Il 10 giugno 2024, il Consiglio dei Ministri ha approvato preliminarmente lo schema per recepire la Direttiva NIS2, quale nuova normativa UE sulla cybersicurezza. La Direttiva, nota come Direttiva 2022/2555 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, mira a rafforzare le misure di protezione contro le minacce informatiche nell’Unione Europea, aggiornando significativamente la normativa esistente in materia di sicurezza cibernetica.
La Direttiva NIS 2 prevede l’applicazione, invece, sia alle organizzazioni pubbliche che private, ma distingue tra i fornitori che gestiscono servizi essenziali e quelli che gestiscono servizi importanti.
Fornitori di servizi essenziali: comprendono operatori che forniscono servizi di importanza vitale per il funzionamento della società e dell’economia ed essendo fondamentali per la resilienza complessiva del sistema Paese e, per esteso, dell’Unione Europea, tali operatori sono soggetti a requisiti di sicurezza più stringenti e rigorosi.
Tra questi vengono fatti rientrare:
- società di produzione e distribuzione di energia;
- servizi sanitari;
- trasporti;
- infrastrutture di comunicazione elettronica;
- servizi bancari e finanziari;
Queste imprese devono rafforzare in modo significativo i propri sistemi di cybersecurity, poiché sono considerate “strategiche” per il funzionamento dei servizi essenziali dei paesi in cui operano e spesso anche per i paesi limitrofi.
Fornitori di servizi importanti: includono operatori che, sebbene siano attivi in settori essenziali per il benessere della società, non sono classificati come vitali per il mantenimento delle funzioni sociali ed economiche di base.
Tra questi vengono fatti rientrare:
- società per la gestione dei rifiuti;
- società per la produzione alimentare;
- l’industria manifatturiera;
- fornitori di servizi digitali che includono le piattaforme online tra cui l’e-commerce; i motori di ricerca; il cloud computing e la gestione dei servizi ICT.
Queste organizzazioni, pur non essendo a livello di rischio così elevato come i primi, dovranno garantire comunque alti standard di sicurezza informatica per proteggere, sia i dati dei propri utenti che quelli di clienti e fornitori con cui operano.
I fornitori di servizi digitali saranno particolarmente coinvolti in materia, in quanto dovranno notificare alle autorità competenti eventuali incidenti di sicurezza: entro 24 ore da un incidente reputato significativo deve essere inviato un “early warning” che serve a notificare all’autorità competente che l’incidente viene sospettato di essere il risultato di atti illegittimi o malevoli e può avere un impatto transfrontaliero. Entro le 72 ore dalla conoscenza dell’incidente deve essere prodotta, inoltre, un’analisi dettagliata dell’accaduto.
Alle aziende è richiesto, inoltre, di adottare una serie di pratiche di igiene informatica che devono includere il monitoraggio e l’aggiornamento costante dei sistemi per prevenire vulnerabilità; l’implementazione di politiche di gestione dei rischi dettagliate che prevedano l’identificazione, la valutazione e la mitigazione dei rischi informatici e l’uso di tecnologie di autenticazione a più fattori per garantire un elevato livello di sicurezza e protezione contro accessi non autorizzati.
COSA DEVONO FARE LE IMPRESE PER ADEGUARSI ALLA DIRETTIVA NIS 2
L’art. 21 par. 1 della Direttiva stabilisce che i soggetti obbligati dovranno adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e delle reti utilizzate nel corso dell’attività o nella fornitura dei servizi.
Le aziende dovranno prima di tutto identificare se rientra fra le tipologie di soggetti essenziali o importanti e dopo aver individuato la categoria, è tenuta ad adottare una strategia risk-based.
Stabilito se rientra fra i soggetti obbligati, l’azienda dovrà definire, tramite una gap analisys, quali saranno le misure tecniche, operative e organizzative “adeguate”, con riferimento diretto al principio di “Accountability” del G.D.P.R., per proteggere i sistemi informatici e le reti adottando un tipo di approccio multirischio.
