Direttiva NIS2 sulla cybersecurity: contesto, obblighi e sanzioni

Le minacce informatiche sono in continua evoluzione, e la crisi legata al Covid ha reso globalmente evidente il forte bisogno di rendere sostenibile e sicura la crescente digitalizzazione dei servizi. L’originale Direttiva NIS del 2016 era la prima norma UE sulla cybersecurity, ma, visto il tema spiccatamente influenzato dall’evoluzione tecnologica, si è reso necessario un aggiornamento. La NIS2, da recepire nelle norme nazionali entro ottobre 2024, propone di dare risposta alle nuove sfide del mercato digitale moderno.

Il panorama dei rischi informatici nel 2023

Riflettendo sui rischi per le informazioni nel contesto attuale, l’elemento tecnologico è chiaramente rilevante. Le reti di informazioni su cui poggia la società in cui oggi viviamo e lavoriamo sono sempre più complesse. Strumenti e dispositivi connessi, industria 4.0, soluzioni di lavoro da remoto. Parliamo di tecnologia anche se pensiamo a truffe e attacchi informatici, capaci oggi di sfruttare soluzioni basate sull’intelligenza artificiale per risultare più sofisticati ed efficaci.

L’elemento tecnologico è rilevante, ma gli aspetti organizzativi continuano a essere essenziali, e spesso i più delicati da affrontare.

Mentre i gruppi criminali dimostrano regolarmente di essere fortemente organizzati, i diversi stati membri dell’UE faticano talvolta a fronteggiare le minacce informatiche in maniera coordinata. Le strategie di attacco, poi, fanno ancora fortemente leva sull’errore umano, che continua a essere tra le principali vulnerabilità delle aziende. Non da poco, proprio le figure dirigenziali sono al centro di un problema di sicurezza. Da una parte, tendono a esser prese specificamente di mira per la loro possibilità di accedere alle informazioni più delicate e riservate. Dall’altra, spesso sono meno protette, “godendo” di eccezioni rispetto ai più rigidi protocolli di sicurezza applicati al resto del personale.

Un semplice esempio in linea coi risultati delle analisi del contesto italiano, caratterizzato dalla necessità di una maggior diffusione e promozione della cultura dei rischi cyber. Occorrono azioni di presidio, monitoraggio, formazione e sensibilizzazione. Ancor prima, scelte più consapevoli e “generose” nella gestione dei budget dedicati alla sicurezza delle informazioni. Ad esempio perché, in termini di valore economico puro, non si può trascurare il fatto che l’incidenza e il costo degli incidenti ransomware è in continuo aumento da anni, e potenzialmente catastrofico per un’azienda.

Gli obiettivi della NIS2

La NIS2 parte proprio da una consapevolezza sulle marcate esigenze organizzative delle autorità pubbliche e delle società private nell’UE. Nell’ottica di tutelare il corretto funzionamento del mercato, prepara il campo con precise misure giuridiche per una trasversale applicazione di strategie di sicurezza di informazioni e infrastrutture.

L’idea generale è quella di proteggere la collettività, poiché la forte accelerazione dei processi di digitalizzazione e interconnessione dei servizi, fa sì che qualsiasi incidente, magari di effetto apparentemente limitato a una singola realtà imprenditoriale o settore, possa avere in realtà conseguenze indirette di più vasta portata.

Applicazione della NIS2

Una volta recepita la Direttiva a livello nazionale, i principali criteri di individuazione dei soggetti che saranno tenuti a rispettarla, dovrebbero essere:

• il settore di operatività. Da notare che, rispetto alla precedente direttiva, la NIS 2 si applica anche a nuovi settori altamente digitalizzati, interconnessi e di importanza per l’economia e la società. Sono nello specifico implicati i settori: energia, trasporti, banche e infrastrutture dei mercati finanziari, salute, acqua potabile e acque reflue, fornitori di infrastrutture digitali e distribuzione di contenuti, di cloud computing e data-center, prestatori di servizi fiduciari, reti e servizi di comunicazione elettronica, pubblica amministrazione, spazio, servizi postali e di corriere, gestione dei rifiuti, prodotti chimici, alimentare, fabbricazione di dispositivi medici, computer ed elettronica, macchine e attrezzature, veicoli a motore, rimorchi e semirimorchi e altre attrezzature di trasporto;
• la dimensione dell’azienda, utilizzata principalmente per distinguere i “soggetti essenziali” (coi maggiori obblighi, adempimenti e responsabilità) dai “soggetti importanti” (a cui sono imposti minori regimi di vigilanza). Con la NIS2, comunque, anche imprese di piccole dimensioni potranno essere coperte dagli stessi obblighi delle più grandi, se i loro servizi presentano particolari rischi per la sicurezza.

