Comunitario e Internazionale

Direttiva Nis 2: Nuovi adempimenti Cyber in arrivo

La nuova normativa, che insieme al Digital Operational Resilience Act (di seguito, "Regolamento DORA") e alla Direttiva (UE) 2022/2557 (di seguito, "Direttiva CER") compone il nuovo cyber framework europeo, mira a realizzare due importanti obiettivi, ovvero

di *Nadia Martini e Tommaso Mauri

In data 27 Dicembre 2022 è approdato nella Gazzetta Ufficiale dell'Unione Europea la Direttiva (UE) 2022/2555 (di seguito, "Direttiva NIS2), che aggiorna e succede alla Direttiva (UE) 2016/1148 (di seguito, "Direttiva NIS1").

La nuova normativa, che insieme alDigital Operational Resilience Act(di seguito, "Regolamento DORA") e alla Direttiva (UE) 2022/2557 (di seguito, "Direttiva CER") compone il nuovo cyber framework europeo, mira a realizzare due importanti obiettivi, ovvero:

- l'aumento del livello di resilienza informatica degli attori, pubblici e privati, coinvolti nel proprio campo applicativo e

- il miglioramento del livello collettivo di consapevolezza delle minacce informatiche odierne, al fine di sviluppare una miglior capacità di prevenzione, gestione e risposta.A differenza di quanto previsto in passato, la Direttiva NIS2 introduce una serie di novità di non poco conto.

In primo luogo, viene eliminata la classificazione – introdotta dalla Direttiva NIS1 – tra "operatori di servizi essenziali" (i c.d. "OES") e "fornitori di servizi digitali"(i c.d. "DSP"). In secondo luogo, viene introdotta – quale criterio di individuazione dei soggetti destinatari degli obblighi previsti – la distinzione tra "soggetti essenziali" e "soggetti importanti", con contestuale applicazione della la regola del massimale dimensionale (c.d. " Size-cap ") come canone di accertamento della dimensione medio-grande delle imprese coinvolte.

I soggetti interessati dall'applicazione della disciplina sono indicati agli Allegati 1 e 2 della Direttiva; a tal proposito si menzionano – a titolo esemplificativo e non esaustivo – le aziende dell'energia, dei trasporti, del bancario, delle infrastrutture digitali e della salute – da una parte – e le aziende che operano nei contesti di produzione, fabbricazione e distribuzione di prodotti (alimentari, chimici, elettronici, fra gli altri), gestione dei rifiuti e servizi postali – dall'altra.

La novità che verosimilmente merita maggior attenzione consiste nell'approccio di rischio quale obbligo introdotto in capo le imprese interessate, le quali sono chiamate a implementare un adeguato processo di risk assessment per la gestione degli eventi cyber potenzialmente malevoli.

Tale obbligo, peraltro, richiede alle imprese di tenere conto anche delle misure di gestione del rischio implementate dai propri fornitori e, a livello di governance, di monitorare in maniera adeguata la propria supply chain , prevedendo verifiche costanti e puntuali sulle singole terze parti contrattualizzate.

A seguire, e a fronte dei risultati prodotti dall'attività di valutazione dei rischi, la Direttiva NIS2 indica una serie di misure tecniche e organizzative che le società "essenziali" e "importanti" sono chiamate ad applicare.

In particolare, si menzionano – a titolo esemplificativo e non esaustivo – l'adozione di politiche e processi di gestione del rischio connesso alla sicurezza dei sistemi informatici, lo svolgimento di attività di incident response , l'adozione di un piano di Business Continuity e gestione delle crisi, lo svolgimento di sessioni di formazione cyber , e, infine, la previsione test periodici sulla sicurezza dell'infrastruttura IT e l'efficacia delle misure adottate.

Tali misure devono essere approvate dagli organi direttivi delle imprese coinvolte, i quali sono chiamati altresì a partecipare a sessioni di formazione specifiche in materia di cybersecurity. Queste figure sovrintendono l'attuazione delle prescrizioni menzionate e sono responsabili in caso di violazione di tali obblighi.