La Direttiva NIS2 chiarisce la definizione di “incidente significativo”: affinché un data breach possa essere considerato tale, è necessario valutare se l’incidente ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato, oppure se ha avuto o può avere ripercussioni su altre persone fisiche o giuridiche, provocando perdite materiali o immateriali considerevoli. In caso di incidente significativo, l’azienda deve rispettare un iter di notifica alle autorità competenti organizzato in più fasi.
L’Iter prevede la trasmissione di:
i) un preallarme entro 24 ore da quando si è venuti a conoscenza dell’incidente;
ii) una notifica entro 72 ore dalla conoscenza dell’incidente, che aggiorni – se necessario – le informazioni del preallarme;
iii) una relazione finale entro un mese dalla trasmissione della notifica, il cui contenuto minimo sarà dettagliato dal legislatore dello stato membro in fase di recepimento.
La Direttiva specifica anche la necessità di adottare un Data Breach Recovery Plan che, tra le altre, dovrebbe prevedere le seguenti misure organizzative:
a) nomina di un responsabile della sicurezza informatica;
b) la definizione dei ruoli e delle responsabilità del personale coinvolto nella gestione degli incidenti;
c) la definizione delle procedure da seguire in caso di Data Breach.
Le autorità competenti sono incaricate di monitorare affinché i singoli Stati membri adottino le misure necessarie per garantire il rispetto della Direttiva NIS 2 e i singoli Stati Membri devono vigilare sull’osservanza della Direttiva stessa.
In caso di violazione comprovata, le autorità hanno la possibilità di imporre sanzioni amministrative pecuniarie.
Le misure di vigilanza a cui possono essere sottoposti i soggetti essenziali comprendono audit, ispezioni, richieste di informazioni, scansioni di sicurezza e richieste di dati che dimostrino l’attuazione delle politiche di cybersecurity. Per quanto riguarda le sanzioni amministrative pecuniarie, la NIS 2 distingue tra entità essenziali e importanti:
- per i soggetti essenziali, la Direttiva impone agli Stati membri di prevedere sanzioni amministrative pecuniarie con un importo massimo di almeno 10 milioni di euro o del 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore;
- per le entità importanti, la NIS 2 prevede una sanzione pecuniaria massima di almeno 7 milioni di euro o dell’1,4% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore.
IN QUALI SANZIONI INCORRE SE L’AZIENDA NON SI ADEGUA
La Direttiva NIS è stata creata con l’obiettivo di migliorare la sicurezza informatica nell’Unione Europea e le sanzioni possono essere di natura amministrativa o penale.
Un elenco preciso delle sanzioni non c’è nel testo della Direttiva NIS2, in quanto lascia agli Stati Membri la facoltà di legiferare in materia adattando il regime sanzionatorio alla propria legislazione.
La Direttiva prevede comunque dei limiti massimi in funzione del fatto che un operatore sia qualificato come essenziale o come importante:
- gli operatori essenziali potranno essere sottoposti a sanzioni pecuniarie amministrative pari a un massimo di 10 Milioni di Euro o il 2% del totale del fatturato mondiale globale;
- gli operatori importanti, invece, potranno essere soggetti a sanzioni pari a un massimo di 7 Milioni di Euro o a fino ad un massimo del 1,4 % del totale del fatturato mondiale globale.
Per quanto riguarda le sanzioni penali si rimanda tutto alla specifica legislazione che ogni Stato Membro produrrà in materia, tenendo presente che, in Italia, è prevista la reclusione fino a 7 anni per violazioni gravi della privacy.
Una importante novità della NIS2 è l’obbligo per l’organizzazione colpita di pubblicare sui propri canali la violazione subita. È importante essere consapevoli che il danno globale che può subire un’azienda in caso di incidente grave non è solo dovuto alle sanzioni. Spesso, un evento disastroso comporta anche danni reputazionali e perdite finanziarie, oltre a dover affrontare costi per risarcire i danni causati agli eventuali interessati che hanno subito perdite.