La Direttiva NIS 2 rafforza le misure sulla sicurezza delle reti e dei sistemi informativi nell’Unione Europea

Lo scorso 10 novembre 2022, il Parlamento Europeo ha approvato a larga maggioranza la Direttiva NIS 2 (Network and Information System Security). Rispetto alla precedente NIS 2016/1148, di cui rappresenta il continuo, la nuova direttiva amplia gli obblighi in materia di cyber sicurezza e rafforza la responsabilità degli attori coinvolti.

 

La Direttiva NIS 2016/1148

Prima di vedere le novità introdotte da NIS 2 è bene ricordare i contenuti della precedente NIS 2016/1148.

La Direttiva NIS fu pensata per rafforzare e omogeneizzare le misure in materia di sicurezza delle informazioni, delle reti e dei sistemi sull’intero territorio UE. L’obiettivo era assicurare la continuità di quei servizi fondamentali a livello civile, sociale ed economico anche in caso di attacco informatico, in tutta Europa. La Direttiva si applicava a due tipologie di soggetti:
1) Gli operatori dei servizi essenziali (OES), ovvero aziende generalmente di grandi dimensioni impegnate nell’erogazione di servizi quali acqua potabile, energia, sanità, trasporti, infrastrutture del mercato bancario e finanziario.
2) I fornitori di servizi digitali (FSD), ovvero aziende che offrono servizi a persone «dietro compenso, a distanza, per via elettronica e su richiesta individuale di un destinatario». Fanno parte di questa categoria i motori di ricerca, i servizi di cloud computing, le piattaforme di commercio elettronico (e-commerce).
La Direttiva non si applicava né agli FSD di piccole dimensioni né alle aziende con meno di 50 dipendenti e con un fatturato annuo inferiore a 10 milioni di euro.

Conformità alla Direttiva NIS

La precedente direttiva chiedeva a OES e FSD di:

  • adottare misure tecniche e organizzative per mettere in sicurezza le proprie reti e i propri sistemi informatici; 
  • rimanere aggiornati sugli sviluppi in materia di sicurezza informatica e porre attenzione ai potenziali rischi insiti nei propri sistemi;
  • adottare misure utili a prevenire incidenti o almeno minimizzarne gli effetti in modo da garantire la continuità del servizio;
  • comunicare all’autorità competente senza ingiustificato ritardo gli eventuali incidenti informaticicapaci di impattare sulla continuità del servizio.

In altre parole, a OES e FSD veniva chiesto di costruire un proprio cyber security framework basato su difese efficaci, misure preventive, strumenti e procedure per gestire e comunicare tempestivamente gli incidenti.

A ogni stato ha potuto stabilire le proprie sanzioni e misure per garantire l’adeguamento dei soggetti coinvolti al contenuto della direttiva. Per esempio, l’Italia ha recepito la Direttiva NIS con il decreto legislativo 65/2018, che ha stabilito sanzioni amministrative fino a 150.000 euro.

Il punto debole di NIS

Il problema principale della Direttiva NIS è che tagliava fuori dal rafforzamento della cyber sicurezza europea tutte le aziende più piccole che non hanno un ruolo nella fornitura di servizi critici. Tuttavia, per quanto aumentare la sicurezza IT delle grandi organizzazioni sia sicuramente utile, non agire sulle realtà più piccole rappresenta un grande rischio. Infatti, dopo l’introduzione di NIS, i cybercriminali hanno immediatamente iniziato a volgere la loro attenzione alle piccole realtà che formano la supply chain degli FSD o degli OES, più che agli FSD e agli OES stessi. Del resto, le piccole aziende spesso investono meno in cyber sicurezza, le loro infrastrutture informatiche sono più facili da penetrare, pertanto possono fungere da porta di ingresso ai sistemi delle aziende più grandi.

Le novità di NIS 2

Rispetto alla precedente direttiva, NIS 2 introduce alcune novità.

Per prima cosa, chiede ai soggetti coinvolti di rivalutare le precedenti disposizioni considerando l’aumento del traffico online post-pandemico e il conseguente aumento dei rischi informatici.
Poi, amplia i settori coinvolti e i soggetti su cui ricadono gli obblighi:

  • sanità
  • reti idriche
  • rifiuti
  • energia
  • oil & gas
  • trasporti
  • pubblica amministrazione
  • servizi bancari e finanziari
  • servizi postali
  • filiera agro-alimentare
  • prodotti chimici e farmaceutici
  • prodotti e dispositivi medicali
  • settore aerospaziali
  • infrastrutture digitali e digital provider
  • reti e servizi per la comunicazione elettronica pubblica
  • data center, social network e simili.

Le piccole e medie aziende vengono coinvolte, ma non in modo diretto. A queste organizzazioni non viene infatti richiesto di adeguarsi agli obblighi di NIS 2, tuttavia potrebbero rispondere delle proprie misure di sicurezza nel caso in cui si verificassero incidenti e violazioni in aziende di cui esse sono fornitrici. In altre parole, l’intera supply chain diventa responsabile delle violazioni ai sistemi e ai dati di un FSD o di un OES.

Riassumendo, i punti fondamentali di NIS 2 sono:

  1. rivedere e ampliare l’ambito di applicazione delle norme in materia di sicurezza dei sistemi e dei dati;
  2. potenziare gli organi e le attività di supervisione a livello comunitario, e favorire la condivisione delle esperienze dei diversi stati, in modo da rafforzare la collaborazione davanti alle crescenti minacce informatiche;
  3. razionalizzare i requisiti minimi di sicurezza e le procedure di notifica obbligatoria degli incidenti informatici;
  4. estendere i concetti di gestione del rischio e di valutazione delle vulnerabilità all’intera supply chain.

AI soggetti coinvolti, la Direttiva chiede di:

  1. analizzare e valutare i rischi di sicurezza dei sistemi informativi (tramite, ad esempio, vulnerability assessment o penetration test);
  2. monitorare costantemente e dotarsi di un piano di incident response per gestire gli eventuali incidenti di sicurezza informatica;
  3. costruire un piano per la gestione delle crisi e per garantire la continuità del servizio;
  4. testare regolarmente la sicurezza della propria infrastruttura IT e l’efficacia delle misure di cyber sicurezza adottate;
  5. lavorare per la sicurezza della propria supply chain, controllando che i fornitori posseggano adeguati requisiti di sicurezza.

L’obiettivo di NIS 2 è dunque quello di ampliare il confine della responsabilità in materia di cyber security a più attori possibili e rafforzare le procedure di gestione, nella consapevolezza che la collaborazione è un elemento fondamentale per garantire la sicurezza di sistemi informatici ormai profondamente interconnessi a livello nazionale, europeo e globale.