La Direttiva NIS 2016/1148 “sulla sicurezza delle reti e dei sistemi informativi” ha rappresentato il primo strumento concreto a livello comunitario per normare e disciplinare gli aspetti di sicurezza informatica delle aziende che erogano servizi ritenuti essenziali per le sorti del sistema economico e sociale di un paese membro dell’Unione Europea. Tale direttiva è stata recepita dai singoli stati. In Italia il primo passo è stato rappresentato dal Decreto Legislativo NIS (D. Lgs. 18 maggio, n. 65), entrato in vigore dal 24 giugno 2018.
Il quadro legislativo in fatto di sicurezza informatica è stato successivamente ampliato dalla Legge 4 agosto 2021, n. 109 recante “disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”, utile a creare le basi strumentali per attivare le misure e le opportunità previste dal PNRR (Piano Nazionale di Ripresa e Resilienza).
Tuttavia, anche il Decreto NIS pare essere avviato verso una rapida obsolescenza, a favore della nuova Direttiva NIS 2, naturale conseguenza dei traumatici eventi del 2020, quando la pandemia Covid-19 ha creato una brusca accelerazione del digitale, a tutto vantaggio dei criminali informatici, che non hanno tardato ad approfittarne.

Vediamo dunque quali sono le ragioni che hanno spinto la Commissione europea ad ampliare il perimetro normativo previsto nel 2016 e cosa devono aspettarsi le aziende dalla futura approvazione e dal recepimento che ne conseguirà.

Dalla NIS alla NIS 2: lo scenario di sicurezza informatica del new normal

I contenuti della Direttiva NIS hanno avuto un grande merito, riconosciuto in maniera esplicita dal testo della proposta della Direttiva NIS 2 nel catalizzare le azioni aprendo la strada ad un cambiamento di mentalità nei confronti della cybersicurezza, il che ha contribuito a creare il fertile per una ulteriore evoluzione.

Tuttavia, l’emergenza pandemica ha contribuito ad evidenziare i limiti di una direttiva che, per quanto potesse essere evoluta, al di là di alcuni elementi di immaturità esordiale, si è vista privare in maniera del tutto improvvisa dello scenario su cui era stata modellata. I flussi e le interazioni digitali sono stati profondamente stravolti e ciò ha significativamente acuito le divergenze tra i vari recepimenti a livello nazionale, che ne hanno spesso eccessivamente mitigato la portata propositiva.

Per convergere verso uno strumento realmente capace di dare una dimensione europea al tema della cibersecurity si è ben presto fatta strada la proposta della Direttiva NIS 2, il cui obiettivo dichiarato è stato quello di fare tesoro della prima esperienza, aggiornandola nelle logiche e nei contenuti dopo cinque anni dalla sua prima revisione. Sulla base di questa lineare premessa, appare evidente come la Direttiva NIS 2 sia destinata ad abrogare e sostituire l’attuale strumento entrato in vigore.

La direttiva NIS 2 non mira a contenere l’autonomia dei paesi che devono recepirla nei propri strumenti normativi, ma sulla base di tale prerogativa impone alcuni capisaldi essenziali:

  • Rideterminazione dell’ambito di applicazione, con conseguente ampliamento dello stesso;
  • Razionalizzazione e semplificazione dei requisiti minimi di sicurezza da garantire e degli obblighi di notifica degli incidenti informatici;
  • Rafforzamento delle attività di supervisione e applicazione della normativa a livello comunitario, con l’introduzione di nuovi attori preposti;
  • Maggior collaborazione tra gli stati membri con incentivi alla condivisione delle esperienze, ai fini di creare un’attività di coordinamento dotata di una maggior visibilità sul quadro delle minacce informatiche emergenti a livello comunitario.
  • Nuovi obblighi finalizzati a garantire una maggior sicurezza complessiva nell’ambito delle supply chain, estendendo il concetto di gestione del rischio e di valutazione delle vulnerabilità anche ai soggetti fornitori di un servizio assoggettato alla disciplina della Direttiva NIS 2.

Al di là della maggior articolazione dialettica, la spinta propositiva rispetto alla precedente NIS appare più che mai evidente.

NIS e NIS 2: cosa cambia

In attesa di conoscere i framework della Direttiva NIS 2, come abbiamo già precisato, risulta palese l’intenzione della Commissione europea di rafforzare il quadro normativa sulla sicurezza informatica, soprattutto per rendere più uniforme l’applicazione tra i vari stati membri, dove attualmente sussistono delle differenze troppo marcate per pensare di poter strutture un’effettiva governance a livello comunitario.

