Direttiva NIS 2: la sicurezza delle infrastrutture critiche, tra normativa e buone prassi

L’entrata in vigore, lo scorso 17 gennaio 2023, della Direttiva NIS 2 (Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 sulla sicurezza delle reti e delle informazioni) segna un altro importante passo verso la piena definizione della strategia per la cyber sicurezza dell’Unione Europea, nella quale la Direttiva stessa si inserisce a pieno titolo partendo dal presupposto secondo il quale, ormai, i sistemi informatici e di rete usati per fornire servizi essenziali in settori chiave, occupano una pozione centrale nel percorso sempre più rapido di trasformazione digitale e di interconnessione della società (ricordiamo che NIS è, per l’appunto, l’acronimo di Network and Information Security).

Vero è, infatti, che i cyber attacchi alle infrastrutture critiche possono causare impatti economici e sociali di massa. Non esistono strategie migliori dei cyber attacchi per causare ansia e instabilità, soprattutto quando a essere presi di mira sono i sistemi e le reti che consentono le nostre attività quotidiane. I cyber attacchi perpetrati contro le infrastrutture critiche, quindi, sono diventati un’altra potentissima arma di interruzione di massa^[1].

Tutto questo, insieme alla sempre più stringente necessità di gestire in sicurezza e in piena conformità normativa gli scambi transfrontalieri di dati di fronte a un’espansione delle minacce informatiche, ha spinto il legislatore europeo a trovare nuove e più adeguate risposte coordinate e innovative, da parte di tutti gli Stati membri, per garantire la continuità dei servizi digitali in caso di incidenti di sicurezza.

Ecco, dunque, che la Direttiva NIS 2 nasce in seguito a una profonda revisione della precedente Direttiva NIS (la Direttiva UE 2016/1148 del 6 luglio 2016 attuata in Italia con D.lgs. n. 65 del 18 maggio 2018) che, sebbene abbia consentito di sviluppare le capacità di cyber sicurezza di tutta l’Unione, contribuendo al funzionamento efficace della sua economia e della società, ha rivelato alcune carenze intrinseche che di fatto hanno impedito di affrontare efficacemente le sfide attuali ed emergenti in materia di sicurezza informatica.

Strategia nazionale di cybersicurezza, ecco gli obiettivi da raggiungere entro il 2026 per la resilienza del Paese

Dove non ha funzionato la Direttiva NIS

In particolare, la Direttiva NIS (che, lo ricordiamo, individuava la sua base giuridica nell’articolo 114 del Trattato sul funzionamento dell’Unione europea, TFUE), aveva come obiettivo quello di instaurare e mettere in funzione un mercato interno per la cyber security mediante il rafforzamento di specifiche misure che consentissero il ravvicinamento delle normative nazionali.

Per fare ciò, la Direttiva NIS aveva imposto degli obblighi di cyber sicurezza ai soggetti che forniscono servizi o svolgono attività economicamente rilevanti.

Nella realtà dei fatti, però, si sono evidenziate notevoli divergenze nell’attuazione di questi obblighi da parte degli Stati membri con variazioni rilevanti in termini di tipo di obbligo, livello di dettaglio e metodo di vigilanza.

Una serie di disparità che, come è facile immaginare, hanno comportato costi aggiuntivi e difficoltà applicative per le entità che offrono beni e servizi transfrontalieri.

Inoltre, il riesame della Direttiva NIS ha evidenziato divergenze anche nelle modalità della sua stessa attuazione da parte degli Stati membri, ai quali è stata lasciata discrezionalità sulla delimitazione dell’ambito applicativo, oltre che sull’attuazione degli stessi obblighi in materia di sicurezza e segnalazione degli incidenti.

Divergenze che, evidentemente, potevano esporre gli stessi Stati membri rendendone alcuni anche più vulnerabili alle minacce informatiche, con potenziali ricadute sull’intera Unione.

Nelle intenzioni del legislatore europeo, dunque, la NIS 2 servirà proprio a eliminare queste divergenze creando un quadro normativo più uniforme e coordinato anche grazie a una maggiore cooperazione tra gli Stati e all’aggiornamento dell’elenco dei settori e delle attività soggetti agli obblighi in materia di cyber sicurezza.

Con la nuova Direttiva NIS 2 e con la conseguente abrogazione della NIS, infatti, tali obblighi vengono estesi a un maggior numero di settori e servizi ritenuti vitali per le principali attività sociali ed economiche del mercato interno, di fatto superando la precedente e obsoleta differenziazione tra operatori di servizi essenziali e fornitori di servizi essenziali.

Non va dimenticato, tuttavia, che, in attesa che la Direttiva NIS 2 venga recepita nelle legislazioni nazionali degli Stati membri dell’UE entro il prossimo 18 ottobre 2024, questi stessi operatori di servizi essenziali e digitali rimangono comunque soggetti all’attuale regime della Direttiva NIS.

