiva prevede un rafforzamento di tali obblighi verso le autorità competenti e al CSIRT in base ad uno schema a più fasi con tempistiche definite (un primo avviso entro massimo 24 ore, un’analisi dettagliata dell’accaduto entro 72 ore).

3. Il regolamento DORA

Accanto alla Direttiva NIS 2, che ha una portata molto ampia, vi sono inoltre delle normative sulla cybersicurezza dedicate a particolari settori; tra queste, riveste senz’altro una grande importanza il Regolamento europeo 2022/2554 (c.d. Regolamento DORA), già oggetto della nostra newsletter del 16 febbraio 2024, in vigore dal 17 gennaio 2023 ma applicabile dal 17 gennaio 2025, il quale si propone di elevare il livello di sicurezza del settore finanziario, ponendo a carico dei soggetti coinvolti numerosi obblighi.

I soggetti chiamati ad adempiere sono quelli indicati all’art. 2 del regolamento; tra questi, a titolo esemplificativo, vi sono: enti creditizi, prestatori di servizi di informazione sui conti, imprese di investimento, società di gestione, intermediari assicurativi di dimensioni rilevanti e fornitori di servizi ICT. L’ambito di applicazione risulta dunque molto esteso: il legislatore europeo ha inteso infatti estendere il regolamento a tutti i soggetti potenzialmente coinvolti nella sicurezza del settore.

Ai soggetti obbligati il regolamento DORA principalmente richiede: (i) di stabilire un quadro di governance interna tramite il quale sia possibile individuare con chiarezza i soggetti responsabili della prevenzione e della gestione dei rischi informatici; (ii) di adottare un adeguato piano per la gestione dei rischi contenente i parametri di sicurezza da seguire nei processi aziendali; (iii) la predisposizione di sistema di monitoraggio degli incidenti; (iv) il frequente svolgimento di test di resilienza operativa digitale.

Indicazioni più precise si avranno non appena sarà finalizzato il processo di adozione delle norme tecniche di regolamentazione e attuazione: un primo set di norme è già stato sottoposto dalle Autorità di Vigilanza Europee alla Commissione, un secondo gruppo invece dovrà essere trasmesso alla Commissione entro il 17 luglio 2024. Per la fine dell’anno il quadro normativo dovrebbe essere dunque completo, almeno a livello comunitario.

4. Conclusioni

Alla luce delle sempre più gravi minacce in ambito informatico, l’Unione europea si è prefissata l’obiettivo di creare un ciberspazio sicuro all’interno del mercato unico. Anche i soggetti privati, principali agenti del mercato interno, sono dunque chiamati a svolgere la loro parte adeguandosi in modo corretto alle normative vigenti.

È opportuno sin da subito che tutte le aziende verifichino se rientrano nel campo di applicazione della NIS 1 e, in caso affermativo, se siano già compliant con la normativa in vigore o debbano adeguarsi alla stessa, anche al fine di evitare le pesanti sanzioni previste dal d. lgs. 65/2018.

Sarà necessario poi tenere alta l’attenzione nei prossimi mesi, in quanto verrà presto chiarito l’ambito di applicazione della Direttiva NIS 2, nonché il contenuto delle prescrizioni tecniche e documentali a cui le aziende dovranno conformarsi in virtù della stessa direttiva e, per il settore finanziario, anche del Regolamento DORA.

Lo studio è a disposizione per qualsiasi chiarimento