Direttiva NIS2
La direttiva NIS — la prima normativa dell'UE in materia di cibersicurezza — è il primo strumento orizzontale del mercato interno volto a migliorare la resilienza delle reti e dei sistemi informativi nell'Unione contro i rischi di cibersicurezza. Nonostante i suoi notevoli risultati, la direttiva NIS ha mostrato alcuni limiti. La trasformazione digitale della società, intensificata dalla crisi COVID-19, ha ampliato il panorama delle minacce. Sono emerse nuove sfide, che richiedono risposte adeguate e innovative.
Per poter analizzare l'impatto e individuare le carenze della direttiva NIS, la Commissione ha effettuato un'ampia consultazione delle parti interessate. La Commissione ha individuato le seguenti questioni principali:
- livello insufficiente di ciberresilienza delle imprese che operano nell'UE
- resilienza incoerente tra Stati membri e settori
- insufficiente comprensione comune delle principali minacce e sfide tra gli Stati membri
- mancanza di risposta congiunta alle crisi.
Di conseguenza, e al fine di rispondere alle crescenti minacce dovute alla digitalizzazione e all'interconnessione, nel dicembre 2020 la Commissione ha proposto una serie riveduta di norme adeguate alle esigenze future volte a rafforzare il livello di ciberresilienza nell'Unione, su cui i colegislatori hanno raggiunto un accordo politico il 13 maggio 2022 e hanno formalmente adottato la nuova direttiva alla fine di novembre 2022.
Dopo la crisi della COVID-19, l'economia europea è cresciuta più di quanto non mai dipendesse dalle soluzioni digitali. I settori e i servizi stanno diventando sempre più interconnessi e interdipendenti. Ciò ha portato a un panorama di minacce alla sicurezza informatica in crescita e in rapida evoluzione: qualsiasi perturbazione, anche quella inizialmente limitata a un'entità o a un settore, può avere effetti a cascata più in generale, con potenziali effetti negativi di vasta portata e duraturi sulla fornitura di servizi in tutto il mercato interno.
La pandemia di COVID-19 ha dimostrato la vulnerabilità delle nostre società sempre più interdipendenti di fronte a rischi imprevisti. Ha intensificato le questioni già emergenti nell'attuale direttiva NIS e ha servito da catalizzatore per la sua revisione. Una modifica concreta della direttiva NIS in considerazione di questa crisi è stata quella di ampliare l'ambito di applicazione della nuova direttiva, includendo elementi più specifici nel settore sanitario, come gli enti che svolgono attività di ricerca e sviluppo dei medicinali.
La direttiva NIS2 prevede misure giuridiche per rafforzare il livello globale di cibersicurezza nell'UE, al fine di contribuire al funzionamento generale del mercato interno. Si basa sui tre pilastri principali che sono stati alla base della direttiva NIS1:
- Sulla base della strategia NIS1 in materia di sicurezza delle reti e dei sistemi informativi, al fine di conseguire un elevato livello di preparazione degli Stati membri, la direttiva NIS2 impone agli Stati membri di adottare una strategia nazionale in materia di cibersicurezza. Gli Stati membri sono inoltre tenuti a designare squadre nazionali di risposta agli incidenti di sicurezza informatica (CSIRT), responsabili della gestione dei rischi e degli incidenti, un'autorità nazionale competente in materia di cibersicurezza e un punto di contatto unico (SPOC). Lo SPOC deve esercitare una funzione di collegamento per garantire la cooperazione transfrontaliera tra le autorità degli Stati membri con le autorità competenti di altri Stati membri e, se del caso, con la Commissione e l'ENISA, nonché per garantire la cooperazione intersettoriale con altre autorità competenti del suo Stato membro.
- La direttiva NIS2 prosegue inoltre il quadro NIS1 che istituisce il gruppo di cooperazione NIS per sostenere e facilitare la cooperazione strategica e lo scambio di informazioni tra gli Stati membri e la rete CSIRT, che promuove una cooperazione operativa rapida ed efficace tra i CSIRT nazionali.
- La direttiva NIS1 garantisce l'adozione di misure di cibersicurezza in sette settori essenziali per la nostra economia e società e che dipendono fortemente dalle TIC, come l'energia, i trasporti, le infrastrutture bancarie, dei mercati finanziari, l'acqua potabile, l'assistenza sanitaria e le infrastrutture digitali.