La Direttiva NIS2 prevede anche nuovi stringenti obblighi di notifica in caso di incidente informatico. In tal senso, a differenza di quanto previsto dalla Direttiva NIS1, la nuova normativa impone alle società interessate di notificare al Computer Security Incident Response Team (di seguito, "CSIRT") – istituito presso l'Agenzia per la Cybersicurezza Nazionale (di seguito, "ACN") – tutti gli incidenti idonei a provocare impatti di natura "significativa".

A differenza del passato – dove la notifica doveva avvenire "senza indebito ritardo" (cfr. Direttiva NIS1) – la Direttiva NIS2 prevede un processo di segnalazione più circoscritto, completo e tempestivo. In tal senso, sono previsti:

• un preallarme entro il termine di 24 ore dalla conoscenza dell'incidente (invio del cd. "early warning");

• una notifica entro il termine di 72 ore dalla conoscenza dell'incidente, che aggiorni – se necessario – le informazioni del preallarme;

• una relazione finale entro un mese dalla trasmissione della notifica, a completamento del processo di segnalazione.

La Direttiva NIS2 prevede poi, a favore delle Autorità competenti, una serie di poteri di vigilanza di carattere pregnante. Si fa riferimento, ad esempio:

• allo svolgimento di audit sulla sicurezza (sia mirati che periodici);

• ad ispezioni in loco presso la sede delle aziende;

• a scansioni di sicurezza e richieste di accesso a dati e informazioni, ivi comprese le evidenze delle politiche di cybersecurity adottate).

Dal punto di vista sanzionatorio, la Direttiva NIS2 conferisce infine agli Stati membri la facoltà di stabilire norme sulle sanzioni nella loro legislazione nazionale di attuazione. Tali sanzioni devono essere "effettive, proporzionate e dissuasive" e possono arrivare sino a:

10 milioni di EUR o un massimo di almeno il 2% del totale del fatturato mondiale annuo di impresa o

7 milioni di EUR o un massimo di almeno l'1,4% del totale del fatturato mondiale annuo di impresa.

Quando accertata la violazione delle prescrizioni illustrate, la Direttiva NIS2 prevede altresì che le Autorità competenti abbiano la facoltà di sospendere l'attività aziendale dell'impresa.

In conclusione, tenuto conto della stretta correlazione tra la Direttiva NIS 2, il Regolamento DORA e la Direttiva CER, i soggetti pubblici e privati interessati dall'entrata in vigore di tale framework regolatorio sono chiamati a verificare, in primis, l'applicabilità della Direttiva NIS2, del Regolamento DORA e della Direttiva CER al proprio contesto operativo per poi, in caso di esito positivo, aggiornare i propri processi e le proprie procedure interne, sia da un punto di vista organizzativo che informatico, prevedendo in particolare l'adozione di un approccio di risk assessment che contempli:

• una fase di individuazione degli eventi cyber potenzialmente disastrosi;

•una fase di valutazione degli stessi eventi cyber per determinare il livello di rischio;

•una fase di predisposizione delle misure di prevenzione e protezione;

•una fase di implementazione delle misure di prevenzione e protezione individuate;

•una fase di monitoraggio periodico e revisione delle misure adottate.

È altresì consigliabile tenere monitorata, nel corso dei prossimi mesi, l'attività di produzione normativa del legislatore italiano, in particolare per quel che concerne il recepimento della Direttiva NIS2 e della Direttiva CER. Le novità normative saranno efficaci a partire dal 18 ottobre 2024, termine ultimo conferito agli Stati membri per recepire all'interno dei propri ordinamenti la Direttiva NIS2.

*Nadia Martini, Avvocato, Partner, Rödl & PartnerTommaso Mauri, Senior Professional, Rödl & Partner

Per saperne di piùRiproduzione riservata ©