La Direttiva NIS2 ed il suo recepimento nella normativa nazionale: un nuovo standard per la cybersecurity in Europa
La Direttiva NIS2 (EU) 2022/2555 rappresenta un passo significativo verso il rafforzamento della cybersecurity all’interno dell’Unione Europea. La NIS2, che sostituirà la direttiva NIS (EU) 2016/1148, persegue l’obiettivo di una creazione di un framework di cybersicurezza europeo che armonizzi e superi le discrasie applicative fra stati membri della precedente direttiva.
(Nella foto: Italo Lisi, Chief of Information Officers (CIO) e Responsabile per la Transizione al Digitale della Scuola Superiore Sant’Anna di Pisa)
A tal fine, introduce requisiti più stringenti per la gestione dei rischi e la segnalazione degli incidenti, ampliando il suo campo di applicazione a più settori e entità. A partire dal prossimo 18 ottobre, tutti gli stati membri sono tenuti ad adottare nel proprio impianto legislativo provvedimenti che rispettino la direttiva.
La Direttiva NIS2: un nuovo standard per la Cybersecurity in Europa - Fra le principali novità, si segnala una estensione del campo di applicazione della direttiva ma anche l’enfasi sugli aspetti metodologici e procedurali che i destinatari sono obbligati a mettere in atto:
- Gestione dei Rischi e Segnalazione degli Incidenti: La direttiva richiede l’adozione di strumenti di analisi e gestione dei rischi, la segnalazione tempestiva degli incidenti e l’implementazione di misure tecniche e organizzative adeguate. Gli incidenti significativi devono essere notificati entro 24 ore e seguiti da un rapporto completo entro 72 ore.
- Estensione del Campo di Applicazione: La NIS2 include settori critici come energia, trasporti, sanità e infrastrutture digitali, eliminando la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali.
- Allineamento con Altre Normative: La direttiva si allinea con altre regolamentazioni sulla protezione dei dati come il GDPR e l’Atto sulla Resilienza Cibernetica, introducendo misure di supervisione e applicazione più rigorose.
Recepimento nella normativa nazionale - In Italia, la Direttiva NIS2 sarà implementata attraverso la Legge 90/2024 e il disegno di legge presentato alle camere come Atto Governativo n. 164, che al momento della stesura di questo articolo è in fase di revisione. Questi provvedimenti legislativi mirano da una parte a delineare obblighi e approcci metodologici alla gestione della cybersicurezza per PA ed enti ed aziende erogatrici di servizi strategici, dall’altra a bilanciare la necessità di una maggiore sicurezza informatica con gli oneri finanziari e operativi per le organizzazioni, in particolare quelle più piccole.
Fra gli elementi che i provvedimenti introducono, si sottolineano il ruolo centrale dell’Agenzia per la Cybersicurezza Nazionale e gli obblighi più stringenti per i soggetti destinatari.
- Ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN): L’ACN avrà il compito di supervisionare la conformità e fornire linee guida alle entità coinvolte. Attraverso il CSIRT (Computer Security Incident Response Team) Italia essa provvede a monitorare, analizzare ed intervenire in risposta alle minacce cyber.
- Obblighi per le entità destinatarie: Le organizzazioni dovranno adottare misure tecniche, operative e organizzative per gestire i rischi di cybersecurity, sviluppare piani di continuità e
- all’ACN, promuovere la formazione e la consapevolezza sulla cybersecurity e utilizzare metodi di comunicazione sicuri.
Sfide e opportunità - Fermo restando le necessità di superamento delle limitazioni della originaria direttiva NIS, è auspicabile che l’attuazione della nuova normativa possa portare un miglioramento grazie all’introduzione di misure che possano contribuire a superare il problema dell’insufficienza del livello di preparazione in materia di cybersicurezza negli stati membri, nonché portare alla riduzione dei costi nella gestione di incidenti.
Il recepimento della direttiva NIS 2 vedrà un ampliamento dell’ambito di applicazione a soggetti non considerati dalla precedente NIS (pubblica amministrazione ma anche piccole e micro imprese operanti in settori chiave, fornitori di servizi e reti di comunicazione elettronica etc., indipendentemente dalle loro dimensioni).
Per tali soggetti saranno introdotti obblighi (in particolare quello di notificare non solo gli incidenti più importanti ma anche minacce informatiche e quasi incidenti al CSIRT) e sanzioni applicabili in proporzione alla gravità delle violazioni, ma soprattutto verrà richiesta la puntuale definizione di misure tecniche ed organizzative per la gestione dei rischi e per la riduzione di impatto di incidenti ai sistemi informativi e alla rete.
Queste misure includono aspetti metodologici tipici dell’approccio multirischio, comprendendo in ciò anche la catena di approvvigionamento, ed aspetti più prettamente operativi per la resilienza e l’integrità del dato, per la gestione dell’identità digitale, per la trasmissione sicura dei dati e per la formazione e consapevolezza sul tema cybersicurezza del proprio personale.
È conseguentemente innegabile che, nonostante il legislatore asserisca (art. 44 comma 3 dello schema di decreto legislativo) “non devono derivare nuovi o maggiori oneri a carico della finanza pubblica e le amministrazioni pubbliche provvedono con le risorse umane, strumentali e finanziarie previste a legislazione vigente”, per i soggetti cui il provvedimento si rivolge le suddette attività determineranno, nel medio e lungo termine, ulteriori oneri.
La vera sfida per il legislatore sarà quindi trovare il giusto bilanciamento e gradualità di intervento per permettere che a fronte di accresciuti oneri corrispondano, grazie ad un accrescimento del livello di sicurezza e di resilienza, minori costi per la gestione ed il rimedio di eventuali incidenti.
D’altronde, basta prendere in mano un qualsiasi report sui trend dei cyberattacchi per rendersi facilmente conto che l’aumento del livello di preparazione in materia di cybersicurezza potrà ridurre la potenziale perdita di entrate causate da data breach o da denial of service e che un approccio proattivo di prevenzione degli incidenti porterà ad una riduzione delle ingenti spese che sarebbero invece necessarie per le attività di mitigazione e risposta.
In conclusione, la domanda è sempre la stessa: quanto siamo disposti ad investire se i vantaggi potranno ampliamente superare i costi d’investimento?