E, intanto, i soggetti pubblici e privati interessati dal perimetro di applicazione della nuova direttiva dovranno preparare e allineare la loro organizzazione e i loro processi ai nuovi obblighi di sicurezza.

Dunque, durante questo periodo intermedio, l’introduzione della NIS 2 non farà altro che accrescere la consapevolezza della normativa sulla cyber sicurezza.

Dove, quando e a chi si applica la Direttiva NIS 2

La Direttiva NIS 2, dunque, pur prendendo forma e sostanza dalla Direttiva NIS ed ereditandone gran parte degli obiettivi, supera innanzitutto la categorizzazione dei soggetti interessati in “operatori di servizi essenziali” e “fornitori di servizi essenziali” introducendo alcuni criteri uniformi per una più semplice e coerente identificazione degli operatori pubblici e privati che verranno inclusi nelle due nuove categorie di “soggetti essenziali” e di “soggetti importanti”.

In particolare, oltre che agli operatori privati dei settori ritenuti “essenziali” dall’Unione europea, ovvero quelli dell’energia, dei trasporti, delle banche, delle infrastrutture dei mercati finanziari, dell’acqua potabile, della sanità e delle infrastrutture digitali (che comunque rimarranno soggetti alla Direttiva NIS fino alla sua abrogazione), la NIS 2 si applicherà anche ai fornitori di servizi digitali che operano nei seguenti settori, anch’essi ormai essenziali:

1. e-commerce;
2. motori di ricerca;
3. cloud computing;
4. gestione dei servizi ICT, della pubblica amministrazione e dello spazio.

Inoltre, con la Direttiva NIS 2 il legislatore europeo ha elencato anche “altri settori critici” includendovi i seguenti:

1. i servizi postali e di corriere;
2. la gestione dei rifiuti;
3. la fabbricazione, la produzione e la distribuzione di sostanze chimiche;
4. la produzione, la trasformazione e la distribuzione di alimenti;
5. la fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro;
6. la fabbricazione di computer e prodotti di elettronica e ottica;
7. la fabbricazione di apparecchiature elettriche;
8. la fabbricazione di macchinari e apparecchiature n.c.a.;
9. la fabbricazione di autoveicoli, rimorchi e semirimorchi;
10. la fabbricazione di altri specifici mezzi di trasporto;
11. i fornitori di servizi digitali;
12. le organizzazioni di ricerca.

Per la corretta categorizzazione di tutti questi operatori, con l’intento già anticipato di superare le incertezze e disomogeneità della precedente Direttiva NIS, viene adottato il criterio della dimensione del soggetto da ritenere come essenziale o importante. La NIS 2, infatti, si applicherà a tutti quei soggetti pubblici o privati compresi nelle tipologie “alta criticità” o “altri settori critici” che:

1. prestano i loro servizi o svolgano le loro attività all’interno dell’Unione;
2. sono considerati medie imprese ai sensi all’articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE, o che superino i massimali per le medie imprese di cui al paragrafo 1 del medesimo articolo.

In ogni caso, il criterio della dimensione del soggetto da ritenere come essenziale o importante non sarà l’unico applicato in attuazione della NIS 2: la Direttiva, infatti, si applicherà anche ad altre tipologie di soggetti quali i fornitori di reti di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico, quelli che forniscono servizi di registrazione dei nomi di dominio e anche alcuni enti della pubblica amministrazione. Infine, rientreranno nel perimetro di applicazione della direttiva anche i soggetti definiti “critici” dalla Direttiva (UE) 2022/2557, meglio nota come Direttiva CER, pubblicata anch’essa insieme alla NIS 2.

Spetterà comunque agli Stati membri definire, entro e non oltre il 17 aprile 2025, un elenco dei soggetti essenziali e importanti che saranno chiamati a fornire le necessarie informazioni. Tale elenco dovrà poi essere riesaminato e aggiornato almeno ogni due anni, proprio a garanzia di una più corretta uniformità nell’applicazione della Direttiva NIS 2.

Direttive NIS 2 e CER: così l’Europa metterà in sicurezza le sue infrastrutture critiche

La Direttiva NIS 2 nella strategia nazionale di cyber security

Anche in questo caso, nell’ottica di raggiungere la piena definizione della strategia per la cyber sicurezza dell’Unione Europea e tenendo conto delle esistenti differenze tra le strutture di governance nazionali, la Direttiva NIS 2 assegna agli Stati membri la facoltà di designare o istituire una o più autorità nazionali competenti, che siano responsabili della cyber sicurezza e che detengano un ruolo di supervisione.