Un aspetto molto evidente è infatti costituito dalla volontà di istituire una rete europea di organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe) per ottenere una maggior condivisione delle informazioni e una miglior cooperazione tra le autorità dei singoli paesi membri.

Tali sinergie dovranno restituire un’organizzazione capace di reagire in maniera molto più strutturata alle minacce globali rispetto a quanto accade ora, dove gli effetti della risposta all’incidente di sicurezza informatica sono ancora troppo isolati e spesso finiscono per rimanere addirittura ignoti alla collettività.

Per condividere a livello comunitario le esperienze e le strategie messe in atto nei singoli paesi, verrà costituito un Gruppo di Cooperazione composto da vari attori, tra cui l’ENISA, che avrà il compito di redigere una serie di relazioni periodiche sullo stato della cybersicurezza a livello europeo.

Il Gruppo di Cooperazione avrà il ruolo super partes di gestire le valutazioni dei rischi relative alla sicurezza di determinati settori di attività, che si presume rientrino nel contesto delle infrastrutture critiche. Un ulteriore sforzo collaborativo è confermato dalla volontà di costituire una rete per la cooperazione degli CSIRT (Computer Security Incident Response Team) operanti a livello nazionale. Tale rete prevedere soprattutto un’attività di reportistica per avere una visibilità più ampia degli incidenti rilevati e le misure intraprese per mitigarli ed estinguerli.

Considerati i vari aggiornamenti che dovrebbero essere perfezionati nella versione finale della Direttiva NIS 2, le aziende coinvolte da tale provvedimento, che esamineremo nel corso del successivo paragrafo, sarebbero tenute ad osservare almeno i seguenti requisiti minimi, certamente ampliati rispetto alla precedente direttiva:

  • Analizzare e valutare i rischi di sicurezza dei sistemi informativi;
  • Gestire gli incidenti informatici: prevenzione, rilevamento, identificazione, contenimento, mitigazione e risposta agli incidenti (attività di incident response);
  • Assicurare la continuità di business e gestione delle crisi;
  • Garantire la sicurezza della supply chain attraverso il controllo dei requisiti di sicurezza dei fornitori della filiera;
  • Garantire la sicurezza nell’acquisizione, sviluppo e manutenzione di reti e sistemi informativi;
  • Garantire la sicurezza delle reti e sistemi informativi, attraverso attività di vulnerability assessement, penetration testing e similari;
  • Testare e valutare l’efficacia delle misure di gestione del rischio di sicurezza informatica.

Chi rientra nella Direttiva NIS 2?

Il perimetro di applicabilità delle Direttive NIS non coinvolge tutte le aziende pubbliche e private, ma si preoccupa di precisare i settori di attività soggetti alla disciplina delle norme relative alla sicurezza informatica.

La Direttiva NIS originale prevedeva espressamente la copertura di alcuni settori critici:

  • Infrastrutture digitali e provider di servizi digitali;
  • Energia, Oil and Gas;
  • Reti idriche;
  • Salute;
  • Trasporti;

A questi la Direttiva NIS 2 aggiunge i seguenti settori, completando alcune lacune evidenti nell’ambito delle infrastrutture critiche:

  • Pubblica Amministrazione;
  • Fornitori di reti e servizi per la comunicazione elettronica pubblica;
  • Gestione rifiuti;
  • Aerospace;
  • Prodotti critici (es. farmaci, dispositivi medicali, prodotti chimici, ecc.);
  • Servizi postali;
  • Filiera agro-alimentare;
  • Ulteriori piattaforme di servizi digitali (es. data center e social network)

In questo contesto, nella Direttiva NIS 2 vengono del tutto ridefinite due tipologie di aziende: essenziali ed importanti, in vece dei precedenti operatori di servizi essenziali e fornitori di servizi digitali.

Fermo restando che non è ancora stata diramata una classificazione, le entità essenziali potrebbero coincidere con gli ambiti dell’energia, dei trasporti, delle banche e istituti finanziari, dell’acqua potabile, delle acque reflue, delle infrastrutture digitali, della salute, dell’aerospace e della pubblica amministrazione. Le entità importanti dovrebbero residuamente essere assoggettabili con i servizi postali, la gestione dei rifiuti, l’industria chimica, l’industria agro-alimentare e le forniture digitali non comprese in quelle essenziali.

