NIS 2: verso una nuova strategia in ambito cybersecurity

1. Introduzione

La Commissione, al fine di rendere l’Europa “fit for the digital age”[1], ha accelerato il processo di revisione della direttiva 2016/1148, nota come direttiva NIS (Network and Information Security), la cui pertinenza ed efficacia è stata messa a dura prova dalla crescente digitalizzazione connessa all’attuale crisi pandemica[2].

Appena due anni dopo la scadenza del termine per il recepimento della direttiva NIS da parte degli Stati membri, il 16 dicembre 2020, Margaritis Schinas, Vicepresidente della Commissione europea, e Thierry Breton, Commissario per il mercato interno, hanno presentato, nell’ambito della Strategia europea per la cybersecurity[3], una proposta di direttiva NIS 2[4]. Tale proposta arriva in un momento delicato, a pochi giorni dall’attacco informatico contro l’Agenzia Europea del Farmaco (Ema), che ha causato l’esposizione di informazioni sensibili legate al vaccino anti Covid Pfizer-BioNtech[5] e dal cyber attacco contro il colosso americano SolarWinds, uno dei più sofisticati e malevoli di sempre, il quale ha permesso l’introduzione di alcuni hacker statali all’interno di enti governativi e privati di tutto il mondo[6]. 

Risulta dunque evidente la necessità di aggiornare le misure esistenti a livello dell’Unione, volte a proteggere i servizi e le infrastrutture essenziali dalle minacce cibernetiche, al fine di affrontare le carenze dell’attuale direttiva NIS e rendere le sue disposizioni adeguate e funzionali all’era in cui stiamo vivendo. “The time of innocence is over. We know that we are a target. We need to modernize, reinforce, and adapt” ha affermato Margaritis Schinas.

2. Le novità della direttiva NIS

2.1 Estensione del campo di applicazione della direttiva

La proposta amplia notevolmente il campo di applicazione dell’attuale direttiva NIS aggiungendo nuove categorie di operatori. Ricordiamo che nella versione attualmente applicabile la normativa si rivolge a:

• Operatori di servizi essenziali (OSE) – ovvero soggetti, pubblici o privati, che forniscono servizi essenziali per la società nei settori dell’energia, dei trasporti, bancario, sanitario, delle infrastrutture dei mercati finanziari, delle infrastrutture digitali e della fornitura e distribuzione di acqua potabile.
• Fornitori di servizi digitali (FSD)– persone giuridiche che forniscono servizi di e-commerce, cloud computing e motori di ricerca con più di cinquanta dipendenti o con fatturato superiore ai 10 milioni di euro l’anno.

Nella proposta della Commissione notiamo invece un’estensione del novero dei destinatari della NIS. Sono ora inclusi ulteriori settori, quali servizi postali, di gestione dei rifiuti, di produzione e distribuzione di prodotti chimici, di produzione e distribuzione di prodotti alimentari e di produzione di dispositivi medici ed apparecchiature elettroniche.

In tale contesto spicca in particolare l’abolizione della differenziazione tra OES e FSD. La distinzione introdotta dalla nuova direttiva è ora solamente quella tra categorie essenziali e importanti[7]. Entrambe le categorie saranno soggette agli stessi obblighi in materia di gestione del rischio e di segnalazione delle violazioni, anche se il regime di vigilanza e sanzione sarà differente: mentre agli operatori essenziali si applicherà un vero e proprio regime di vigilanza ex ante, le entità importanti saranno soggette solamente a uno schema più soft di vigilanza ex post, nel caso in cui si rilevi un’inottemperanza alle disposizioni[8].

Inoltre non sarà più una competenza dei singoli Stati membri l’individuazione dei soggetti interessati dalla direttiva. Viene introdotta una semplice regola di taglia, in base alla quale tutte le medie e grandi imprese, come definite dalla raccomandazione della Commissione Europea 2003/361/CE, che operano nei settori o forniscono il tipo di servizi coperti dalla presente normativa, rientrano nel suo campo di applicazione. Le micro e piccole imprese sono esenti, a meno che non abbiano un profilo di rischio elevato, nel qual caso le norme proposte si applicano indipendentemente dalle dimensioni dell’impresa. 

Ciò configura un’importante semplificazione rispetto al regime attuale, caratterizzato da un’applicazione disomogenea, da parte degli Stati membri, dei criteri di identificazione degli operatori che rientrano nel campo di applicazione della direttiva NIS. Ricordiamo infatti che uno dei motivi alla base della sua revisione è proprio quello di ridurre “[the] inconsistencies across the internal market”[9] e sicuramente tale disposizione rappresenterà un indubbio progresso in termini di funzionalità della normativa.