Gli enti pubblici e privati identificati dagli Stati membri come operatori di servizi essenziali (OES) in questi settori sono tenuti a effettuare una valutazione del rischio di cibersicurezza e a mettere in atto misure di sicurezza adeguate e proporzionate. Sono tenuti a notificare gli incidenti gravi alle autorità competenti. Inoltre, anche i fornitori di servizi digitali chiave (fornitori di servizi digitali o DSP), come motori di ricerca, servizi di cloud computing e mercati online, devono rispettare gli obblighi di sicurezza e notifica previsti dalla direttiva. Allo stesso tempo, questi ultimi sono soggetti ad un cosiddetto regime normativo "light-touch", il che implica che tali soggetti non siano soggetti a misure di vigilanza ex ante.
La direttiva NIS2 amplia significativamente l'ambito di applicazione dei settori e introduce una soglia dimensionale per definire quali entità rientrano nel suo ambito di applicazione e sarebbe tenuta a segnalare incidenti significativi di cibersicurezza alle autorità nazionali competenti.
La direttiva NIS2 mira a colmare le carenze delle norme precedenti, ad adattarla alle esigenze attuali e a renderla adeguata alle esigenze future.
A tal fine, la direttiva amplia il campo di applicazione delle norme precedenti aggiungendo nuovi settori in base al loro grado di digitalizzazione e interconnessione e alla loro importanza per l'economia e la società, introducendo una chiara regola della soglia di dimensione, il che significa che tutte le imprese di medie e grandi dimensioni in settori selezionati saranno incluse nel campo di applicazione. Allo stesso tempo, lascia agli Stati membri una certa discrezionalità nell'individuare entità più piccole con un elevato profilo di rischio per la sicurezza, che dovrebbero essere coperte anche dagli obblighi della nuova direttiva.
La nuova direttiva elimina inoltre la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali. Le entità sarebbero classificate in base alla loro importanza e suddivise in due categorie: soggetti essenziali e importanti, che saranno soggetti a diversi regimi di vigilanza.
Rafforza e semplifica gli obblighi di sicurezza e comunicazione per le imprese imponendo un approccio di gestione del rischio, che fornisce un elenco minimo di elementi di sicurezza di base che devono essere applicati. La nuova direttiva introduce disposizioni più precise sul processo di segnalazione degli incidenti, sul contenuto delle relazioni e sulle scadenze.
Inoltre, NIS2 affronta la sicurezza delle catene di approvvigionamento e le relazioni con i fornitori imponendo alle singole imprese di affrontare i rischi di cibersicurezza nelle catene di approvvigionamento e nelle relazioni con i fornitori. A livello europeo, la direttiva rafforza la cibersicurezza della catena di approvvigionamento per le tecnologie chiave dell'informazione e della comunicazione. Gli Stati membri, in collaborazione con la Commissione e l'ENISA, possono effettuare valutazioni coordinate a livello dell'Unione dei rischi per la sicurezza delle catene di approvvigionamento critiche, sulla base dell'approccio positivo adottato nel contesto della raccomandazione della Commissione sulla cibersicurezza delle reti 5G.
La direttiva introduce misure di vigilanza più rigorose per le autorità nazionali, requisiti di applicazione più rigorosi e mira ad armonizzare i regimi sanzionatori in tutti gli Stati membri.
Rafforza inoltre il ruolo del gruppo di cooperazione nella definizione delle decisioni strategiche e aumenta la condivisione delle informazioni e la cooperazione tra le autorità degli Stati membri. Rafforza inoltre la cooperazione operativa all'interno della rete CSIRT e istituisce la rete di organizzazioni europee di collegamento per le crisi informatiche (EU-CyCLONe) per sostenere la gestione coordinata degli incidenti e delle crisi di cibersicurezza su larga scala.
NIS2 istituisce inoltre un quadro di base con attori chiave responsabili in materia di divulgazione coordinata delle vulnerabilità per le vulnerabilità recentemente scoperte in tutta l'UE e crea una banca dati delle vulnerabilità dell'UE per le vulnerabilità note al pubblico nei prodotti TIC e nei servizi TIC, che sarà gestita e gestita dall'agenzia dell'UE per la cibersicurezza (ENISA).
