NIS 2: cos’è e il suo impatto sulle pubbliche amministrazioni

Il 2024 è l’anno in cui gli Stati membri dell’UE dovranno recepire la direttiva 2022/2555, la cosiddetta Network and Information Security “NIS” 2. Approvata il 17 gennaio 2023, la nuova norma sancisce, come termine ultimo per il recepimento, il 17 ottobre e andrà a sostituire la “NIS” precedente, la normativa concepita come prima disciplina comunitaria della cybersecurity. La NIS 2 si inserisce tra le politiche implementate dalla Commissione Europea nell’ambito della strategia per la cybersicurezza, come il Cybersecurity Act – con il quale l’Unione voleva aumentare la capacità di rispondere agli attacchi informatici e creare un mercato unico di prodotti, servizi e processi – e il Cyber Resilience Act – implementato per rafforzare le norme di sicurezza informatica, garantendo prodotti hardware e software più sicuri.

La direttiva NIS: come siamo arrivati ad oggi

La NIS 2 è un’estensione della direttiva originale sulla sicurezza delle reti e delle informazioni (NIS), approvata allo scopo di garantire una resilienza informatica del sistema Europa complessivo e dei singoli Paesi a eventi di cybersecurity. La prima direttiva NIS, opera pionieristica di legislazione a livello UE, venne recepita in Italia con il D.lgs. 65/2018 e aveva lo scopo di definire le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi, attraverso:

• designazione di autorità competenti;
• creazione di gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT);
• adozione di strategie nazionali per la sicurezza della rete e dei sistemi informativi.

Ulteriore obiettivo della direttiva del 2016 era di gestire gli incidenti di sicurezza informatica in coordinamento tra gli Stati dell’Unione Europea. In particolare, essa si applicava a due entità denominate Operatori di Servizi Essenziali (OSE) – soggetti pubblici e privati che fornivano servizi essenziali per la società e l’economia dei settori sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, ecc. – e Fornitori di Servizi Digitali (FSD) – persone giuridiche che fornivano servizi di e-commerce, cloud computing o motori di ricerca digitali. Per queste entità la NIS originale introduceva l’obbligo di adottare misure appropriate per la cybersicurezza del sistema paese e del sistema Europa e di segnalare all’autorità nazionale il verificarsi di incidenti gravi.

In capo agli Stati, invece, erano posti gli obblighi di:

• adottare una strategia nazionale di cybersecurity, in cui venissero definiti obiettivi strategici e priorità, politiche adeguate e norme a livello nazionale;
• assicurare la cooperazione internazionale e la collaborazione con l’ENISA (European Union for Network and Information Security Agency, l’agenzia che si occupa di supportare gli Stati membri, le istituzioni UE e le imprese nella gestione di tematiche chiave per la cybersicurezza) per l’individuazione di meccanismi puntuali;
• designare autorità nazionali competenti, punti di contatto e gli CSIRT (Computer Security Incident Response Team), gli organi deputati al monitoraggio, rilevamento, gestione e segnalazione internazionale di incidenti di cybersicurezza.

All’art. 23 della NIS era previsto, infine, un riesame del funzionamento della direttiva da parte della Commissione Europea per dicembre 2020; tuttavia, fin dalle sue primissime applicazioni, la direttiva iniziò a mostrare i limiti intrinsechi all’aumento del tasso di digitalizzazione dei Paesi membri, che aveva ampliato la superficie di attacco informatico. Questo è un indicatore molto semplice: più ampia è la superficie di attacco, più è elevata la possibilità che eventuali attacchi vadano a buon fine. Successivamente, con l’avvento della pandemia di Covid-19 – un importante fattore di accelerazione nella diffusione e nell’utilizzo delle tecnologie – e del conflitto Russo-Ucraino, l’applicazione della NIS mostrò delle discrasie tali da portare la Commissione Europea a intervenire con un ampliamento e un approfondimento della normativa.

La NIS 2: cosa prevede e il suo impatto

La ratio della nuova normativa viene ulteriormente approfondita nel preambolo: al par. 4 si fa esplicito riferimento alle notevoli divergenze nell’implementazione della NIS tra gli Stati membri rilevati dal riesame della direttiva, imputate all’ampio potere discrezionale lasciato ai singoli Paesi, dalla direttiva del 2016. Al paragrafo seguente viene, dunque, sancito l’intento della nuova NIS come quello di “eliminare tali ampie divergenze […] stabilendo norme minime riguardanti il funzionamento di un quadro normativo coordinato, istituendo meccanismi per una cooperazione efficace tra le autorità responsabili in ciascuno Stato membro, aggiornando l’elenco dei settori e delle attività soggetti agli obblighi in materia di cibersicurezza e prevedendo mezzi di ricorso e misure di esecuzione effettivi che siano funzionali all’efficace applicazione di tali obblighi”.

