La Direttiva NIS2 e gli obblighi di cybersicurezza per le aziende

Connessioni con i nuovi Regolamenti UE in ambito cybersecurity

Per rispondere al crescente numero di attacchi informatici e armonizzare a livello europeo le modalità di gestione delle attività legate alla Cybersecurity di alcuni settori critici e strategici, il Parlamento Europeo aveva emanato nel 2016 la Direttiva NIS – Network and Information Security, con lo scopo di innalzare le difese dei Paesi membri contro possibili attacchi informatici attraverso una serie di misure legislative che unificavano l’implementazione ed applicazione dei sistemi di sicurezza delle reti e dei sistemi informativi dei paesi UE.

La Direttiva NIS2, pubblicata sulla Gazzetta Ufficiale dell’UE a fine Dicembre 2022, abroga e sostituisce la precedente Direttiva NIS del 2016, nell’ottica di modernizzazione dell’attuale quadro europeo in tema di cybersecurity.

Per tali motivi, la Direttiva mira a rafforzare il livello globale di cybersicurezza all’interno degli Stati membri, per garantire l’adozione di misure tecniche ed organizzative adeguate contro i rischi cyber attraverso un aumento delle capacità di resilienza aziendale su tutto il processo di gestione di tali rischi, dalla prevenzione alla minimizzazione dell’impatto che tali incidenti possono causare.

Principali novità della Direttiva NIS2:

  • Impone agli Stati membri di adottare piani nazionali di cybersicurezza e di nominare o istituire autorità nazionali, autorità di gestione delle emergenze informatiche, punti di contatto unici e meccanismi di vigilanza e sanzione.
  • Richiede una rapida reazione agli incidenti più gravi e la collaborazione tra gli Stati membri.
  • Prevede la creazione di un team di risposta agli incidenti di sicurezza informatica (CSIRT) per assistere gli Stati membri e gli operatori economici.
  • Introduce il concetto di catena di approvvigionamento e i relativi requisiti di sicurezza.
  • Stabilisce che i soggetti interessati debbano registrarsi presso le autorità competenti locali entro il 17 gennaio 2025. ENISA (Agenzia dell'Unione europea per la cibersicurezza) avrà un ruolo di supporto e coordinamento in questo processo creando e mantenendo un registro.
  • Ridefinisce e amplia le categorie di soggetti a cui la Direttiva stessa si applica: soggetti essenziali (settori ad alta criticità) e soggetti importanti (altri settori critici). Tra i soggetti essenziali:
    • Energia, elettricità, petrolio, gas naturale, idrogeno
    • Trasporti (aerei, ferroviari, marittimi, stradali)

Chi sono i soggetti interessati?  

La NIS2 ha ampliato il campo di applicazione includendo un numero maggiore di settori critici e introducendo due categorie di soggetti: soggetti essenziali (settori ad alta criticità) e soggetti importanti (altri settori critici).

Tra i soggetti essenziali:

  • Energia, elettricità, petrolio, gas naturale, idrogeno
  • Trasporti (aerei, ferroviari, marittimi, stradali)
  • Banche e Infrastrutture del mercato finanziario
  • Salute e sanità inclusi ospedali e cliniche private
  • Approvvigionamento idrico (Acqua potabile inclusa supply chain di distribuzione e acque reflue)
  • Amministrazione pubblica
  • Industria spaziale
  • ICT Service Management (B to B)
  • Infrastrutture digitali (inclusi data center services providers, cloud computing services providers, electronic communication services, internet exchange point…)
  • Produzione di prodotti farmaceutici inclusi i vaccini

Questa categoria comprende tutte le società dei settori sopra citati con 250 o più dipendenti, un fatturato di oltre 50 milioni di euro (o un bilancio di 43 milioni di euro).

Tra i soggetti importanti:

  • Gestione dei rifiuti
  • Servizi postali e corrieri
  • Ricerca
  • Produzione, lavorazione, distribuzione alimenti
  • Industria chimica
  • Fabbricazione:
    • Medical devices & in vitro medical devices
    • Computer, prodotti elettronici ed ottici
    • Apparecchiature elettroniche
    • Macchinari ed attrezzature
    • Veicoli a motore e altri mezzi di trasporto
  • Digital Providers

Questa categoria di soggetti comprende le società con più di 50 e meno di 250 dipendenti, un fatturato di oltre 10 milioni di euro (o un bilancio di oltre 10 milioni di euro).

Inoltre, si è posta una particolare attenzione ai rischi che interessano la catena di fornitura, includendo un vero e proprio focus sulla compliance della supply chain, con un’attenzione specifica ai fornitori più critici.

La NIS 2 si applica anche alle aziende con meno di 50 dipendenti se forniscono un servizio essenziale in uno Stato membro, se il loro servizio è cruciale per la sicurezza pubblica, la sicurezza o la salute o se fanno parte della catena di fornitura di un’azienda essenziale o importante. Inoltre, le pubbliche amministrazioni e alcuni servizi digitali sono soggetti alla NIS 2 indipendentemente dalle loro dimensioni.

Cosa succede in Italia?   

Anche il Governo italiano ha provveduto al recepimento della Direttiva a livello nazionale e  le organizzazioni potranno dimostrare la loro conformità a partire dal 18 ottobre 2024.

Il recepimento della NIS 2 nell’ordinamento italiano si è concretizzato in data 7 agosto 2024 con l’approvazione da parte del Consiglio dei Ministri del Decreto legislativo che recepisce la direttiva UE NIS 2022/2555. Il provvedimento obbliga le organizzazioni aziendali che rientrano nel perimetro, a procedere secondo un approccio multi-rischio, a notificare gli incidenti significativi alle autorità di cibersicurezza, a osservare le prescrizioni impartite da queste ultime anche a riguardo della dotazione di specifici prodotti, servizi e processi TIC. Il Decreto rientra nella Strategia Nazionale di Cybersicurezza.

L’ACN realizzerà una piattaforma sulla quale le società che ritengono di essere coinvolte dalle regole della NIS 2 dovranno registrarsi e, entro 90 giorni dalla comunicazione, l’Agenzia rilascerà una sorta di conformità circa la qualificazione di “soggetto essenziale” o di “soggetto importante”, quindi stabilirà le categorie di rilevanza nonché il processo, le modalità e i criteri per l’elencazione, la caratterizzazione e la categorizzazione delle attività e dei servizi da registrare. La lista dei “soggetti” che rientrano nell’ambito NIS2 sarà operativa dal 17 di Aprile 2025.

È importante anche sottolineare l’importanza della formazione stabilita dalla Direttiva, che riguarda tutto il personale fino ai più alti livelli dirigenziali.

Con l'entrata in vigore della NIS2 e la definizione degli operatori interessati, verranno eseguiti controlli casuali per verificarne la conformità. In caso di non conformità, le aziende coinvolte potranno essere sanzionate.

La nuova direttiva è stata allineata con altre normative europee settoriali specifiche come la Direttiva sulla resilienza operativa digitale per il settore finanziario (DORA), cioè il Regolamento approvato in data 10/11/2022 avente lo scopo  di incrementare le misure di sicurezza a favore della resilienza e della sicurezza informatica del settore finanziario attraverso l’attuazione di una serie di misure di sicurezza obbligatorie, volte a garantire l’integrità delle informazioni e la cybersicurezza dei servizi, e la Direttiva sulla resilienza delle entità critiche (CER), volta a  garantire chiarezza giuridica e coerenza tra le diverse direttive.