Aggiornamento normativo per la sicurezza informatica nell’Unione Europea con la Direttiva NIS2

La Direttiva NIS2 (Direttiva (UE) 2022/2555), entrata in vigore il 17 gennaio 2023 e che abrogherà la precedente NIS1 a partire dal 18 ottobre 2024, rappresenta un significativo aggiornamento normativo per la sicurezza informatica nell’Unione Europea. L’obiettivo principale di NIS2 è affrontare le nuove minacce cibernetiche derivanti dalla crescente digitalizzazione e dalle evoluzioni del panorama della sicurezza, migliorando le lacune della precedente direttiva NIS1 (Direttiva (UE) 2016/1148). 

L’obiettivo della direttiva NIS 2 è quello di affrontare un panorama di minacce mutato radicalmente e ovviare alle problematiche che hanno impedito alla direttiva NIS 1 di ottenere i risultati sperati, nonostante abbia certamente consentito di compiere significativi progressi nell’aumentare il livello di cyber-resilienza all’interno dell’Unione. 

La Direttiva NIS2 introduce importanti cambiamenti rispetto alla Direttiva NIS1, ampliando la portata delle norme, rafforzando le misure di governance e introducendo nuove responsabilità. 

I principali aspetti di novità sono: 

Ampliamento del campo di applicazione: 

• La Direttiva NIS2 include un numero maggiore di settori e aziende nel suo perimetro, aumentando il numero dei destinatari, difatti a settori tradizionali come energia, trasporti e sanità, si aggiungono fornitori di servizi digitali, cloud computing, reti di telecomunicazioni e gestione dei rifiuti. 
• Questa espansione garantisce una copertura più completa delle infrastrutture critiche e digitali, necessaria in un contesto di minacce in rapida crescita. 

Obblighi di governance: 

• La Direttiva NIS2 introduce requisiti più stringenti per la governance della cybersecurity all’interno delle organizzazioni. I destinatari devono implementare misure specifiche di gestione del rischio e i dirigenti aziendali sono tenuti a garantire il rispetto di tali obblighi. 
• Le responsabilità dei consigli di amministrazione e dei dirigenti aumentano, poiché questi devono supervisionare attivamente le misure di sicurezza e rispondere in caso di non conformità. 

Segnalazione obbligatoria degli incidenti: 

• La Direttiva NIS2 rafforza le tempistiche e i requisiti per la segnalazione degli incidenti di sicurezza. Le organizzazioni devono notificare incidenti significativi entro 24 ore dalla scoperta, con un rapporto finale dettagliato entro 72 ore. 
• Questo sistema di reporting è pensato per ridurre i tempi di risposta e migliorare la capacità di mitigare rapidamente le minacce, incentivando la cooperazione tra le autorità e le imprese. 

Sicurezza della catena di approvvigionamento: 

• Uno dei punti cruciali della Direttiva NIS2 è l’obbligo di proteggere l’intera catena di fornitura. Le organizzazioni devono valutare i rischi derivanti dai fornitori e dai partner terzi, assicurando che anche loro rispettino standard di sicurezza adeguati. 
• Questa misura mira a ridurre le vulnerabilità sfruttabili dagli attaccanti, che spesso prendono di mira i fornitori come punti deboli per penetrare nelle infrastrutture principali. 

Divulgazione delle vulnerabilità: 

• La nuova direttiva obbliga le aziende a implementare politiche per la divulgazione coordinata delle vulnerabilità nei loro sistemi, in modo da promuovere la trasparenza e incentivare la collaborazione nella gestione delle falle di sicurezza. 
• Questo approccio proattivo è volto a migliorare la resilienza complessiva delle infrastrutture digitali. 

Certificazioni obbligatorie di cybersecurity: 

• In alcuni settori, la NIS2 introduce l’obbligo di adottare certificazioni di sicurezza informatica per garantire che le organizzazioni rispettino determinati standard e requisiti tecnici. Questo promuove l’adozione di pratiche di cybersecurity solide e misurabili. 

