La Direttiva NIS2 è alla base del nuovo impianto normativo che l'Unione europea ha creato e adottato in materia di cybersecurity: si tratta di misure giuridiche che hanno l'ambizione di rafforzare il livello generale di sicurezza informatica dei Paesi membri nei prossimi anni.
Pubblicata in Gazzetta Ufficiale il 27 dicembre 2022 ed entrata in vigore il 16 gennaio 2023, di fatto la Direttiva NIS2 sostituisce la precedente (che sarà abrogata il 18 ottobre 2024) con l'obiettivo specifico di affrontare un cambiamento radicale nel panorama delle minacce: la Direttiva NIS2 integra e aggiorna le norme introdotte nel 2016 con la prima NIS, non solo modernizzando il quadro giuridico nell'ottica di tenere il passo con l'esplosione dei processi di digitalizzazione e con gli scenari - in continua evoluzione - di cyber risk, ma anche estendendo l'ambito di applicazione del framework a nuovi settori e entità.
Il nuovo corpus, in particolare, mette l'accento su tre aspetti:
- la massimizzazione della resilienza delle organizzazioni pubbliche e private;
- la capacità di rispondere tempestivamente ad attacchi e incidenti informatici;
- il rafforzamento delle catene di fornitura, digitali e non.
Diventa così centrale il concetto di detection, che per aziende ed enti pubblici vuol dire sviluppare anche piani di business continuity da mettere in atto per mitigare i danni delle iniziative andate a segno.
Differenze Direttiva NIS2 e NIS: ambiti e soggetti coinvolti
Le principali novità introdotte dalla Direttiva NIS2 riguardano la nomenclatura delle società coinvolte dalla direttiva e l'allargamento dei settori inclusi nel campo di applicazione. In primo luogo, la distinzione tra Operatori di Servizi Essenziali e Fornitori di Servizi Digitali cede il posto a quella tra Entità Essenziali ed Entità Importanti:
- le aziende definite Entità Essenziali forniscono servizi considerati vitali per la società e l’economia nel suo complesso;
- le aziende indicate come Entità Importanti impattano direttamente sul tessuto economico e sociale pur non fornendo direttamente servizi essenziali.
Poi, i settori inclusi nella prima Direttiva NIS erano soltanto i seguenti:
- energia;
- trasporti;
- bancario e finanziario;
- sanitario;
- acqua potabile;
- infrastrutture digitali;
- fornitori servizi digitali.
Con la Direttiva NIS2, ai precedenti si aggiungono anche:
- manifatturiero;
- fornitori pubbliche comunicazioni;
- spazio;
- agroalimentare;
- servizi digitali;
- acque reflue e rifiuti;
- prodotti farmaceutici e chimici;
- poste e spedizioni;
Secondo la nuova logica di dimensionamento, sono chiamate a rispondere alla Direttiva NIS2 tutte le grandi imprese dei verticali identificati dal legislatore che rispettano almeno una di queste condizioni:
- oltre 250 dipendenti in organico;
- un fatturato annuo superiore a 50 milioni di euro;
- un totale di bilancio annuo superiore a 43 milioni di euro.
Rientrano nel raggio d'azione della Direttiva NIS2 anche le medie imprese. In questo caso i requisiti sono diversi:
- il numero di dipendenti deve essere compreso tra 50 e 250;
- il fatturato annuo e il totale di bilancio devono essere compresi tra 10 e 50 milioni di euro.
Direttiva NIS2: cosa cambia in caso di attacco andato a segno
In generale, lo scopo della Direttiva NIS2 è quello di preparare gli Stati membri dell'Unione agli scenari di cybersecurity peggiori, imponendo un equipaggiamento adeguato e la costruzione di skill ad hoc.
Ogni Paese, per esempio, deve istituire un team di risposta agli incidenti di sicurezza informatica (Computer Security Incident Response Team o CSIRT) e un'autorità nazionale competente in materia di reti e sistemi informativi. Entro 24 ore dalla scoperta, le Entità devono poi comunicare ai propri fornitori e alle autorità competenti (compreso il CSIRT) qualsiasi minaccia informatica che può provocare un incidente significativo.
In caso di eventi effettivamente accaduti, entro un mese le Entità devono produrre e inviare un report che renda chiaro:
- la descrizione dell'incidente, a livello di gravità e impatto;
- il tipo di minaccia o la causa principale legata all’incidente;
- le misure di mitigazione che sono state applicate e in corso.
Il CSIRT fornisce risposta e supporto entro 24 ore. Se la minaccia coinvolge più Stati membri, il CSIRT non solo deve informare gli Stati stessi e l’ENISA (Agenzia dell'Unione Europea per la cybersecurity), ma anche cooperare con un network appositamente costituito per le crisi informatiche, l'EU- CyCLONe, cui è affidata una serie di compiti:
- gestire in modo coordinato gli incidenti di cyber sicurezza in tutta l'UE;
- assicurare il regolare scambio di informazioni tra le parti;
- potenziare il flusso di informazioni interne cooperando con la rete dei CSIRT;
- misurare le capacità cyber dei singoli Stati membri basandosi sul National Cyber Power Index (NCPI);
- definire regole e procedure in caso di crisi su larga scala.
All’ENISA, in parallelo, competono poi delle attività chiave per favorire una maggiore consapevolezza cyber:
- redigere un report ogni due anni sullo stato della sicurezza nell’Unione Europea;
- mantenere il registro europeo di vulnerabilità, indicate dalle Entità Essenziali o Importanti;
- aggiornare il registro che riporta la dislocazione delle Entità nel territorio europeo;
- valutare, assieme alla Commissione EU, il livello di rischio per le supply chain del comparto ICT.
L'intero ecosistema così concepito mira a ottenere due risultati fondamentali:
- Una gestione coordinata di incidenti e crisi di cyber sicurezza a livello comunitario;
- La divulgazione coordinata di tutte le vulnerabilità scoperte in tutta l'UE.
Direttiva NIS2: cosa cambia per governance, risk management e supply chain
La Direttiva NIS2 affronta anche con ancora maggiore determinazione il tema resilienza informatica, agendo su tre direttrici: governance, risk management e supply chain. Sotto il profilo della governance, la Direttiva NIS2 richiede che gli organi di amministrazione delle Entità Essenziali e Importanti si attivino per:
- approvare le misure per la gestione dei rischi implementate dall'azienda;
- partecipare a corsi di formazione erogati con regolarità;
- offrire una preparazione simile ai propri dipendenti.
Per quanto riguarda il risk management, la Direttiva NIS2 impone l'obbligo di valutare i rischi e di adottare le necessarie misure tecniche e organizzative. Qui ricadono quei rischi legati alla supply chain: le organizzazioni devono garantirne la sicurezza - anche a livello di rapporto con i fornitori - tenendo conto delle vulnerabilità specifiche e della qualità generale dei prodotti e delle pratiche di sicurezza informatica.
Facendo convergere queste tre dimensioni su una strategia che fornisca una visione unificata, tutti i soggetti inclusi nel framework dovranno quindi considerare le vulnerabilità specifiche di ciascun partner, nonché la qualità generale dei prodotti e delle pratiche di sicurezza informatica dei fornitori. Non si parla solo dei provider di servizi e prodotti ICT: le linee guida della Direttiva NIS2 vanno attuate nei confronti di tutti i soggetti per i quali un problema di cybersecurity potrebbe causare un incidente o un'interruzione lungo la catena del valore.