2.2 Gestione dei rischi e procedura di segnalazione degli incidenti di sicurezza informatica

La proposta mira a rafforzare gli obblighi di sicurezza per i soggetti coperti dalla normativa, imponendo un approccio di gestione del rischio con un elenco minimo di misure di sicurezza da applicare. Come nell’attuale versione, la nuova direttiva stabilisce che gli operatori interessati dovranno adottare misure tecniche e organizzative adeguate e proporzionate per gestire le minacce poste alla sicurezza delle reti e dei sistemi informativi e per minimizzare l’impatto di eventuali incidenti informatici.

Le nuove disposizioni, tuttavia, ampliano l’elenco delle misure da adottare nel processo di gestione dei rischi, che ora comprendono controlli sulla sicurezza informatica dei propri fornitori o l’uso della crittografia[10].

Per dimostrare la conformità a tali requisiti, la proposta prevede che gli Stati membri possano richiedere agli operatori interessati di certificare alcuni prodotti, servizi e processi ICT nell’ambito di specifici schemi europei di certificazione sulla sicurezza informatica.

Sono introdotte disposizioni più dettagliate sulla procedura di segnalazione degli incidenti. Esiste ora una chiara definizione del concetto di incidente avente un impatto significativo sulla continuità e sulla fornitura dei servizi e sulle sue modalità di segnalazione. Un incidente è considerato significativo se ha causato o può potenzialmente causare notevoli turbative operative o perdite finanziarie per l’entità interessata o se ha colpito (o può potenzialmente colpire) altre persone fisiche o giuridiche causando considerevoli danni materiali o non materiali[11].

Si rileva, inoltre, l’introduzione di un rigido limite temporale per le notifiche. Una volta che l’operatore viene a conoscenza dell’avvenuto incidente, la notifica deve essere effettuata entro 24 ore alle autorità competenti o al Computer Security Incident Response Team (CSIRT) (che nel caso italiano è istituito presso la Presidenza del Consiglio dei Ministri). In aggiunta, a distanza di un mese, dovrà essere rilasciato un report finale comprendente almeno una descrizione dettagliata dell’incidente, della sua gravità e del suo impatto, il tipo di minaccia o la causa che lo ha probabilmente provocato e le misure di mitigazione previste[12].

Per la prima volta le persone fisiche possono essere ritenute responsabili della violazione dei loro obblighi nel garantire l’ottemperanza alle misure di sicurezza. Questo si rivolge in particolare agli organi di gestione degli operatori essenziali e importanti. Al riguardo, la proposta stabilisce che questi devono approvare le misure di gestione dei rischi in materia di sicurezza informatica adottate da tali soggetti, controllarne l’attuazione ed essere responsabili di eventuali inosservanze. La proposta sottolinea quindi che la cybersecurity rientra nella responsabilità dei consigli di amministrazione. Essa specifica inoltre che i membri dell’organo di gestione devono partecipare regolarmente a corsi di formazione specifici atti a valutare i rischi di cybersecurity e l’impatto delle pratiche di gestione sulle operazioni dell’entità[13].

Come nell’attuale versione, la proposta di direttiva incoraggia i soggetti che non rientrano nel suo ambito di applicazione a segnalare volontariamente incidenti o minacce alla sicurezza delle reti e delle informazioni, escludendo chiaramente l’imposizione di obblighi supplementari (negativi) al soggetto che effettua la segnalazione[14].

2.3 Rafforzamento della cooperazione tra gli Stati membri

Per affrontare il problema della mancanza di una risposta coerente a tali criticità a livello dell’Unione, la Commissione mira a promuovere la condivisione delle informazioni e la cooperazione tra gli Stati membri, rafforzando il ruolo del Cooperation Group. In tale contesto un’importante novità è rappresentata dall’istituzione dell’European Cyber Crises Liaison Organisation Network (EU – CyCLONe), cui spetta, in particolare, il ruolo di coordinare la gestione degli incidenti su larga scala e di garantire lo scambio regolare di informazioni tra gli Stati membri e le istituzioni europee.