Un altro pilastro della Direttiva NIS2 è il miglioramento della cooperazione transfrontaliera tra gli Stati membri e tra le entità pubbliche e private. Questo viene realizzato attraverso: 

• Creazione del Cyber Crisis Liaison Organisation Network (CyCLONe): Questo organo ha il compito di migliorare la gestione delle crisi informatiche a livello europeo, facilitando la cooperazione tra gli Stati membri durante incidenti di grande portata. 
• Condivisione delle informazioni: La NIS2 promuove la creazione di reti di fiducia e la condivisione di informazioni sugli incidenti di sicurezza tra il settore pubblico e privato. Questo mira a ridurre i tempi di risposta e a mitigare meglio le minacce in tempo reale. Inoltre, si promuove una cooperazione a livello di CSIRT (Computer Security Incident Response Teams), ossia i team responsabili della gestione degli incidenti di sicurezza. 
• Potenziamento dell’ENISA (Agenzia dell’UE per la sicurezza informatica): L’ENISA avrà un ruolo centrale nel supportare gli Stati membri nella valutazione delle minacce, nella promozione di pratiche di sicurezza e nella collaborazione durante le crisi cibernetiche. 

La Direttiva introduce sanzioni più severe per chi non si conforma alle nuove regole: 

• Multe elevate: Le multe per la mancata conformità alla NIS2 possono raggiungere i 10 milioni di euro o il 2% del fatturato annuo globale dell’organizzazione, a seconda di quale sia l’importo maggiore. Questo rappresenta un incremento notevole rispetto alla Direttiva precedente, che prevedeva sanzioni meno incisive. 
• Responsabilità dei dirigenti: La NIS2 introduce anche la responsabilità diretta dei dirigenti aziendali per la mancata attuazione delle misure di sicurezza. Ciò significa che i membri del consiglio di amministrazione o della dirigenza possono essere ritenuti responsabili in caso di non conformità, un incentivo a investire di più in sicurezza informatica. 

Conclusioni 

La Direttiva NIS2 segna un’importante evoluzione nella regolamentazione della sicurezza informatica a livello europeo, rispondendo a una realtà sempre più digitalizzata e interconnessa. Le organizzazioni operanti nei settori essenziali e critici devono ora adottare un approccio proattivo alla sicurezza, con misure concrete di gestione del rischio e di risposta agli incidenti. 

A tale scopo è stata fondata l’Agenzia per la Cybersicurezza Nazionale (ACN), la quale realizzerà una piattaforma, attiva dal 18 ottobre 2024 (data di entrata in vigore della norma), sulla quale le entità che ritengono di essere coinvolte dalle regole della NIS 2 dovranno registrarsi, indicando un elenco delle proprie attività, dei propri servizi e di tutti gli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza. 

L’Agenzia, entro 90 giorni dalla comunicazione, rilascerà una sorta di conformità circa la qualificazione di “soggetto essenziale” o di “soggetto importante”, quindi stabilirà le categorie di rilevanza nonché il processo, le modalità e i criteri per l’elencazione, la caratterizzazione e la categorizzazione delle attività e dei servizi da registrare sulla piattaforma. 

Alla luce di tali adempimenti, la NIS 2 sarà operativa dal 17 aprile 2025, ovvero quando l’ACN avrà presumibilmente completato la lista dei soggetti che dovranno attenersi alla direttiva, recependo e armonizzando le proprie leggi nazionali entro il 18 ottobre 2024, una scadenza che impone alle aziende di prepararsi con adeguati piani di conformità.  

Da quel momento, tutte le organizzazioni incluse nella direttiva dovranno conformarsi ai requisiti di sicurezza rafforzati e alle procedure di segnalazione degli incidenti. In sintesi, la Direttiva NIS2 rappresenta un’importante evoluzione nella strategia di sicurezza informatica dell’Unione Europea, con l’obiettivo di affrontare in modo più efficace le crescenti minacce cyber e garantire una maggiore protezione delle infrastrutture critiche europee. 

Tuttavia, occorre attendere la pubblicazione dei decreti attuativi in Gazzetta Ufficiale per comprendere nel dettaglio quali adempimenti operativi dovranno attuare le autorità competenti individuate e i soggetti interessati dalle disposizioni.