NIS2, la direttiva europea che rafforza la cyber security: attenzione su risposta agli incidenti, sicurezza della catena di approvvigionamento, crittografia, divulgazione delle vulnerabilità software e certificazioni dei prodotti per la cybersecurity.
In origine fu la NIS1: la Direttiva che plasmò il volto della cyber security europea
Approvata nel 2016, la Direttiva Europea 1148/2016, detta Direttiva NIS, mirava a favorire la più ampia diffusione di una cultura nel campo della cyber security e di un conseguente accrescimento dei relativi livelli di sicurezza informatica, anche attraverso un maggiore scambio di informazioni. Con questo provvedimento, per la prima volta, il Parlamento Europeo ha affrontato a livello europeo il tema della cyber security, definendo le misure necessarie a indicare il livello di sicurezza delle reti e dei sistemi informativi e, inoltre, le modalità di notifica degli incidenti subiti.
Per approfondire > LA DIRETTIVA NIS – Network and Information Security (N.B.: la Direttiva NIS1 è stata abrogata con l’entrata in vigore della Direttiva NIS2 – vedi sotto).
NIS2: perché una nuova Direttiva?
Il Parlamento Europeo ha approvato la direttiva NIS2 (Network and Information System Security) il 10 Novembre 2021, introducendo obblighi nuovi e più stringenti e ampliando il suo ambito di applicazione. Il fine ultimo è quello di incrementare ulteriormente il livello di sicurezza cibernetica delle entità che saranno soggette alle sue disposizioni.
La nuova Direttiva europea NIS2 si è resa necessaria per porre rimedio ai limiti della NIS 1. Limiti apparsi sin dalla sua introduzione, a causa di un generalizzato aumento del tasso di digitalizzazione in tutti i Paesi membri, dovuto probabilmente anche alla pandemia Covid19, che ha ampliato la cosiddetta superficie di attacco informatico (basti considerare la forza lavoro in smart working e in telelavoro). Ciò ha portato ad un maggior rischio che eventuali attacchi andassero a buon fine e per questo il livello di protezione dei sistemi doveva essere innalzato.
Non solo: per quanto la NIS1 abbia fatto fare grandi passi avanti, in fatto di cyber-resilienza, la sua applicazione è stata piuttosto disomogenea, anche perché era previsto un ampio grado di discrezionalità agli Stati Membri. Inoltre, si è verificata un’insufficiente comprensione comune delle principali minacce tra gli Stati Membri. Una riarmonizzazione era quindi necessaria.
NIS 2: quali novità?
Il testo della Direttiva NIS2 è molto complesso, rendiamo in breve i punti più salienti. Ecco le novità:
- gli organi e le attività di supervisione comunitari sono potenziati: l’obiettivo è migliorare la collaborazione nella risposta ai cyber incidenti, mettendo in condivisione know how ed esperienze;
- rafforza e semplifica gli obblighi di sicurezza e rende le procedure sul processo di segnalazione degli incidenti informatici più precise;
- i concetti di “gestione del rischio” e “valutazione delle vulnerabilità” sono stati estesi. Il legislatore europeo non ha potuto non prendere in considerazione i casi di attacchi supply chain ed ha deciso di estendere questi concetti a tutta la supply chain prevedendo il coinvolgimento di tutti o della maggior parte degli stakeholder coinvolti;
- sono stati rideterminati e sono stati ampliati gli ambiti di applicazione della normativa in tema di protezione e sicurezza dei dati.
A chi si applica la NIS2: superamento della categorizzazione precedente
La NIS2 supera la categorizzazione precedente di “operatori di servizi essenziali” e “fornitori di servizi essenziali”. Al loro posto, introduce alcuni criteri uniformi per identificare le due nuove categorie di soggetti ossia:
- soggetti “essenziali”:
in questa categoria rientrano adesso, a differenza della precedente normativa, anche le Pubbliche Amministrazioni, oltre che operatori del settore energetico, sanitario, spaziale, bancario, dei trasporti, delle infrastrutture digitali, delle acque. - soggetti “importanti”:
rientrano in questa categoria gli operatori di servizi postali e di corriere, di gestione dei rifiuti, del settore chimico, del settore agroalimentare ecc…
La Direttiva NIS2 si applica ai settori essenziali dell’energia, dei trasporti, delle banche, delle infrastrutture finanziarie, dell’acqua, della sanità e delle infrastrutture digitali. Include anche fornitori di servizi digitali nei settori dell’e-commerce, motori di ricerca, cloud computing, gestione dei servizi ICT, della pubblica amministrazione e dello spazio. La NIS2 comprende anche “altri settori critici” che includono servizi postali e di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro, fabbricazione di computer e prodotti di elettronica e ottica, fabbricazione di apparecchiature elettriche, fabbricazione di macchinari e apparecchiature n.c.a., fabbricazione di autoveicoli o mezzi di trasporto, fornitori di servizi digitali, organizzazioni di ricerca.
Il criterio della dimensione del soggetto per l’applicabilità della normativa
La Direttiva NIS2 introduce il concetto di “dimensione del soggetto” come criterio per determinare l’applicabilità della normativa. In base a questo criterio, la normativa si applica a tutti i soggetti, sia pubblici che privati, inclusi nelle tipologie denominate “ad alta criticità” o “altri settori critici” che:
- prestino i loro servizi o svolgano le loro attività all’interno dell’Unione;
- siano considerati medie imprese ai sensi all’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE, o che superino i massimali per le medie imprese.
Inoltre, al di là delle dimensioni, vengono comunque assoggettate alla Direttiva NIS2 anche ulteriori particolari tipologie di soggetti quali, ad esempio: fornitori di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico, coloro che forniscono servizi di registrazione dei nomi di dominio, alcuni enti della pubblica amministrazione, nonché i soggetti definiti cosiddetti “critici” dalla Direttiva (UE) 2022/2557.
Cosa comporta la NIS2 per gli Stati membri?
La norma prevede che ognuno di loro adotti una strategia nazionale di cyber security entro 21 mesi dall’entrata in vigore di NIS2 che preveda:
- adozione di strategie di cybersecurity nazionali, soprattutto in relazione ai settori critici ed altamente critici,
- una governance chiara che puntualizzi ruoli e responsabilità dei portatori di interesse a livello nazionale;
- una strategia di rafforzamento del coordinamento tra le autorità competenti nazionali e quelle competenti a norma della Direttiva europea;
- un piano di informazione, sensibilizzazione e misure pratiche per aumentare il livello generale di consapevolezza dei cittadini in fatto di cyber security.