Inoltre la proposta di direttiva NIS 2 mira a incoraggiare pratiche coordinate di divulgazione delle vulnerabilità. Al riguardo, il CSIRT assume il ruolo di coordinatore, agendo come intermediario di fiducia tra i soggetti segnalanti e i fornitori di prodotti o di servizi ICT. All’European Union Agency for Cybersecurity (ENISA) è invece affidato il compito a sviluppare e mantenere un registro europeo per consentire agli operatori e ai loro fornitori di reti e sistemi informativi di divulgare e registrare le vulnerabilità dei prodotti o servizi ICT, nonché di fornire a tutte le parti interessate l’accesso alle informazioni ivi contenute [15].

2.4 Regime sanzionatorio

Nella proposta spicca un incremento notevole delle sanzioni imposte in caso di violazione delle misure di gestione del rischio e degli obblighi di notifica. Tali sanzioni potranno ammontare fino a 10 000 000 di euro o al 2% del fatturato totale mondiale annuo dell’operatore interessato[16]. Vi è una differenza sostanziale rispetto all’impostazione vigente, che lascia ampi poteri agli Stati membri in merito alla determinazione delle sanzioni da comminare per il mancato rispetto della normativa. L’unico requisito imposto è che queste siano “effective, proportionate and dissuasive”[17]. Ricordiamo che nel caso italiano, il governo ha stabilito che tali sanzioni (amministrative) possono variare fino ad un massimo 125.000 Euro per i FSD e fino ad un massimo 150.000 Euro per gli OSE.

3. Conclusione

In risposta alla crescente digitalizzazione del mercato interno e all’evoluzione del panorama dei rischi alla sicurezza delle reti, innescata dalla crisi pandemica, la proposta di direttiva mira ad affrontare le diverse carenze dell’attuale normativa. Senza dubbio questo testo rappresenta un passo importante per rendere l’Europa “adatta all’era digitale” e scongiurare futuri eventi di impatto massivo come quelli che hanno recentemente interessato la cronaca. Al riguardo la Commissione afferma che la proposta dovrebbe apportare guadagni significativi, con stime che indicano una riduzione dei costi degli incidenti legati alla sicurezza informatica di circa 11,3 miliardi di euro[18].

Il Parlamento europeo e il Consiglio dovranno ora esaminare e adottare la proposta di direttiva e conseguentemente questa dovrà essere recepita dagli Stati membri entro 18 mesi dalla sua entrata in vigore. Occorrerà dunque attendere l’espletamento dell’iter legislativo per valutarne l’efficacia sul piano concreto e apprezzarne i reali benefici.

 

[1] Per maggiori approfondimenti si veda qui: https://ec.europa.eu/info/publications/factsheets-europe-fit-digital-age_en

[2] La direttiva europea 2016/1148 è stata attuata in italia con il d.lgs n° 65 del 18 maggio 2018. Per maggiori approfondimenti si veda M. Metafune “National Cybernetic Security Perimeter and NIS Directive”, consultabile qui: https://www.iusinitinere.it/national-cybernetic-security-perimeter-and-nis-directive-26008

[3] Commissione Europea, Joint Communication to the European Parliament and the Council: The EU’s Cybersecurity Strategy for the Digital Decade, 16 dicembre 2020. Consultabile qui: https://ec.europa.eu/digital-single-market/en/news/eus-cybersecurity-strategy-digital-decade

[4]Proposal for a Directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union, repealing Directive (EU) 2016/1148 (proposta di direttiva). Consultabile qui: https://ec.europa.eu/digital-single-market/en/news/revised-directive-security-network-and-information-systems-nis2 

[5] Si veda qui: https://www.lastampa.it/esteri/2020/12/09/news/coronavirus-pfizer-cyber-attacco-contro-l-ema-rubati-documenti-legati-al-vaccino-1.39640180

[6] Si veda qui:

[7] Si veda Annexes to the Proposal for a Directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union, repealing Directive 2016/1148. Consultabile qui:

[8] Considerando 70 della proposta di direttiva

[9] Si veda nota 3

[10] Art. 18 par. 2 della proposta di direttiva

[11] Art. 20, par. 3 della proposta di direttiva

[12] Art. 20, par. 4 della proposta di direttiva

[13] Art. 17 della proposta di direttiva

[14] Art 27 della proposta di direttiva

[15] Art. 6 della proposta di direttiva

[16] Art. 31 della proposta di direttiva

[17] Art. 21 Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union. Consultabile qui: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016L1148

[18] Si veda Annex 7 to the Commission Decision on the Internal Rules on the implementation of the general budget of the European Union (European Commission section) for the attention of the Commission departments