Rischio cyber e segnalazione incidenti: pubblicati gli orientamenti della Commissione europea sulla direttiva NIS 2

In data 13 settembre 2023 la Commissione Europea (di seguito, anche “la Commissione”) ha pubblicato i propri orientamenti sull’applicazione dell’articolo 4, paragrafi 1 e 2, della Direttiva (UE) 2022/2555 del Parlamento Europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di cybersicurezza nell’Unione (c.d. Direttiva NIS 2 , di seguito anche la “Direttiva”).

Nel rispetto di quanto previsto dall’articolo 4, paragrafo 3 della Direttiva, gli orientamenti della Commissione Europea chiariscono l’applicazione congiunta della Direttiva e degli attuali, nonché futuri, atti giuridici settoriali dell’Unione Europea in riferimento alle misure di gestione dei rischi di cybersecurity e agli obblighi di segnalazione degli incidenti informatici.

Ripercorriamoli insieme.

Partiamo dal principio.

Secondo quanto previsto dall’articolo 4, paragrafo 3 della Direttiva NIS 2, la Commissione Europea - entro il 17 luglio 2023 - avrebbe dovuto pubblicare gli orientamenti relativi al rapporto intercorrente tra gli obblighi di gestione del rischio cyber e segnalazione degli incidenti di cui alla Direttiva NIS 2 e i medesimi obblighi individuati dalle normative di settore.

Sebbene con qualche settimana di ritardo, i citati orientamenti sono infine giunti.
Essi ripercorrono nel dettaglio gli obblighi definiti dalla Commissione in termini di gestione di tutti quelli che sono i rischi posti alla sicurezza dei sistemi informatici e di rete che i soggetti essenziali e importanti - tali sono le organizzazioni interessate dall’applicazione della Direttiva - utilizzano nelle loro attività o nella fornitura dei loro servizi. Non solo, perché gli orientamenti di specie consentono anche di comprendere meglio gli obblighi di segnalazione previsti in caso di incidenti cyber “ significativi ”, ossia di incidenti in grado - secondo quanto previsto dall’articolo 21, comma 3, lett. a) e b) - di:
• causare, o essere in grado di causare, una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
• ripercuotersi, o essere in grado di ripercuotersi, su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

Ma quand’è che un atto giuridico settoriale europeo può essere effettivamente considerato equivalente al contenuto della Direttiva sotto l’aspetto degli adempimenti connessi alla gestione del rischio cyber e alla segnalazione degli incidenti?

Secondo quanto afferma la Commissione, tale scenario si realizza laddove “gli effetti di tali obblighi (di gestione del rischio cyber e di segnalazione degli incidenti) siano almeno equivalenti a quelli degli obblighi di cui alla direttiva ”. E se ciò è effettivamente accertato, allora, ai soggetti su cui gravano gli obblighi di gestione del rischio e segnalazione degli incidenti previsti dall’atto settoriale, non si applicheranno le corrispondenti disposizioni della Direttiva.

In sintesi, occorre che l’atto giuridico settoriale - quale è ad esempio il Regolamento (UE) 2022/2554 (di seguito, anche “ Regolamento DORA ”) - preveda adempimenti quantomeno dello stesso tenore di quelli previsti dalla Direttiva, se non superiori e maggiormente granulari nel merito.

Vediamo insieme in quali termini la Commissione sviluppa il concetto di “equivalenza” rispetto agli oneri legati alla gestione del rischio cyber e alla segnalazione degli incidenti per i soggetti essenziali o importanti.

Ai sensi di quanto previsto dall’articolo 21, paragrafo 1, primo comma della Direttiva, “gli Stati membri provvedono affinché i soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi”.

Tale obbligo abbraccia tutte le operazioni e tutti i servizi erogati dall’organizzazione interessata, qualificata a seconda dei casi come soggetto essenziale o importante, e non solo le risorse informatiche specifiche o i servizi di natura critica forniti. Tale passaggio è molto importante in quanto proietta gli obblighi di compliance ben al di là di una dimensione reattiva, stabilendo un margine di responsabilità anche in merito ai potenziali impatti negativi causati verso i destinatari dei servizi erogati.

Peraltro, è proprio l’ampio concetto di “ sicurezza dei sistemi informativi e di rete ” che rappresenta il discrimine alla base del principio di equivalenza: è infatti tale il perimetro che deve essere disciplinato dagli obblighi di sicurezza in tema di gestione del rischio posti dall’atto giuridico settoriale di volta in volta considerato, in quanto la Commissione stabilisce che quest’ultimo - per essere ritenuto almeno equivalente alla Direttiva - deve essere in grado di prevedere l’obbligo di adottare le misure tecniche e organizzative adeguate a mitigare il rischio cyber calcolato. In tal modo, i sistemi informativi e di rete possono infatti avere la capacità di resistere a fenomeni - quali incidenti o attacchi informatici - in grado di compromettere la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati conservati o dei servizi offerti o resi accessibili al pubblico.

A onore di cronaca, bisogna sottolineare che nell’espressione “sistemi informativi e di rete” rientrano anche gli hardware, i firmware e i software utilizzati nello svolgimento dell’attività perseguita da un soggetto essenziale o importante, che dovrebbero pertanto essere considerati nel perimetro degli obblighi previsti dall’atto settoriale giuridico, affinché questi sia qualificato quale atto equivalente alla Direttiva.

Tale circostanza apre peraltro le porte al concetto di “ approccio multirischio ”, che impone all’organizzazione interessata di valutare le minacce alla sicurezza dei sistemi informativi e di rete tenuto conto del fatto che le stesse possano avere provenienza e natura differente. Infatti, qualsiasi tipo di evento negativo può potenzialmente tradursi in una minaccia alla sicurezza di un sistema informativo e di rete, e tale circostanza deve essere tenuta in conto nell’adozione delle misure necessarie. Per questo motivo, le misure idonee a garantire una corretta gestione del rischio promosse da un atto giuridico settoriale, dovrebbero anche comprendere soluzioni di Business Continuity e Disaster Recovery .

Tali sono infatti gli istituti che comprendono presidi in grado di proteggere sia gli ambienti logici che quelli fisici, garantendo in tal senso una protezione anche relativamente ad eventi quali: sabotaggi, furti, incendi, inondazioni, problemi di telecomunicazione o interruzione di corrente, accessi fisici non autorizzati, guasti del sistema, errori umani, azioni malevole o fenomeni naturali.

Non solo quindi la sicurezza a livello informatico, ma quella fisica è un elemento da tenere in considerazione per qualificare gli obblighi di gestione del rischio cyber espressi da un atto giuridico settoriale come equivalenti a quelli posti dalla Direttiva.

_____

CONTINUA SU Compliance - Il Mensile, 18 ottobre 2023, n. 8, p. 7

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più