Direttiva NIS 2: il nuovo approccio europeo alla gestione del rischio cyber per i settori strategici

Entrata in vigore il 17 gennaio 2023, la Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio, nota anche come “NIS 2”, dovrà essere recepita dagli Stati membri entro il 17 ottobre 2024, andando così a sostituire la precedente Direttiva NIS (Direttiva UE 2016/1148 sulla sicurezza delle reti e dei sistemi informativi), che ha delineato la prima strategia europea in ambito cybersecurity, stabilendo obblighi comuni di sicurezza per gli operatori di servizi essenziali e i fornitori di servizi digitali.

Il numero, la portata, il livello di sofisticazione, la frequenza e l'impatto degli incidenti stanno aumentando e rappresentano una grave minaccia per il funzionamento dei sistemi informatici e di rete. Tali incidenti possono quindi impedire l'esercizio delle attività economiche nel mercato interno, provocare perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all'economia e alla società dell'Unione.
 

Considerando 3, Direttiva (UE) 2022/2555

In tale panorama, la dipendenza del mercato europeo e nazionale da efficaci strategie di cybersecurity è innegabile. La sicurezza informatica, infatti, rappresenta, oggi più che mai, un fattore abilitante fondamentale per molti settori critici.

• Ma quali sono i passi da seguire affinché i soggetti che rientrano nell'ambito di applicazione della nuova Direttiva siano in grado di garantire le misure di gestione dei rischi e gli obblighi di segnalazione previsti?

• Cosa cambia rispetto alla precedente Direttiva?

La nuova Direttiva conferma la volontà del legislatore europeo di armonizzare i diversi approcci degli Stati membri alla cybersecurity, apportando modifiche strategiche, tra le quali si evidenziano:

• l’estensione dell’ambito di applicazione, in quanto NIS 2 non solo supera la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali, ma include settori nuovi, tra cui acque reflue, spazio, nonché produzione, trasformazione e distribuzione di alimenti;
• una migliore definizione dei requisiti di cybersecurity risk-management, includendo i temi di supply chain security assessment, information sharing e vulnerability disclosure;
• un approccio bifasico nei confronti della segnalazione degli incidenti significativi, al fine di trovare il giusto equilibrio tra rapidità e dettaglio;
• il rafforzamento del sistema sanzionatorio e di vigilanza delle Autorità competenti, specialmente nei confronti dei soggetti essenziali.

La Direttiva NIS 2 richiede agli Stati membri di garantire l’adozione, da parte dei soggetti essenziali e importanti, di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi cyber, nonché per prevenire o ridurre al minimo l'impatto di eventuali incidenti.

Dette misure devono basarsi su un approccio multirischio mirante a proteggere i sistemi informatici e di rete, nonché l’ambiente fisico.

Ma di quali misure si tratta?

Mentre la Direttiva UE 2016/1148 aveva come destinatari gli Operatori di Servizi Essenziali (OSE) e i Fornitori di Servizi Digitali (FSD), NIS 2 classifica le entità come soggetti essenziali e soggetti importanti operanti nei settori di cui agli Allegati I e II. In particolare, NIS 2 si applica ai soggetti pubblici o privati considerati “medie imprese” ai sensi dell'articolo 2, paragrafo 1, dell'Allegato alla Raccomandazione 2003/361/CE o che superano i massimali per le medie imprese, che prestano i loro servizi o svolgono le loro attività all'interno dell'Unione europea.

L’ambito dei settori risulta ampliato, andando ora a coprire tutte le organizzazioni che svolgono funzioni importanti all’interno della società. La Direttiva NIS 2 si applica, infatti, anche a “nuovi” settori come la produzione alimentare, i servizi postali e la gestione dei rifiuti.

La Direttiva prevede dei casi in cui le sue prescrizioni si applicano indipendentemente dalla dimensione dell’impresa. I soggetti che, pur non qualificandosi nemmeno come media impresa, rientrano nell’ambito di applicazione della NIS 2 sono i seguenti:

• fornitori di reti pubbliche di comunicazione elettronica o servizi di comunicazione elettronica accessibili al pubblico;
• prestatori di servizi di fiducia;
• fornitori di registri di nomi di dominio di primo livello e fornitori di servizi DNS;  
• fornitori unici di un servizio essenziale per il mantenimento di attività sociali o economiche fondamentali;
• soggetti la cui fornitura di servizi, se perturbata, potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità e salute pubblica, oppure potrebbe avere impatti transfrontalieri;
• soggetti definiti “critici” ai sensi della Direttiva (UE) 2022/2557 (Direttiva CER).

Rimangono esclusi, invece, gli enti della pubblica amministrazione o i soggetti esentati dagli Stati membri operanti dall’ambito di applicazione del Regolamento (UE) 2022/2554 (Regolamento DORA).

Data l'intensificazione e la crescente sofisticazione delle minacce informatiche, la Direttiva NIS 2 richiede agli Stati un maggiore investimento in materia di cybersecurity.

“Confrontando le organizzazioni dell’UE con le loro controparti statunitensi, i dati mostrano che le organizzazioni dell’UE allocano in media il 41% in meno alla sicurezza informatica rispetto alle loro controparti statunitensi”.

European Parliamentary Research Service, The NIS2 Directive A high common level of cybersecurity in the EU, p.5.

Per questo motivo, NIS 2 auspica di poter accrescere la consapevolezza della necessità e dell’urgenza dell’adozione di misure di cybersecurity adeguate da parte delle società operanti nei settori critici all’interno dell’UE.

Anche se NIS 2 dovrà essere recepita dagli Stati membri entro il prossimo ottobre, i soggetti interessati dovrebbero iniziare ad allinearsi alla normativa, implementando almeno i seguenti punti:

Come accennato, nonostante non sia ancora scaduto il termine per il recepimento della Direttiva NIS 2 da parte degli Stati membri, è fortemente consigliato intraprendere un percorso di adeguamento anticipato da parte delle società interessate (e potenzialmente interessate), iniziando a pianificare un’attività di gap analysis per identificare le misure di cybersecurity da implementare, migliorare o mantenere.

Gli adempimenti e gli obblighi posti in capo alle entità che svolgono servizi essenziali o importanti non sono volti a intralciare l’operatività aziendale, ma sono anzi diretti a rimarcare l’importanza che l’impresa ha all’interno del tessuto sociale ed economico del Paese.

Per tale ragione, è sempre consigliabile procedere ordinatamente e per gradi verso la compliance normativa, facendosi assistere da specialisti del settore.

Il Team Advisory di Lutech è pronto per affiancare i Clienti nel processo di adeguamento.