È possibile che, nel recepire a livello nazionale la direttiva europea, gli stati membri possano apportare alcune ulteriori specifiche per assoggettare le aziende essenziali ed importanti che rientrano sotto la loro giurisdizione, anche in merito a quali siano effettivamente le condizioni per rientrare nell’una o nell’altra categoria. I singoli stati potrebbero anche prevedere dei sistemi di certificazione per accertare la conformità degli enti pubblici o privati che operano in determinati contesti.

Al momento le disposizioni della Direttiva NIS 2, come del resto la versione originale, non comprenderebbero le PMI, anche se non sono esplicitamente escluse le piccole e medie imprese che esercitano un ruolo di esclusività nella fornitura di determinati servizi. Sono invece esplicitamente citate le PMI a vario titolo coinvolte nelle supply chain delle entità essenziali o importanti, nel contesto delle attività di controllo dell’intera filiera di sicurezza che è verrà introdotta proprio nella NIS 2.

In merito alle piccole e medie imprese, la Direttiva NIS 2 potrebbe lasciare ampio spazio decisionale ai paesi membri durante la fase di recepimento, molto probabilmente sulla base di alcune linee guida effettive a livello comunitario. Tali disposizioni dovrebbero essere previste all’interno del piano strategico di cybersicurezza nazionale. La tendenza appare piuttosto chiara.

Nonostante un approccio graduale, calibrato sulla base delle dimensioni degli attori coinvolti e sul peso strategico del settore di interesse, il fine ultimo sarà quello di estendere gli obblighi in materia di cybersicurezza a tutte le attività economiche. La Direttiva NIS 2 effettuerà certamente un passo concreto verso questa direzione.

L’obbligo di notifica degli incidenti di sicurezza informatica

Oltre agli obblighi nella gestione del rischio di sicurezza, la Direttiva NIS aveva introdotto l’obbligo di notifica degli incidenti alle autorità preposte. Tale disposizione verrà perfezionata nell’ambito della Direttiva NIS 2, che prevede per le aziende essenziali ed importanti l’obbligo di provvedere alla notifica di qualsiasi incidente rilevante.

In particolare, gli incidenti significativi, che devono essere oggetto di opportuna notifica alle autorità, sarebbero quelli in grado di provocare un’interruzione di servizio su un’infrastruttura critica o una evidente perdita finanziaria, anche nel caso in cui il danno non sia riferito all’azienda vittima dell’attacco, ma possa aver coinvolto soggetti terzi, provocando a loro volta perdite di beni materiali o immateriali.

Le prime disposizioni indicano in 24 ore il tempo limite che può intercorrere tra la notizia dell’incidente e la sua notifica, che deve contenere le indicazioni utili a descrivere in maniera sufficientemente dettagliata l’attacco e i primi esiti derivanti dall’investigazione attivata dai team di incident response. In qualsiasi momento le autorità preposte o il CSIRT possono richiedere ulteriori informazioni e relazioni più specifiche.

Dopo aver normalizzato la situazione successiva all’incidente, l’azienda colpita ha tempo 30 giorni per presentare una relazione finale, che dovrebbe contenere una descrizione dettagliata e completa di quanto accaduto e dei danni provocati sia direttamente che indirettamente all’azienda o a soggetti terzi. La relazione deve inoltre contenere una descrizione tecnica degli attacchi subiti, delle possibili concause dell’incidente e delle misure adottate per mitigare i suoi effetti.

Quanto abbiamo esposto rappresenta un quadro assolutamente provvisorio. Lo scenario non è ancora definito, per cui è lecito attendersi variazioni anche di un certo peso rispetto alla proposta che sta attualmente seguendo l’iter che porterà verso l’approvazione della direttiva NIS 2, ma l’obiettivo del legislatore appare sin d’ora molto chiaro.

NIS 2 e GDPR: sempre più facce della stessa medaglia

Uno dei fattori che salta maggiormente all’occhio esaminando le prime proposte contenutistiche della Direttiva NIS 2 è l’evidente allineamento nei confronti di quanto il GDPR ha già previsto per la protezione dei dati sensibili, ad esempio per quanto riguarda la condotta nei confronti dei fornitori, rendendo evidente il concetto di supply chain anche in termini di responsabilità dal punto di vista della sicurezza informatica.

Nel caso in cui il trattamento dei dati viene affidato a soggetti terzi, il GDPR prevede espressamente gli obblighi che i responsabili del trattamento devono assumere, ma dispone espressamente che l’appaltante verifichi i requisiti in termini di garanzie tecnologiche ed organizzative dei suoi fornitori. In altri termini, non vale il principio dello scarico di responsabilità e nel caso di un incidente può esservi una sodalità.

