Lo scorso 10 novembre, il Parlamento Europeo ha approvato e introdotto la Direttiva NIS2 che sostituirà l’attuale direttiva sulla sicurezza delle reti e dei sistemi informativi, introducendo nuove norme che mirano a rafforzare la sicurezza informatica dell’Unione nei settori chiave, come energia, trasporti, salute, banche e infrastrutture digitali.
Sempre di più, da qualche anno a questa parte, la protezione dalle minacce informatiche è divenuta essenziale per il buon funzionamento della società.
Gli attacchi informatici stanno aumentando in maniera allarmante sia di numero che di intensità, come dimostrano i dati dell’ultimo rapporto Clusit. Non stupisce pertanto che la nuova direttiva NIS2 (Network and Information System Security) abbia rafforzato gli obblighi in materia di sicurezza dei dati, dei sistemi e delle reti, aumentando le responsabilità dei soggetti interessati.
La direttiva NIS, lo ricordiamo, è il primo atto legislativo a livello europeo che concerne la sicurezza informatica. Ha previsto l’attuazione di misure giuridiche volte a incrementare il livello generale di cybersicurezza nell’UE attraverso la cooperazione degli Stati membri.
Le novità della Direttiva NIS2
La direttiva NIS2 si articola su quattro principi chiave:
- sicurezza dei dati personali;
- potenziamento degli organi di supervisione;
- requisiti minimi di sicurezza e obbligatorietà di notifica degli incidenti informatici;
- rafforzamento della consapevolezza di gestione del rischio e valutazione delle vulnerabilità a tutta la supply chain.
In dettaglio, con la NIS 2 si istituirà formalmente la rete europea dell’organizzazione di collegamento per le crisi informatiche, Eu–CyClone, che sosterrà la gestione coordinata degli incidenti di sicurezza informatica su larga scala.
Infatti, la novità principale della Direttiva NIS2 riguarda l’ampliamento delle responsabilità e del campo di applicazione. Se con la prima Direttiva NIS i principali destinatari della misura erano i cosiddetti Operatori dei Servizi Essenziali, cioè quelle aziende che, secondo la definizione dell’Anssi, “forniscono un servizio essenziale la cui interruzione avrebbe un impatto significativo sull’andamento dell’economia o della società”, con la nuova Direttiva si ampliano i settori di attività per coinvolgere un numero e una varietà sempre maggiore di organizzazioni. Essi sono, nello specifico:
- pubbliche amministrazioni;
- finanza;
- service provider pubblici di comunicazione elettronica;
- provider di servizi digitali;
- aerospace;
- rifiuti;
- settore sanitario;
- filiera agro-alimentare;
- servizi postali e di corriere;
- fornitori del trattamento delle acque reflue e la gestione dei rifiuti;
- chi opera nella fabbricazione di prodotti essenziali.
Restano esclusi parlamenti, banche centrali e tutti gli enti che svolgono attività nei settori della difesa, sicurezza nazionale, forze dell’ordine e magistratura.
È importante che sia stato ampliato il campo di applicazione per includere nuovi settori e servizi. Tutto questo consentirà un approccio alla cybersicurezza armonizzato e più trasversale. In materia di cybersecurity, verranno proposti ulteriori strumenti che rafforzeranno la nostra capacità collettiva di rispondere alle minacce informatiche, dalla prevenzione alla individuazione di minacce concrete già esistenti”,
ha dichiarato Margrethe Vestager, vicepresidente esecutivo della Commissione europea con delega alla Concorrenza.
Le PMI che erano rimaste escluse dalla Direttiva NIS originale, potrebbero ora ritrovarsi nella situazione di dover rispondere nel caso in cui si verifichino delle violazioni dei dati e dei sistemi in cui hanno voce in capitolo per via di un contratto di fornitura. Quindi, nel caso si verificasse un incidente di sicurezza informatica, a risponderne non sarà più soltanto l’azienda titolare del servizio, ma anche gli altri stakeholder che intervengono lungo la supply chain.
Tutte le industrie e le aziende dei settori citati dovranno garantire requisiti minimi quali:
- analisi e valutazione dei rischi di sicurezza dei sistemi informativi;
- la gestione continua tramite sistemi di monitoraggio e piani di incident response;
- la verifica regolare dell’efficacia delle misure di gestione del rischio;
- la compliance ai requisiti di sicurezza per tutti gli attori coinvolti nella relativa supply chain.