Il NIS2 riguarda le entità dei seguenti settori:
Settori di elevata criticità: energia (elettricità, teleriscaldamento e teleraffreddamento, petrolio, gas e idrogeno); trasporti (aria, ferrovia, acqua e strada); banche; infrastrutture dei mercati finanziari; salute, compresa la fabbricazione di prodotti farmaceutici, compresi i vaccini; acqua potabile; acque reflue; infrastruttura digitale (punti di scambio Internet; Fornitori di servizi DNS; Registri dei nomi di TLD; fornitori di servizi di cloud computing; fornitori di servizi di centro dati; reti di distribuzione dei contenuti; prestatori di servizi fiduciari; fornitori di reti pubbliche di comunicazione elettronica e servizi di comunicazione elettronica accessibili al pubblico); Gestione dei servizi TIC (fornitori di servizi gestiti e fornitori di servizi di sicurezza gestiti), pubblica amministrazione e spazio.
Altri settori critici: servizi postali e di corriere; gestione dei rifiuti; prodotti chimici; alimenti; fabbricazione di dispositivi medici, computer ed elettronica, macchine e attrezzature, veicoli a motore, rimorchi e semirimorchi e altre attrezzature di trasporto; fornitori digitali (mercati online, motori di ricerca online e piattaforme di servizi di social networking) e organizzazioni di ricerca.
La valutazione delle norme vigenti in materia di obblighi di sicurezza e di segnalazione degli incidenti ha dimostrato che in alcuni casi gli Stati membri hanno attuato tali requisiti in modo molto diverso. Ciò ha creato un onere aggiuntivo per le imprese che operano in più di uno Stato membro.
Inoltre, per quanto riguarda i requisiti di sicurezza informatica, vogliamo essere sicuri che tutte le aziende affrontino il necessario insieme di elementi fondamentali nelle loro politiche di gestione del rischio di cibersicurezza.
Per questo motivo, NIS2 include un elenco di 10 elementi chiave che tutte le società devono affrontare o attuare nell'ambito delle misure che adottano, tra cui la gestione degli incidenti, la sicurezza della catena di approvvigionamento, la gestione delle vulnerabilità e la divulgazione, l'uso della crittografia e, se del caso, la crittografia.
Quando si tratta di segnalazione di incidenti, dobbiamo trovare il giusto equilibrio tra la necessità di una segnalazione rapida al fine di evitare la potenziale diffusione degli incidenti e la necessità di una segnalazione approfondita per trarre preziosi insegnamenti tratti dai singoli incidenti. La nuova direttiva prevede un approccio multifase alla segnalazione degli incidenti. Le imprese interessate hanno 24 ore dal momento in cui vengono a conoscenza di un incidente per presentare un allarme rapido al CSIRT o all'autorità nazionale competente che consentirebbe loro anche di chiedere assistenza (orientamento o consulenza operativa sull'attuazione di possibili misure di mitigazione) se lo richiedono. L'allarme rapido dovrebbe essere seguito da una notifica di incidente entro 72 ore dalla presa di conoscenza dell'incidente e da una relazione finale non oltre un mese dopo.
La nuova direttiva NIS pone la vigilanza e l'applicazione al centro dei compiti delle autorità competenti e stabilisce un quadro coerente per tutte le attività di vigilanza e applicazione in tutti gli Stati membri.
Al fine di rafforzare la vigilanza che contribuisce a garantire l'effettiva conformità, la NIS2 prevede un elenco minimo di mezzi di vigilanza attraverso i quali le autorità competenti possono vigilare su soggetti essenziali e importanti. Questi includono audit periodici e mirati, controlli in loco e fuori sede, richiesta di informazioni e accesso a documenti o prove.
Inoltre, la nuova direttiva stabilisce una differenziazione dei regimi di vigilanza tra entità essenziali e importanti, al fine di garantire un giusto equilibrio degli obblighi sia per le entità che per le autorità competenti.
