Approvata il 27 Dicembre 2022 la Direttiva NIS2: nuovi obblighi di cyber sicurezza per le aziende

L'ambito di applicazione è senza dubbio la principale novità della Direttiva NIS2. Le nuove disposizioni normative oltre ad essere applicabili ai settori originariamente previsti dalla Direttiva NIS1 (il settore dell’energia, delle telecomunicazioni, dei trasporti, bancario e dei mercati finanziari, sanitario, ecc.) interesseranno anche società, tra le altri:

• servizi digitali (piattaforme di cloud computing, data centre, content delivery network provider, servizi di comunicazione elettronica e di reti di comunicazione elettronica);
• servizi sanitari, (quali – tra gli altri – società farmaceutiche, produttori di dispositivi medici ed healthcare provider); 
• servizi di produzione, trasformazione e distribuzione di cibo, ivi comprese le imprese della grande distribuzione

Il nuovo testo normativo introduce, inoltre, indicazioni relativa alle dimensioni delle società: rientrano nel campo di applicazione della  le società operanti nei settori sopra richiamati che siano di medie e grandi dimensioni, il provvedimento potrebbero interessate anche piccole e microimprese se operano in settori chiave per la società e, indipendentemente dalle dimensioni, fornitori, di servizi di comunicazione elettronica e di reti di comunicazione elettronica.

Gli Stati Membri dovranno fare in modo che le società rientranti nel suo ambito di applicazione debbano “adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza dei sistemi di rete e di informazione che tali soggetti utilizzano per le loro operazioni o per la fornitura dei loro servizi e per prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi e su altri servizi.”

Secondo la direttiva queste misure tecniche, operative ed organizzative devono comprendere almeno quanto segue:

• policy sull’analisi dei rischi e sulla sicurezza dei sistemi informativi;
• sistemi di gestione degli incidenti;
• sistemi di business continuity, come la gestione dei backup e il disaster recovery, e la gestione delle crisi;
• misure di gestione della sicurezza della supply chain;
• la sicurezza nell’acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità;
• policy e procedure per valutare l’efficacia delle misure di gestione del rischio di cybersecurity;
• pratiche di igiene informatica di base (i.e., regole fondamentali per garantire la cybersecurity) e formazione in materia di sicurezza informatica;
• policy e procedure relative all’uso della crittografia e, se del caso, della cifratura crittografia;
• misure sulla sicurezza delle risorse umane, le politiche di controllo degli accessi e la gestione degli asset;
• l’uso di soluzioni di autenticazione a più fattori (i.e., la c.d. multi-factor authentication) o di autenticazione continua, di comunicazioni vocali, video e di testo protette e di sistemi di comunicazione di emergenza protetti all’interno dell’entità, ove opportuno.

Inoltre, la direttiva prevede che nell’analisi della adeguatezza delle misure di sicurezza si debba tener conto anche delle misure adottate dai fornitori delle società rientranti nell’ambito della Direttiva NIS2. Questo rappresenta un argomento di notevole rilievo già attualmente per le aziende che sono fornitrici delle società rientranti nel perimetro di sicurezza nazionale perché gli obblighi in materia di cybersecurity si estendono indirettamente anche a loro.

Entro 21 mesi dall’entrata in vigore, la Commissione europea dovrà definire i requisiti tecnici e metodologici applicabili alle misure che dovranno essere adottate, tra gli altri, dai fornitori di servizi di cloud computing, data center, online market place, motori di ricerca e social network.

La Direttiva NIS2 prevede, come la precedente, un obbligo di notifica al CSIRT e alle autorità competenti, senza ritardo, di qualsiasi incidente che può avere un impatto significativo sulla fornitura del servizio. Inoltre, stabilisce che, la notifica debba avvenire anche a beneficio dei destinatari del servizio impattato dal cyber attacco, indicando le misure che detti destinatari sono in grado di adottare per reagire all’attacco. Le tempistiche di notifica sono ulteriormente specificate: la prima notifica deve avvenire entro 24 ore dalla conoscenza per l’invio di un “early warning” che deve essere seguito dalla notifica di una analisi dettagliata dell’incidente entro 72 ore dalla conoscenza. Ciò concide con quanto esplicato dalla normativa italiana sul perimetro di sicurezza cybernetica.

La Direttiva, inoltre contiene l'applicazione del principio dello stabilimento: le società saranno soggette solo alla giurisdizione delle autorità dello Stato Membro in cui sono stabilite. Tuttavia, ci sono eccezioni applicabili, tra gli altri, nel caso di fornitori di servizi di comunicazione e di rete elettronica che sono soggetti alla competenza del Paese in cui si trovano i destinatari dei loro servizi; e alcuni servizi online che sono soggetti alla competenza del Paese dell’Unione Europea dove si trova il loro stabilimento principale.

Sono in aggiunta previsti dei poteri minimi di indagine che le autorità locali devono avere per valutare l’adeguatezza delle misure adottate dalle società fornitrici di servizi essenziali ed importanti. Nel caso in cui una azienda non si conformi con gli obblighi di cui alla Direttiva NIS2, gli Stati Membri devono fare in modo che tali società adottino, senza ritardo, tutte le azioni correttive appropriate e proporzionali.

La direttiva già prevede però, tra gli altri, l’obbligo per gli Stati Membri di stabilire la possibilità di sospendere l’attività aziendale dell’impresa e di imporre specifici divieti; e l’applicazione di sanzioni fino a € 10 milioni o al 2% del fatturato globale dell’anno precedente in caso di società essenziali, mentre sanzioni fino a € 7 milioni o al 1,7% del fatturato globale in caso di società importanti.

Se un incidente informatico ha comportato anche un data breach ai sensi del GDPR, le sanzioni amministrative previste dalla direttiva non sono applicabili. È infatti importante ricordare che la Direttiva NIS2 trova applicazione anche in caso di incidenti che non hanno comportato una violazione dei dati personali.

Si allega la Gazzetta ufficiale dell’UE 333/80 del 27 dicembre 2022. Gli Stati membri avranno un periodo massimo di 21 mesi per poter procedere al recepimento della normativa a livello nazionale. A quel punto le norme diventeranno vincolanti per le imprese e le norme di attuazione della direttiva NIS1 saranno abrogate.

Contatti

Per ulteriori informazioni è possibile contattare Miriam Ieraci, tel 02 58370634, e-mail miriam.ieraci@assolombarda.it.