Gli obiettivi della Direttiva NIS2
La Direttiva NIS2 mira quindi a rafforzare i requisiti di sicurezza, ad affrontare la sicurezza delle catene di approvvigionamento, semplificare gli obblighi di segnalazione e introdurre misure di vigilanza più rigorose e requisiti di applicazione più severi, comprese sanzioni armonizzate in tutta l’UE.
Gli Stati membri, pertanto, saranno responsabili di assicurarsi che le organizzazioni rientranti nell’ambito di applicazione delle nuove norme, adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza dei sistemi di rete e di informazione che tali soggetti utilizzano per le loro operazioni o per la fornitura dei loro servizi.
Secondo la Direttiva, queste misure organizzative devono comprendere:
- policy riguardante l’analisi sui rischi e sulla sicurezza dei sistemi informativi;
- sistemi di business continuity (la gestione dei backup e il disaster recovery) e la gestione delle crisi;
- misure di gestione della sicurezza della supply chain;
- sistemi di gestione degli incidenti;
- procedure e policy volte a valutare l’efficacia delle misure di gestione del rischio di cybersecurity;
- la sicurezza nell’acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità;
- pratiche di igiene informatica di base (regole fondamentali per garantire la cybersecurity);
- formazione in materia di sicurezza informatica;
- procedure e policy relative all’uso della crittografia e della cifratura crittografia;
- l’uso di soluzioni di autenticazione a più fattori (es. multi-factor authentication) o di autenticazione continua, di sistemi di comunicazione di emergenza protetti all’interno dell’entità;
- misure sulla sicurezza delle risorse umane, le politiche di controllo degli accessi e la gestione degli asset.
Gli attacchi malevoli e l’obbligo di notifica
Il ransomware e le altre minacce informatiche hanno predato l’Europa per troppo tempo. Dobbiamo agire per rendere le nostre imprese, i nostri governi e la nostra società più resistenti alle operazioni informatiche ostili.
Questa direttiva europea aiuterà circa 160.000 enti a rafforzare la propria sicurezza e a rendere l’Europa un luogo sicuro in cui vivere e lavorare. Inoltre, consentirà di condividere le informazioni con il settore privato e con i partner di tutto il mondo. Se veniamo attaccati su scala industriale, dobbiamo rispondere su scala industriale. Questa è la migliore legislazione sulla sicurezza informatica che il Continente abbia mai visto, perché offre all’Europa una gestione proattiva degli incidenti informatici e orientata al servizio,
ha dichiarato il relatore Bart Groothuis.
La nuova direttiva prevede, per qualsiasi incidente che può avere un impatto significativo sulla fornitura del servizio, un obbligo di notifica al CSIRT e alle autorità competenti.
Il termine della notifica, specificato nella direttiva, è di 24 ore dalla conoscenza per l’invio di un “early warning” che deve essere seguito dalla notifica di una analisi dettagliata dell’incidente entro 72 ore dalla conoscenza.
Le nuove norme stabiliscono che la notifica debba avvenire a beneficio dei destinatari del servizio impattato dal cyber attacco, indicando inoltre le misure che detti destinatari sono in grado di adottare per reagire all’attacco.
Prossimi step
L’accordo – sulla nuova direttiva per la cybersecurity europea– è un risultato importantissimo, ma da solo non basta, ha commentato Margrethe Vestager. Bisognerà essere ulteriormente proattivi sui fronti più urgenti.
Concretamente, la Direttica Europea vorrebbe aumentare la cooperazione su tre fronti: sul piano militare tra gli Stati, tra ambito civile e militare e tra settore pubblico e privato.
L’attuazione della direttiva Nis 2 richiede tempo, secondo la Vestager, per questo al momento si sta chiedendo agli Stati membri di applicare già volontariamente questi livelli di sicurezza.
Dopo l’approvazione del Parlamento, anche il Consiglio deve adottare formalmente la legge prima che venga pubblicata nella Gazzetta Ufficiale dell’UE e entri cosi in vigore.
Dopo l’entrata in vigore, gli Stati membri avranno 21 mesi di tempo per recepire le disposizioni nella loro legislazione nazionale.