Per quantoriguarda l'applicazione delle norme, finora vi è stata una generale riluttanza tra gli Stati membri ad applicare sanzioni ai soggetti che non hanno messo in atto misure di sicurezza o segnalare incidenti. Ciò può avere conseguenze negative per la ciberresilienza delle entità. Al fine di rendere efficace l'applicazione delle norme, la nuova direttiva istituisce un quadro coerente per le sanzioni in tutta l'Unione. Stabilisce pertanto un elenco minimo di sanzioni amministrative in caso di violazione degli obblighi di gestione e comunicazione dei rischi di cibersicurezza stabiliti nella direttiva NIS2. Tali sanzioni comprendono istruzioni vincolanti, l'ordine di attuare le raccomandazioni di un audit di sicurezza, l'ordine di allineare le misure di sicurezza ai requisiti NIS e le sanzioni amministrative pecuniarie. Per quanto riguarda le sanzioni amministrative pecuniarie, la nuova direttiva NIS distingue tra entità essenziali e importanti. Per quanto riguarda i soggetti essenziali, essa impone agli Stati membri di prevedere un certo livello di sanzioni amministrative pecuniarie, in particolare un importo massimo di almeno 10 000 000 EUR o del 2 % del fatturato totale annuo mondiale dell'esercizio precedente, se superiore. Per quanto riguarda le entità importanti, la NIS2 impone agli Stati membri di prevedere una sanzione pecuniaria massima pari ad almeno 7 000 000 EUR o almeno all'1,4 % del fatturato totale annuo mondiale dell'esercizio precedente, se superiore.
Nell'esercizio dei loro poteri di esecuzione, le autorità competenti dovrebbero tenere debitamente conto delle circostanze particolari di ciascun caso, quali la natura, la gravità e la durata dell'infrazione, il danno causato o le perdite subite, il carattere intenzionale o negligente dell'infrazione.
Al fine di garantire una reale responsabilità per le misure di cibersicurezza a livello organizzativo, NIS2 introduce disposizioni sulla responsabilità delle persone fisiche che detengono posizioni dirigenziali di alto livello nei soggetti che rientrano nell'ambito di applicazione della nuova direttiva NIS.
Le nuove norme migliorano il modo in cui l'UE previene, gestisce e risponde agli incidenti e alle crisi di cibersicurezza su vasta scala. Lo fanno introducendo responsabilità chiare, una pianificazione adeguata e una maggiore cooperazione dell'UE. La NIS2 impone agli Stati membri di nominare le autorità nazionali responsabili della gestione delle crisi informatiche, di introdurre piani nazionali su larga scala in materia di incidenti e di risposta alle crisi in materia di cibersicurezza e di istituire la rete di organizzazioni europee di collegamento per le crisi informatiche (EU-CYCLONe) per sostenere la gestione coordinata degli incidenti e delle crisi di cibersicurezza su larga scala a livello operativo. Questa rete è una componente chiave che contribuisce all'istituzione del quadro dell'UE per la gestione delle crisi informatiche delineato dalla Commissione nel 2017 con la raccomandazione sulla risposta coordinata agli incidenti e alle crisi su vasta scala.
Di norma, i soggetti essenziali e importanti sono considerati sotto la giurisdizione dello Stato membro in cui sono stabiliti. Se l'entità è stabilita in più di uno Stato membro, dovrebbe rientrare nella giurisdizione di ciascuno di tali Stati membri. Le autorità competenti ciascuno di questi Stati membri dovrebbero cooperare, prestarsi reciproca assistenza reciproca e, se del caso, svolgere azioni di vigilanza congiunte. Ci sono diverse eccezioni a questa regola:
- i fornitori di reti o di fornitori pubblici di comunicazioni elettroniche o di servizi di comunicazione elettronica accessibili al pubblico rientrerebbero nella giurisdizione dello Stato membro in cui forniscono i loro servizi.
- glienti della pubblica amministrazione rientrerebbero nella giurisdizione dello Stato membro che li ha stabiliti.
- alcuni tipi di entità sarebbero soggetti alla giurisdizione dello Stato membro in cui hanno lo stabilimento principale nell'Unione. Tali entità comprendono i fornitori di servizi di sistemi di nomi di dominio, i registri dei nomi di dominio di primo livello, i soggetti che forniscono servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione di contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestita, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di social networking. Ciò per garantire che tali soggetti non si trovino ad affrontare una moltitudine di requisiti giuridici diversi, in quanto forniscono servizi transfrontalieri in misura particolarmente elevata. Ai fini di una vigilanza efficace, questi tipi di entità saranno tenuti dagli Stati membri a notificare, tra l'altro, se lo stabilimento principale dell'entità è lo stabilimento principale dell'entità nonché gli altri suoi istituti giuridici nell'Unione o, se non stabilito nell'Unione, il luogo in cui è designato il rappresentante dell'entità. L'ENISA sarebbe tenuta a creare e mantenere un registro contenente le informazioni fornite su tale base dagli Stati membri.
