Le minacce informatiche stanno assumendo proporzioni sempre più preoccupanti, con un incremento del 60% nel numero di attacchi registrati a livello globale negli ultimi cinque anni, secondo i dati del rapporto Clusit 2023. Oltre all'aumento della frequenza, si è assistito anche a un aggravamento delle conseguenze sociali ed economiche degli incidenti causati da questi attacchi, con l'80% degli attacchi rilevati nel 2022 che hanno avuto impatti gravi o molto gravi. In questo scenario di crescente instabilità geopolitica e digitalizzazione, l'Unione Europea ha riconosciuto la necessità di rafforzare la resilienza informatica e la capacità di risposta ai rischi cyber, sia a livello comunitario che nazionale.

Contesto e origini della Direttiva NIS2

La Direttiva NIS (Network and Information Security) del 2016 rappresentava il primo strumento normativo comunitario volto a costruire un elevato livello di cybersecurity tra gli Stati membri dell'Unione Europea. Nel 2020, la Commissione Europea ha avviato una revisione programmata dell'efficacia della Direttiva NIS, rivelando carenze intrinseche che ne hanno limitato l'impatto nell'affrontare le sfide attuali ed emergenti in materia di cybersicurezza. In particolare, sono emerse criticità in termini di uniformità di approccio tra gli Stati membri e di perimetro di applicazione.

Dalla NIS alla NIS2: un'evoluzione necessaria

Per colmare queste lacune, il 17 gennaio 2023, l'Unione Europea ha approvato la Direttiva NIS2 (Network and Information Security 2), che andrà a sostituire la precedente normativa a partire dal 18 ottobre 2024. La nuova Direttiva mira a rafforzare la capacità di garantire uniformità ed efficacia nell'applicazione delle misure di cybersicurezza, assicurando così una protezione adeguata per la vita sociale ed economica dell'Unione.

La Direttiva NIS2 introduce obblighi di cybersicurezza stringenti per un'ampia platea di organizzazioni operanti in settori ritenuti critici per il funzionamento della società europea. Tra le novità più significative, si annovera l'ampliamento del perimetro di applicazione e l'armonizzazione dei parametri per l'individuazione dei soggetti sottoposti agli obblighi della normativa.

Ambito di applicazione della Direttiva NIS2

Soggetti essenziali e importanti

Una delle principali innovazioni introdotte dalla Direttiva NIS2 è l'abbandono della distinzione tra Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD), adottata nella precedente normativa. Al suo posto, la nuova Direttiva individua due categorie di soggetti: essenziali e importanti.

Rientrano nella categoria dei soggetti essenziali le organizzazioni operanti nei settori ad alta criticità, come l'energia, i trasporti, il settore bancario, la sanità, le infrastrutture digitali e la pubblica amministrazione centrale e regionale, la cui interruzione potrebbe avere un impatto significativo su attività sociali o economiche critiche.

La categoria dei soggetti importanti, invece, comprende le organizzazioni operanti in altri settori critici, come i servizi postali e di corriere, la gestione dei rifiuti, la produzione e distribuzione di sostanze chimiche, alimenti e dispositivi medici, nonché i fornitori di servizi digitali e le organizzazioni di ricerca.

Per quanto riguarda le pubbliche amministrazioni, la Direttiva NIS2 si applica all'amministrazione centrale e alle amministrazioni regionali che forniscono servizi la cui interruzione potrebbe avere un impatto significativo su attività sociali o economiche critiche. Gli Stati membri hanno inoltre la discrezionalità di includere anche amministrazioni locali e istituti di istruzione, in particolare quelli in cui si svolgono attività di ricerca considerate critiche.

Iter di recepimento e adeguamento

Gli Stati membri hanno tempo fino al 17 ottobre 2024 per recepire la Direttiva NIS2 nel diritto nazionale. Durante questo processo, potranno definire in modo più puntuale alcuni degli obblighi imposti alle organizzazioni, tenendo conto delle peculiarità dei rispettivi contesti nazionali.

Tuttavia, molti ambiti in cui le amministrazioni pubbliche saranno chiamate a intervenire in ottica di adeguamento sono già identificabili. È consigliabile, quindi, che le amministrazioni verifichino tempestivamente se rientrano nel perimetro di applicabilità della Direttiva e procedano con una valutazione del proprio attuale livello di conformità.

Interventi come quelli sulla catena di approvvigionamento o sulla continuità operativa potrebbero richiedere un impegno significativo e un intervallo di tempo importante. Avviare le azioni di adeguamento con il dovuto anticipo permetterà di evitare di operare in tempi stretti e con maggiore difficoltà.

Obblighi per le amministrazioni pubbliche

Governance e formazione

La Direttiva NIS2 introduce importanti novità in termini di governance e responsabilità per le amministrazioni pubbliche soggette agli obblighi della normativa. In particolare, gli organi di gestione, come il Consiglio di Amministrazione o equivalenti, sono chiamati a svolgere un ruolo cruciale nell'approvazione e supervisione delle misure di gestione dei rischi di cybersicurezza.

Inoltre, la Direttiva prevede che i membri degli organi di gestione e i dipendenti delle amministrazioni pubbliche interessate debbano partecipare a formazioni specifiche su tematiche di cybersicurezza. Questo mira ad aumentare la consapevolezza dei rischi cyber e a migliorare la capacità di identificare, valutare e rispondere efficacemente a tali rischi.