Un passaggio che viene esplicitato all’articolo 7 della Direttiva NIS 2: “Ogni Stato membro adotta una strategia nazionale per la cibersicurezza che prevede gli obiettivi strategici e le risorse necessarie per conseguirli, nonché adeguate misure strategiche e normative al fine di raggiungere e mantenere un livello elevato di cibersicurezza”.

Inoltre, lo stesso articolo 7 alla lettera c, afferma che ogni strategia nazionale di cyber sicurezza deve comprendere “un quadro di governance che chiarisca i ruoli e le responsabilità dei pertinenti portatori di interessi a livello nazionale, a sostegno della cooperazione e del coordinamento a livello nazionale tra le autorità competenti, i punti di contatto unici e i CSIRT ai sensi della presente direttiva, nonché il coordinamento e la cooperazione tra tali organismi e le autorità competenti ai sensi degli atti giuridici settoriali dell’Unione”.

Questo perché l’obiettivo della Direttiva NIS 2, chiaramente basata su un approccio multirischio, è quello di imporre (articolo 21, punto 1) ai soggetti essenziali e importanti l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei loro sistemi informatici e delle reti utilizzati nelle loro attività o per la fornitura dei loro servizi, in modo da prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.

Misure di gestione del rischio che vengono chiaramente elencate dall’articolo 21, punto 2, e che comprendono:

1. politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
2. gestione degli incidenti;
3. continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
4. sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
5. sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
6. strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cyber sicurezza;
7. pratiche di igiene informatica di base e formazione in materia di cybersicurezza;
8. politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
9. sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
10. uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

Direttiva NIS 2 e armonizzazione normativa tra Stati UE

Importante osservare, inoltre, che la Direttiva NIS 2 interviene (articolo 16) anche per colmare le differenze di adozione dai Paesi membri in tema di reporting sugli incidenti e successive azioni di rafforzamento.

In questo senso, la nuova norma istituisce formalmente la rete europea di organizzazioni di collegamento per le crisi informatiche (CyCLONe, acronimo di Cyber Crisis Liaison Organisation Network) che supporterà la gestione coordinata degli incidenti di sicurezza informatica su larga scala.

Infine, è previsto anche un meccanismo volontario di apprendimento tra pari che consentirà di aumentare la fiducia reciproca e l’apprendimento dalle buone pratiche e dalle esperienze nell’Unione, così da consentire di raggiungere un elevato livello comune di cyber sicurezza.

Questo anche grazie all’allineamento della Direttiva NIS 2 con altre normative settoriali specifiche come quella sulla resilienza operativa digitale per il settore finanziario (DORA) e la Direttiva sulla resilienza delle entità critiche (CER), allineamento che garantirà maggiore chiarezza giuridica e coerenza tra le diverse direttive.

In particolare, la CER (Direttiva (UE) 2022/2557 sull’identificazione e designazione delle infrastrutture critiche europee) va di pari passo con la direttiva NIS2 accordando il concetto di sicurezza fisica con quello della sicurezza logica o cyber.

Infatti, mentre la Direttiva NIS2 si occupa specificamente della sicurezza cyber delle entità critiche e altamente critiche, la Direttiva CER si occupa della loro resilienza mirando a rafforzarne il livello di preparazione di fronte a una serie di minacce, tra cui quelle di stampo terroristico, quelle interne o di sabotaggio, oltre ai rischi naturali e alle emergenze sanitarie come la recente pandemia di Covid-19.

AAA cercasi cyber security per le infrastrutture critiche

Le sanzioni previste dalla Direttiva NIS 2

Per concludere, è importante osservare che la Direttiva NIS 2 pone particolare attenzione ai rischi della supply chain e alla compliance della catena di fornitura, soprattutto per quanto riguarda i fornitori più critici.

Compliance che il legislatore ha ritenuto importante non più solo come documentazione attestante l’effettiva aderenza alla Direttiva, ma ai fini di una efficacia ed effettiva implementazione delle misure di sicurezza.

E infatti, la NIS 2 concede maggiori poteri delle autorità competenti, in particolare per quanto riguarda il monitoraggio delle entità essenziali che saranno soggette a vigilanza ex ante ed ex post e potranno essere sanzionate fino a 10 milioni di euro, o 2% del fatturato (articolo 34, punto 4). Sanzioni che invece possono arrivare fino a 7 milioni di euro, o 1,4% del fatturato per i soggetti “importanti” (articolo 34, punto 5).

NOTE

1. Come riportato nel “Cyber Risk Indicators – Infrastrutture Critiche Italia”, le infrastrutture critiche, come la produzione e la distribuzione di energia, i trasporti, la sanità o anche la Pubblica Amministrazione, d’altronde, stanno diventando sempre più complesse e dipendenti da reti di dispositivi collegati. ↑