La Direttiva NIS2, con le sue precisazioni in merito alla supply chain, pare voler seguire lo stesso percorso.

Un’ulteriore analogia tra NIS 2 e GDPR traspare sin d’ora dal nuovo impianto sanzionatorio. Se la Direttiva NIS prevedeva azioni amministrative piuttosto blande, considerata la rilevanza strategica dei soggetti coinvolti, lo stesso non si può dire per quanto riguarda le previsioni del suo successore. Se il limite pecuniario delle sanzioni della Direttiva NIS prevedono un tetto di 150.000 Euro, la NIS 2 varia totalmente gli ordini di grandezza, prospettando addirittura 10 milioni di euro o il 2% del fatturato globale annuo, con preferenza nei confronti della situazione più gravosa per le casse delle aziende insolventi. Un evidente punto di contatto tra NIS e GDPR è dato dal fatto che se l’incidente di sicurezza provocasse un data breach, il contravventore rischierebbe una segnalazione all’Autorità Garante per la protezione dei dati personali, rischiando anche di incorrere nelle sanzioni comminate da quest’ultimo, qualora venisse contestata ed accertata la mancata conformità al GDPR.

Un ulteriore aspetto chiave della proposta di Direttiva NIS 2 appare il tentativo di semplificare i riferimenti di giurisdizione. La logica suggerirebbe che le entità essenziali ed importanti siano tenute a rispettare le leggi dei paesi dove erogano i propri servizi. All’atto pratico, ciò si tradurrebbe in una notevole complessità, se non addirittura in evidenti conflitti causati dal sovrapporsi di più giurisdizioni, al punto da spingere verso la ricerca di soluzioni alternative.

Una delle prime proposte della Direttiva NIS 2 prevederebbe invece, almeno per alcuni servizi, che andranno precisati nel dettaglio, di collocare la giurisdizione in maniera esclusiva nello stato in cui l’azienda ha il proprio principale stabilimento, già identificato quale il luogo in cui viene effettuata la gestione del rischio di sicurezza informatica. Nel caso in cui questi dovesse ricadere in un paese extra UE, il criterio viene traslato verso il paese europeo in cui l’azienda vanta lo stabilimento con il maggior numero di dipendenti, a prescindere dalle funzioni previste.

Restringere il campo a livello di giurisdizione dovrebbe snellire e agevolare le procedure per quelle realtà chiamate a fornire servizi a livello internazionale, come i data center, i CSP (Cloud Service Provider), i TLD name registries, i CDN provider, i DNS service provider e molti altri fornitori di servizi digitali accessibili grazie alla rete internet, che supera di fatto i confini nazionali.

Cosa devono fare le aziende mentre attendono la Direttiva NIS 2

A scanso di equivoci, è presto per dare una risposta certa in merito alle possibili attività preparatorie, nel senso che diverse cose potranno ancora variare nel periodo che ci separa dall’approvazione finale della Direttiva NIS 2 e dal suo recepimento negli strumenti normativi dei singoli paesi membri dell’Unione europea.

Un certo ottimismo traspare dal fatto che la maggior precisione delle indicazioni contenute nel testo della proposta lascia presagire un recepimento più semplice ed omogeneo rispetto a quanto avvenuto nel caso della Direttiva NIS originale.

Tale fase sarà tuttavia cruciale nel determinare l’effettivo onere che la nuova normativa comporterà nei confronti delle aziende assoggettate al rispetto dei suoi obblighi, ma se le intenzioni troveranno un riscontro fattivo, la maggior collaborazione a livello continentale potrebbe sensibilmente agevolare il contrasto delle cause degli incidenti più gravi, con un conseguenti benefici e risparmi per tutte le realtà coinvolte su scala globale.

In questo contesto appare scontato come i requisiti minimi di sicurezza debbano in generale subire un deciso incremento rispetto a quanto previsto dalla prima revisione della Direttiva NIS. Ora più che mai si prospetta l’opportunità da parte delle aziende di seguire un percorso lungo due direzioni sempre più convergenti. Oltre all’approccio reattivo che mira a mitigare, contenere e rispondere all’incidente informatico si rende sempre più essenziale un approccio proattivo, mirato a prevenire l’incidente attraverso una serie di attività congiunte, che spaziano dal vulnerability assessment alla formazione dei dipendenti in materia di sicurezza informatica, in modo che non cadano puntualmente in errori facilmente evitabili.

Direttiva NIS 2: la nuova frontiera della Cybersicurezza ultima modifica: 2020-12-06T11:25:41+01:00 da Francesco La Trofa

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui