NIS2: continua il consolidamento della cyber security nell’Unione Europea
Lo scorso 27 dicembre, è stata pubblicata in Gazzetta Ufficiale Europea la direttiva 2022/2555 (la cd NIS2) che di fatto andrà ad abrogare la precedente direttiva 2016/1148, la cd NIS. Gli Stati avranno tempo fino ad ottobre 2024 per adeguarsi agli obblighi in essa contenuti.
Background
L’entrata in vigore della direttiva NIS ha avuto un impulso positivo, ha prodotto progressi significativi nella cooperazione in materia di cyber resilienza all’interno dell’Unione. Ciò nonostante ha fatto emergere carenze e grosse divergenze tra gli Stati membri poiché gli obblighi in essa contenuti sono stati attuati in modi diversi. Le diverse attuazioni oltre a comportare una frammentazione del mercato interno possono portare a una maggiore vulnerabilità degli Stati membri di fronte alle minacce informatiche, con potenziali ricadute su tutta l’Unione.
Importanti novità
La nuova direttiva introduce importanti novità, elimina la precedente distinzione tra operatori di servizi essenziali” e “fornitori di servizi digitali” introducendo la distinzione tra “soggetti essenziali” e “soggetti importanti” e l’applicazione del criterio relativo alle dimensioni aziendali (Size-cap). Quest’ultimo individua medie e grandi imprese, in funzione della loro importanza per il settore o il tipo di servizi che forniscono, nonché quindi delle loro dimensioni. Questa distinzione quindi, fornirà una copertura completa dei settori e dei servizi di vitale importanza per le principali attività sociali ed economiche nel mercato interno.
Nel dettaglio i soggetti essenziali sono soggetti pubblici e privati dei settori energia, trasporti, attività bancarie, acqua potabile e acque reflue, infrastrutture digitali, pubblica amministrazione e spazio.
Nei soggetti da classificare come importanti rientrano i soggetti pubblici e privato dei settori: postali e corrieri, gestione rifiuti, distribuzione alimentare, chimico, elettronico, ottico, automotive, manifatturiero, servizi digitali e ricerca.
Gli Stati membri possono prevedere che la direttiva si applichi anche a enti della pubblica amministrazione a livello locale e a enti di istruzione che svolgono attività di ricerca critiche.
Per facilitare la compilazione e l’aggiornamento dell’elenco dei soggetti essenziali e importanti, nonché dei soggetti che forniscono servizi di registrazione dei nomi di dominio, gli Stati membri dovranno istituire meccanismi nazionali che consentano ai soggetti di registrarsi e saranno tenuti a comunicare alla Commissione almeno il numero di soggetti essenziali e importanti e la tipologia dei servizi che forniscono.
Le modalità di segnalazione degli incidenti
Oltre alla distinzione sopra riportata un’importante novità prevista riguarda la segnalazione degli incidenti, la precedente direttiva infatti, conferiva potere discrezionale sugli obblighi in materia di sicurezza e segnalazione degli incidenti, quest’ultima doveva avvenire “senza indebito ritardo”, la nuova direttiva prevede invece un processo di segnalazione più tempestivo che comprende:
- Un Early warning entro 24 ore dalla conoscenza dell’incidente;
- Un aggiornamento entro le 72 ore dalla conoscenza dell’incidente
- Una relazione finale entro un mese che completa il processo di segnalazione e comprenda: una descrizione dettagliata dell’incidente (comprensiva di gravità e impatto), la causa e/o la tipologia di minaccia, le remediation adottate e l’impatto.
Policy e procedure da attuare
I soggetti essenziali ed importanti sono chiamati a implementare una serie di misure quali una politica di Incident Response, un processo di risk assessment, un piano di business continuity, pratiche di cyber hygiene e formazione in materia di cybersecurity, uso di crittografica e uso di soluzioni di autenticazione a più fattori e monitoraggio della supply chain.
Gli Stati membri possono cooperare con Paesi terzi per intraprendere scambi di informazioni relative a minacce informatiche, incidenti, vulnerabilità, strumenti e metodi, tattiche, tecniche e procedure, preparazione ed esercitazioni in materia di gestione delle crisi informatiche, formazioni, instaurazione di un clima di fiducia e accordi strutturati di condivisione delle informazioni.
Le sanzioni previste
Dal punto di vista sanzionatorio, la Direttiva conferisce agli Stati membri il potere di stabilire norme sulle sanzioni, ma queste ultime dovranno essere “effettive, proporzionate e dissuasive” e, a seconda dell’entità “essenziale” o “importante” le sanzioni pecuniarie potranno arrivare a un 10 000 000 di Euro o a un massimo di almeno il 2 % del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto “essenziale” appartiene, e 7 000 000 di Euro o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto “importante” appartiene.