Misure di gestione dei rischi

Le amministrazioni pubbliche in perimetro dovranno adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e delle reti. Tra queste misure, la Direttiva NIS2 prevede:

• Politiche di analisi dei rischi e di sicurezza dei sistemi informatici
• Gestione efficace degli incidenti
• Continuità operativa, come la gestione del backup e il ripristino in caso di disastro
• Sicurezza della catena di approvvigionamento
• Sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi informatici e di rete
• Valutazione dell'efficacia delle misure di gestione dei rischi di cybersicurezza
• Pratiche di igiene informatica di base e formazione in materia di cybersicurezza
• Politiche e procedure relative all'uso della crittografia

Queste misure dovranno essere adottate sia nelle operazioni quotidiane che nella fornitura dei servizi, al fine di prevenire o minimizzare l'impatto degli incidenti sui destinatari dei servizi offerti e su altri servizi correlati.

Obblighi di segnalazione

Un aspetto cruciale della Direttiva NIS2 riguarda gli obblighi di segnalazione degli incidenti significativi. Le amministrazioni pubbliche in perimetro saranno tenute a notificare senza indebito ritardo, e comunque entro 24 ore dalla conoscenza dell'incidente, al proprio CSIRT (Computer Security Incident Response Team) o all'autorità competente qualsiasi incidente che abbia un impatto significativo sulla fornitura dei loro servizi.

Entro 72 ore, dovranno fornire una notifica dell'incidente che aggiorni le informazioni iniziali e includa una valutazione preliminare dell'impatto e della gravità dell'incidente. Infine, entro un mese dalla notifica iniziale, dovranno produrre una relazione finale con una descrizione dettagliata dell'incidente, delle cause, delle misure di attenuazione adottate e in corso di adozione.

Cooperazione e coordinamento a livello europeo

La Direttiva NIS2 promuove una maggiore cooperazione e coordinamento tra gli Stati membri e le istituzioni europee al fine di rafforzare la resilienza informatica a livello comunitario. In questo contesto, vengono istituiti o confermati diversi organismi e meccanismi di collaborazione:

• Il Gruppo di Cooperazione, composto da rappresentanti degli Stati membri, della Commissione Europea e dell'ENISA (Agenzia dell'Unione Europea per la Cybersicurezza), si occupa di fornire orientamenti e scambiare migliori pratiche in materia di cybersicurezza.
• La Rete di CSIRT, composta dai rappresentanti dei Computer Security Incident Response Team nazionali, promuove la cooperazione operativa rapida ed efficace tra gli Stati membri nella gestione degli incidenti.
• L'EU-CyCLONe, una rete di rappresentanti delle autorità di gestione delle crisi informatiche degli Stati membri, supporta una gestione coordinata degli incidenti e delle crisi di cybersicurezza su vasta scala.

Questi organismi svolgono un ruolo fondamentale nello scambio di informazioni, nell'individuazione di meccanismi puntuali e nel coordinamento delle azioni di prevenzione e risposta agli incidenti.

Valutazioni coordinate dei rischi cyber

La Direttiva NIS2 introduce anche le valutazioni coordinate dei rischi cyber, uno strumento cruciale per identificare vulnerabilità e minacce all'interno di specifiche catene di approvvigionamento critiche dei servizi, sistemi o prodotti TIC. Gli Stati membri, attraverso il Gruppo di Cooperazione, sono chiamati a svolgere queste valutazioni, tenendo conto di una vasta gamma di fattori di rischio, sia tecnici che non.

Queste valutazioni coordinate mirano a fornire una visione d'insieme dei rischi potenziali e a supportare le organizzazioni nell'adozione di misure di mitigazione appropriate. Inoltre, favoriscono una maggiore consapevolezza e preparazione complessiva nell'affrontare le minacce informatiche.

Sanzioni e misure di vigilanza

Per garantire l'efficace attuazione della Direttiva NIS2, sono previste sanzioni amministrative pecuniarie in caso di violazione degli obblighi di gestione dei rischi di cybersicurezza o di segnalazione degli incidenti. L'entità delle sanzioni varia in base alla classificazione del soggetto come essenziale o importante:

• Per i soggetti essenziali, le sanzioni possono raggiungere un massimo di almeno 10 milioni di euro o il 2% del fatturato totale annuo mondiale, se superiore.
• Per i soggetti importanti, le sanzioni possono arrivare a un massimo di almeno 7 milioni di euro o l'1,4% del fatturato totale annuo mondiale, se superiore.

Inoltre, la Direttiva NIS2 prevede misure di vigilanza, come audit, ispezioni e richieste di informazioni, per monitorare il rispetto degli obblighi da parte dei soggetti in perimetro. In casi gravi, è prevista la possibilità di sospendere o vietare temporaneamente a persone che svolgono funzioni dirigenziali in un soggetto essenziale di esercitare tali funzioni.

Conclusioni

La Direttiva NIS2 rappresenta un passo significativo verso il rafforzamento della resilienza informatica nell'Unione Europea. Ampliando il perimetro di applicazione, introducendo obblighi stringenti e promuovendo una maggiore cooperazione e coordinamento tra gli Stati membri, la normativa mira a garantire una protezione adeguata per la vita sociale ed economica della comunità europea.

Per le amministrazioni pubbliche, la Direttiva NIS2 comporta importanti cambiamenti in termini di governance, misure di gestione dei rischi, obblighi di segnalazione e cooperazione a livello europeo. L'adeguamento alle nuove disposizioni richiederà un impegno significativo, ma rappresenta un'opportunità per rafforzare la resilienza informatica e garantire la continuità dei servizi essenziali.

In un panorama di minacce cyber in continua evoluzione, l'implementazione efficace della Direttiva NIS2 è fondamentale per proteggere le infrastrutture critiche e promuovere una cultura della sicurezza informatica a tutti i livelli delle amministrazioni pubbliche. Solo attraverso un impegno collettivo e un approccio proattivo sarà possibile affrontare le sfide poste dalle minacce informatiche e garantire la sicurezza dei cittadini e delle attività sociali ed economiche.

Vuoi saperne di più?