Lacooperazione dell'UE è portata avanti consentendo agli Stati membri di agire congiuntamente e affrontare i rischi emergenti per la sicurezza posti dalla trasformazione digitale in corso.
Più specificamente, gli Stati membri potranno controllare congiuntamente l'attuazione delle norme dell'UE e coadiuvarsi reciprocamente in caso di pratiche scorrette transfrontaliere, avviare un dialogo più strutturato con il settore privato e coordinare la divulgazione delle vulnerabilità riscontrate nei software e nell'hardware venduti in tutto il mercato interno. Saranno inoltre in grado di lavorare in modo coordinato per valutare i rischi per la sicurezza e le minacce legate alle nuove tecnologie, come fatto per la prima volta con il 5G.
Gli Stati membri si avvarranno della cooperazione dell'UE per migliorare le capacità nazionali attraverso scambi di personale tra autorità e revisioni inter pares. I gruppi esistenti, in particolare il gruppo di cooperazione che riunisce le autorità nazionali in materia di cibersicurezza e la rete di squadre di risposta agli incidenti di sicurezza informatica (CSIRT) contribuiranno a far progredire la cooperazione, rispettivamente a livello strategico e tecnico.
La direttiva NIS2 è strettamente collegata ad altre due iniziative, la direttiva sulla resilienza delle entità critiche (CER) e il regolamento sulla resilienza operativa digitale per il settore finanziario (legge sulla resilienza operativa digitale, DORA).
L'ambito di applicazione della direttiva NIS 2 e della direttiva sulla resilienza dei soggetti critici (direttiva CER) è stato in larga misura allineato per garantire che la resilienza fisica e cibernetica dei soggetti critici sia affrontata in modo globale. Anche i soggetti individuati come soggetti critici ai sensi della direttiva CER saranno soggetti agli obblighi in materia di cibersicurezza di cui alla direttiva NIS2. Inoltre, le autorità nazionali competenti ai sensi delle direttive CER e NIS2 devono cooperare e scambiarsi periodicamente informazioni pertinenti, ad esempio sui rischi, le minacce informatiche e gli incidenti, nonché sui rischi, le minacce e gli incidenti non informatici. Il gruppo di cooperazione nell'ambito della NIS2 dovrà riunirsi periodicamente e almeno una volta all'anno con il gruppo per la resilienza delle entità critiche istituito a norma della direttiva CER.
Per quantoriguarda il settore finanziario, mentre la nuova direttiva NIS comprende gli enti creditizi, i gestori delle sedi di negoziazione e le controparti centrali che rientrano nel suo ambito di applicazione, DORA si applicherà a tali soggetti per quanto riguarda la gestione del rischio di cibersicurezza e gli obblighi di segnalazione. Allo stesso tempo, è importante mantenere una forte relazione per lo scambio di informazioni tra il settore finanziario e gli altri settori coperti dalla NSI 2. A tal fine, nell'ambito del DORA, le autorità europee di vigilanza (AEV) per il settore finanziario e le autorità nazionali competenti del settore finanziario potrebbero partecipare alle discussioni del gruppo di cooperazione NIS. Inoltre, le autorità competenti della DORA sarebbero in grado di consultare e condividere le informazioni pertinenti con il punto di contatto unico (SPOC) e i CSIRT istituiti nell'ambito dei NIS2. Le autorità competenti, gli SPOC o i CSIRT istituiti nell'ambito del sistema NIS2 riceveranno anche informazioni dettagliate sui gravi incidenti connessi alle TIC da parte delle autorità competenti nell'ambito del DORA. Inoltre, gli Stati membri dovrebbero continuare a includere il settore finanziario nelle loro strategie di cibersicurezza e i CSIRT nazionali possono coprire il settore finanziario nelle loro attività.
Gli Stati membri dovranno recepire la direttiva entro il 17 ottobre 2024 (21 mesi dall'entrata in vigore della direttiva NIS2). La Commissione deve quindi riesaminare periodicamente il funzionamento della direttiva e riferire per la prima volta al Parlamento e al Consiglio entro il 17 ottobre 2027.