Come ampliamente approfondito da Claudio Telmon – Senior partner Information & Cybersecurity P4I – durante l’Academy tenuta a Forum PA 2023, la NIS2 ha dunque gli obiettivi di:

• ampliare l’ambito di applicabilità;
• eliminare la differenziazione – ormai obsoleta – fra operatori di servizi essenziali e fornitori di servizi digitali;
• ridurre la discrezionalità degli Stati membri;
• migliorare il coordinamento in termini di misure di sicurezza previste e di risorse disponibili all’autorità di controllo.

Ambiti di applicabilità

Per quanto riguarda gli ambiti di applicabilità la nuova direttiva supera la distinzione tra OSE e FDS, ritenuta obsoleta e foriera di problematiche. La NIS 2 pur mantenendo i settori merceologici – individuati dalla normativa del 2016 e definiti negli allegati I e II – prende inoltre in considerazione le dimensioni dell’impresa.

Vengono quindi individuate due categorie di soggetti:

• Soggetti essenziali: in cui rientrano i soggetti dei settori ad alta criticità quali ad esempio, pubbliche amministrazioni ed imprese che si occupano di energia, trasporti, settore bancario, settore sanitario, infrastrutture digitali, ecc.;
• Soggetti importanti: in cui rientrano tutti i soggetti degli altri settori critici, dalla dimensione di media impresa in su, quali ad esempio i servizi postali e di corriere, della gestione dei rifiuti, fornitori di servizi digitali, ecc.

Per quanto riguarda l’ambito pubblico, invece, l’art. 2, par. 2 della direttiva stabilisce l’applicazione alle pubbliche amministrazioni:

• i) dell’amministrazione centrale, quale definito da uno Stato membro conformemente al diritto nazionale; o
• ii) a livello regionale quale definito da uno Stato membro conformemente al diritto nazionale che, a seguito di una valutazione basata sul rischio, fornisce servizi la cui perturbazione potrebbe avere un impatto significativo su attività sociali o economiche critiche.

A discrezionalità dello Stato, poi, si possono inserire “in perimetro” amministrazioni locali e istituti di istruzione, in particolare quelli all’interno dei quali si svolgono attività di ricerca critiche. Esplicitamente esclusi dal raggio della NIS 2 sono, tuttavia, alcuni settori pubblici quali: quello della sicurezza nazionale, della pubblica sicurezza, della difesa, del contrasto, le indagini, l’accertamento e il perseguimento dei reati.

Cooperazione a livello dell’Unione e Internazionale

Il Capo III della NIS 2 è completamente dedicato alla cooperazione internazionale in ambito di cybersicurezza. Confermati dalla normativa precedente sono il gruppo di cooperazione (art.14) e la rete di CSIRT (art. 15). Il primo, composto da rappresentanti degli Stati membri e della Commissione dell’ENISA, si occupa di numerosi compiti quali ad esempio:

• Fornire orientamenti alle autorità competenti in merito al recepimento e attuazione della NIS 2;
• Fornire orientamenti in merito allo sviluppo e all’attuazione di politiche;
• Scambiare migliori prassi e informazioni sulle minacce informatiche, sugli incidenti, vulnerabilità, sviluppo di norme e specifiche tecniche e capacità;
• Fornire orientamenti strategici alla rete di CSIRT ed EU-CyCLONe.

La rete di CSIRT è invece composta dai rappresentanti CSIRT designati o istituiti allo scopo di contribuire allo sviluppo della fiducia e di promuovere una cooperazione operativa rapida ed efficace fra gli Stati membri.

Infine, la NIS 2 istituisce l’EU-CyCLONe una rete di rappresentanti delle autorità di gestione delle crisi informatiche degli Stati membri, anche in questo caso, allo scopo di sostenere una gestione coordinata a livello operativo degli incidenti e delle crisi di cybersecurity su vasta scala, nonché di garantire un continuo scambio di informazioni pertinenti tra gli Stati, le istituzioni, gli organi e gli organismi dell’Unione. Tra i compiti più importanti dell’EU-CyCLONe si annoverano quelli di:

• aumentare il livello di preparazione per la gestione di crisi e incidenti su vasta scala;
• sviluppare una conoscenza condivisa in merito agli incidenti e alle crisi su vasta scala;
• coordinare la gestione degli incidenti e delle crisi su vasta scala, sostenendo il processo decisionale politico in merito.

Le misure di gestione stabilite dalla NIS 2

Negli artt. 20 e 21 è rinvenibile la volontà del legislatore europeo di spostare il tema della cybersecurity da un tema meramente da addetti ai lavori a un tema d’interesse del top management delle imprese e delle pubbliche amministrazioni considerate “in perimetro”. In particolare, all’art. 20 si legge che gli organi di gestione dei soggetti essenziali e importanti devono approvare le misure di gestione dei rischi di cybersecurity previsti all’articolo successivo, ma soprattutto, che questi “organi di gestione” saranno ritenuti responsabili di qualsiasi violazione dell’art. 21. Gli organi di gestione sono, inoltre tenuti a seguire una formazione per acquisire conoscenze e competenze che permettano loro di individuare rischi e valutare le pratiche di gestione dei rischi di cybersicurezza e il loro impatto.

