NIS 2: la nuova normativa europea sulla sicurezza informatica
La Direttiva Ue 2022/2555 del 14 dicembre 2022 sulla sicurezza delle reti e delle informazioni (Direttiva NIS 2) è entrata in vigore il 17 gennaio 2023 e sostituirà, con effetto dal 18 ottobre 2024, la precedente Direttiva NIS 1, che era stata introdotta nel 2016 ed ebbe efficacia dal 2018.
Dal 2016 a oggi il panorama delle minacce informatiche è mutato in modo rilevante e la NIS 2 ha lo scopo sia di rafforzare la resilienza e la sicurezza di reti e sistemi informatici pubblici e privati, sia di scongiurare le difformità di recepimento a livello nazionale che avevano impedito alla direttiva NIS 1 di ottenere i risultati sperati.
Sotto il profilo dei soggetti destinatari, la Direttiva NIS 2 introduce le categorie di “soggetti essenziali” e “soggetti importanti”, che si riferiscono essenzialmente ai settori di attività: energia, trasporti, banche, infrastrutture finanziarie e digitali. Ma la nuova disciplina interessa anche i fornitori di servizi digitali nei settori dell’e-commerce, dei motori di ricerca, del cloud computing, della gestione dei servizi ICT, della pubblica amministrazione e dello spazio. Spetterà agli Stati membri definire, entro il 17 aprile 2025, l’elenco dettagliato dei soggetti essenziali e importanti, la cui composizione dovrà essere aggiornata almeno ogni due anni, al fine di garantire uniformità di applicazione della normativa.
Tra le novità più significative si segnalano gli obblighi di governance, i doveri di segnalazione, la sicurezza della catena di approvvigionamento, la divulgazione delle vulnerabilità dei sistemi e le certificazioni obbligatorie di cybersecurity.
L’art. 20 della Direttiva si concentra sulla governance, affidando agli organi di gestione dell’azienda, e non più solo alla funzione sistemi informativi, la responsabilità diretta delle misure di cyber-security: in altri termini, la sicurezza informatica esce dal ristretto ambito dell’ufficio I.T. per entrare nella sala del consiglio di amministrazione.
L’articolo 21 della NIS 2, poi, elenca le misure di gestione dei rischi di cyber-sicurezza, che comprendono azioni tecniche, operative e organizzative i cui caratteri comuni sono l’adeguatezza e la proporzionalità nella gestione dei rischi che minacciano la sicurezza dei sistemi e delle reti informatiche (si va dai sistemi di continuità operativa alle soluzioni di autenticazione a più fattori, passando per le pratiche di igiene informatica di base). In tal modo, la Direttiva impone l’adozione di un approccio “multirischio”, volto a garantire che i soggetti essenziali e importanti siano preparati a fronteggiare un panorama di minacce in continua evoluzione, proteggendo le infrastrutture critiche e i servizi essenziali dell’UE.
A differenza di quanto precedentemente previsto dalla NIS 1 – che all’articolo 21 delegava completamente ai singoli Stati membri la definizione delle sanzioni in caso di violazione delle disposizioni della direttiva, richiamando solamente e semplicemente il principio di proporzionalità e di finalità dissuasiva delle stesse – all’articolo 34 della NIS 2 il legislatore europeo ha già previsto un sistema sanzionatorio specifico sia per i soggetti essenziali sia per i soggetti importanti.
La Direttiva NIS 2 segna un punto di svolta significativo nella governo della cybersicurezza nell’Unione Europea, sottolineando il ruolo cruciale sia degli Stati Membri sia dei soggetti essenziali e importanti nella costruzione di un ecosistema digitale sicuro e capace di affrontare e superare le minacce informatiche o le situazioni di stress.
Avv.ti Alessandro Facchino ed Enzo Cardone