Comunitario e Internazionale

Il Parlamento europeo approva la Direttiva NIS2 - Nuove e più stringenti misure per la Cybersecurity nell'Unione

La Direttiva NIS2 disciplinerà le misure di gestione del rischio di sicurezza informatica e gli obblighi di segnalazione nei settori destinatari della direttiva, come il settore energetico, i trasporti, le telecomunicazioni, le infrastrutture digitali e l'ambito bancario e finanziario

immagine non disponibile

di Alessandro Candini*

Il 10 novembre scorso il Parlamento europeo ha approvato il testo della Direttiva NIS2, relativa all'adozione di misure volte a garantire un livello comune elevato di cybersecurity nell'Unione.

La Direttiva NIS2 disciplinerà le misure di gestione del rischio di sicurezza informatica e gli obblighi di segnalazione nei settori destinatari della direttiva, come il settore energetico, i trasporti, le telecomunicazioni, le infrastrutture digitali e l'ambito bancario e finanziario.

Non appena approvata dalla Commissione europea, la Direttiva NIS2 sostituirà la Direttiva 2016/1148 (c.d. NIS1), recepita in Italia dal d. lgs. n. 65/2018, che impone ai soggetti destinatari di adottare misure tecniche ed organizzative adeguate e proporzionate rispetto alla gestione dei rischi informatici, anche al fine di prevenire e minimizzare l'impatto degli incidenti di sicurezza.

La Direttiva NIS2 integra e potenzia le misure già adottate dalla precedente Direttiva NIS1, stabilendo, in particolare:

a) obblighi in capo agli Stati membri di adottare strategie nazionali in materia di cybersecurity e di designare o creare autorità nazionali competenti, anche per la gestione delle c risi informatiche (c.d. CSIRT);

b) l'adozione di misure in materia di gestione dei rischi di cybersecurity e obblighi di segnalazione per i destinatari della Direttiva stessa;

c) norme e obblighi in materia di condivisione delle informazioni sulla cybersecurity;

d) obblighi in materia di vigilanza ed esecuzione per gli Stati membri.

Sebbene gli Stati Membri debbano specificare ulteriormente gli obblighi di sicurezza imposti ai destinatari della direttiva, quest'ultima prevede un elenco di misure minime che i destinatari devono garantire, tra cui, a titolo esemplificativo: l'adozione di policy sull'analisi dei rischi e sulla sicurezza dei sistemi informativi; l'adozione di sistemi di gestione degli incidenti e di business continuity; la gestione delle crisi; misure di gestione della sicurezza della supply chain; l'adozione di misure di sicurezza nell'acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi; l'adozione di procedure per valutare l'efficacia delle misure di gestione del rischio di cybersecurity; l'adozione di pratiche di igiene informatica di base; la formazione del personale in materia di sicurezza informatica; l'adozione di procedure relative all'uso della crittografia e di misure sulla sicurezza delle risorse umane; l'uso di soluzioni di autenticazione a più fattori o di autenticazione continua.

La Direttiva NIS2 amplia, inoltre, l'ambito di applicazione dei settori e dei soggetti coinvolti. Tra i settori coinvolti, sono destinatari delle nuove norme le imprese che erogano servizi digitali, come ad esempio erogatori di servizi di cloud computing, data centre, servizi di comunicazione elettronica e di reti di comunicazione elettronica; società farmaceutiche, produttori di dispositivi medici ed healthcare provider, servizi di produzione, trasformazione e distribuzione di cibo, ivi comprese le imprese della grande distribuzione.

I destinatari della Direttiva sono individuati nelle medie imprese, nonché quelle imprese, anche più piccole, senza limiti dimensionali, qualificate come "soggetti critici" o che sono espressamente richiamate dalla Direttiva come, ad esempio, i fornitori di servizi di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico; di servizi di fiducia o di servizi di sistema dei nomi di dominio.

Inoltre, in caso di incidenti informatici che abbiano un impatto sulla continuità e sulla fornitura del servizio, la Direttiva NIS2 prevede l'obbligo di notificare l'incidente a un "Team di risposta agli incidenti di sicurezza informatica" che dovrà essere appositamente istituito (c.d. CSIRT), nonché alle autorità competenti e in taluni casi ai destinatari del servizio, qualsiasi incidente che possa impattare in modo significativo sulla fornitura del servizio, senza ritardo.

Infine, la Direttiva NIS 2 istituisce la rete europea dell'organizzazione di collegamento per le crisi informatiche, cosiddetta Eu–CyClone, che sosterrà la gestione coordinata degli incidenti di sicurezza informatica su larga scala.

Come dichiarato dalla Vice Presidente della Commissione europea, Margrethe Vestager, dopo l'approvazione della Direttiva il 10 novembre scorso, l'attuazione della direttiva Nis2 richiederà tempo – il recepimento da parte dei singoli Stati dovrà avvenire nel termine di 21 mesi dall'entrata in vigore della Direttiva stessa - tanto che la Commissione ha chiesto agli Stati membri di applicare già volontariamente i nuovi livelli di sicurezza previsti dalla direttiva.

In un periodo storico estremamente delicato che vede i più importanti Paesi del mondo impegnati in una guerra non solo militare, ma anche digitale, la Direttiva NIS2 si accompagna ad altre importanti iniziative europee relative alla sicurezza digitale, e in particolare al Digital Operational Resilience Act (c.d. DORA), Regolamento sulla resilienza operativa digitale e sulla gestione del rischio informatico per il settore finanziario e al Cyber Resilience Act, una proposta di regolamento relativa alla sicurezza informatica dei prodotti digitali connessi in rete (c.d. Internet of Things).

* Di Alessandro Candini, DigitalMediaLaws


Per saperne di piùRiproduzione riservata ©