All’Art.21, la direttiva prevede un approccio “multirischio”, nell’adozione – da parte dei soggetti essenziali e importanti – di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete. E in particolare al par. 2 vengono elencati una serie di elementi minimi per la protezione di questi sistemi:

• a) politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
• b) gestione degli incidenti;
• c) continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
• d) sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
• e) sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
• f) strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersicurezza;
• g) pratiche di igiene informatica di base e formazione in materia di cybersicurezza;
• h) politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
• i) sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
• j) uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

Gli obblighi di segnalazione

L’art.23 disciplina gli obblighi di segnalazione e notifica di “incidenti significativi” alle autorità competenti e allo CSIRT, all’interno di un contesto estremamente operativo e dinamico: lo scopo, infatti, non è semplicemente quello di notificare l’avvenuto incidente all’autorità competente, ma è anche quello di contenere una problematica di entità potenzialmente nazionale e/o europea. Per questo la NIS 2 ha previsto uno schema a più fasi con tempistiche predefinite: entro 24 ore, da un incidente reputato significativo, ai sensi dell’art. 23 par. 3 della direttiva, deve essere inviato un early warning. Questo serve a notificare all’autorità competente che l’incidente viene sospettato essere il risultato di atti illegittimi o malevoli e può avere un impatto transfrontaliero. Entro le 72 ore dalla conoscenza dell’incidente deve essere prodotta, inoltre, un’analisi dettagliata del fatto.

Vigilanza e sanzioni

Le autorità competenti sono, inoltre, incaricate di monitorare affinché i singoli Stati membri adottino le misure necessarie a garantire il rispetto nella NIS 2 e, a loro volta, i Paesi hanno il compito di vigilare sul rispetto della direttiva. Nel caso in cui si comprovi una violazione della stessa, hanno la possibilità di imporre sanzioni amministrative pecuniarie.

Le misure di vigilanza a cui possono essere sottoposti i soggetti essenziali comprendono audit, ispezioni, richieste di informazioni, scansioni di sicurezza, richieste di dati che dimostrino l’attuazione delle politiche di cybersecurity. Per quanto riguarda le sanzioni amministrative pecuniarie, la nuova direttiva NIS distingue tra entità essenziali e importanti. Per quanto riguarda i soggetti essenziali, essa impone agli Stati membri di prevedere un certo livello di sanzioni amministrative pecuniarie, in particolare un importo massimo di almeno 10 milioni di euro o del 2 % del fatturato totale annuo mondiale dell’esercizio precedente, se superiore. Per quanto riguarda le entità importanti, la NIS 2 impone agli Stati membri di prevedere una sanzione pecuniaria massima pari ad almeno 7 milioni di euro o almeno all’1,4 % del fatturato totale annuo mondiale dell’esercizio precedente, se superiore.

Per di più, al fine di garantire una reale responsabilità per le misure di cybersicurezza implementate – e nel rispetto di quella volontà di traslare il tema della sicurezza informatica a punto di interesse degli organi di gestioni di imprese e pubbliche amministrazioni – la NIS 2 introduce delle disposizioni sulla responsabilità delle persone fisiche che detengono posizioni dirigenziali di altro livello nei soggetti che rientrano nell’ambito di applicazione della nuova direttiva.

Iter di recepimento

Abbiamo precedentemente accennato che il termine ultimo per approvare la norma di recepimento della NIS 2 è il 17 ottobre 2024. Come sostengono autorevoli esperti, gli Stati dell’UE hanno la tendenza ad attardarsi nel recepimento delle direttive, ma non in questo caso. La NIS 2, infatti, presenta due ordini di fattori a favore della sua veloce implementazione: il primo è un fattore procedurale, la direttiva non è altro che un’espansione di una normativa già recepita si tratta quindi di ragionare in una logica emendativa dell’esistente; il secondo è, invece, il forte stimolo da parte dell’Europa a implementare le misure aggiornate, a fronte di un orizzonte geopolitico sempre più instabile.
In Italia la direttiva 2022/2555 è stata presentata alla Camera dei deputati nel disegno di legge denominato “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2022-2023” (Atto Camera 1342), il 27 luglio 2023 e affidato all’esame in sede Referente della XIV Commissione “Politiche UE”, il 5 settembre 2023. Concluso l’esame in Commissione, il disegno di legge è stato approvato dall’assemblea il 20 dicembre 2023 e trasmesso all’altro ramo del Parlamento.
Il Senato, dopo aver affidato il testo all’esame della IV Commissione permanente “Politiche dell’Unione europea” in sede referente, il 21 dicembre 2023, ha approvato la legge di delega al governo mercoledì 14 febbraio 2024.