La nuova direttiva, inoltre, contempla il rischio degli attacchi alla supply chain, imponendo un maggior controllo sulla sicurezza delle catene di approvvigionamento. Ciò significa che tutte le aziende che forniscono servizi a soggetti che operano in uno dei settori di operatività sopra elencati, potranno essere in qualche misura coinvolte dalla normativa. E, in ogni caso interessate a mantenere un elevato standard per soddisfare i crescenti standard imposti dai clienti.

Elementi minimi di sicurezza

La NIS2 impone innanzitutto un obbligo giuridico relativamente all’adozione di un approccio risk-based. Lo stesso già adottato da standard di certificazione come la ISO 27001, o (seppur con le rispettive peculiarità) comune anche al mondo della tutela dei dati personali in base a quanto richiesto dall’art. 32 del GDPR.

Nel caso della NIS2, l’approccio basato sul rischio è affiancato da un elenco minimo di elementi di sicurezza di base che dovranno essere presi in esame per adottare misure idonee:

1. politiche interne di analisi dei rischi e sicurezza dei sistemi informatici
2. gestione degli incidenti
3. business continuity (gestione backup, disaster recovery e gestione delle crisi)
4. sicurezza della catena di approvvigionamento e controllo dei diretti fornitori
5. sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi informatici e di rete, compresa la gestione delle vulnerabilità
6. strategie e procedure per valutare l’efficacia delle misure di sicurezza
7. igiene informatica di base e formazione in materia di cybersecurity
8. politiche e procedure relative all’uso di crittografia e cifratura
9. sicurezza delle risorse umane, strategie di controllo degli accessi e gestione degli attivi
10. uso di soluzioni di autenticazione a più fattori, autenticazione continua, e sistemi di comunicazione protetti.

Obblighi di segnalazione secondo la NIS2

Quando si tratta di segnalazione di incidenti, occorre sempre trovare il giusto equilibrio tra la necessità di una segnalazione rapida (per intervenire a contrasto della diffusione dell’incidente) e una segnalazione approfondita (volta a esaminare l’incidente nel dettaglio e prevenirne di futuri).

La NIS2 adotta un metodo a fase, imponendo precisi obblighi di segnalazione nei soli casi di “incidente significativo”. Vale a dire, l’incidente che ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato o se si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

Dal momento della rilevazione di un incidente significativo, quindi, le imprese avranno l’obbligo di:

1. Entro 24h, pre-allertare il CSIRT, mettendosi nella condizione di poter richiedere assistenza e consulenza sulla mitigazione dei rischi
2. Entro 72h, notificare l’incidente al CSIRT presentando una valutazione iniziale sulla gravità dell’incidente
3. Senza indebito ritardo, notificare l’incidente ai destinatari dei propri servizi, se può ripercuotersi negativamente sulla fornitura di tali servizi
4. Su richiesta del CSIRT, fornire una relazione intermedia e gli aggiornamenti sull’incidente
5. Entro 1 mese, trasmettere una relazione finale sull’incidente al CSIRT.

Attenzione alle sanzioni

Tra le ragioni della Commissione Europea, si legge che nell’applicazione delle norme legate alla NIS, da parte degli stati dell’UE, vi è stata una generale riluttanza ad applicare sanzioni per misure di sicurezza informatica carente o mancata segnalazione. La NIS2 ha introdotto così dei livelli minimi di sanzione, che potranno comprendere: istruzioni vincolanti, ordini (es. sull’implementazione di misure di sicurezza obbligatorie o sull’attuazione delle raccomandazioni di un audit) e sanzioni amministrative pecuniarie.

La distinzione tra soggetti essenziali e importanti si ripercuoterà sui livelli di sanzione. Al recepimento della direttiva, ogni stato dovrà prevedere:

• soggetti essenziali: sanzione pecuniaria massima di (almeno) 10 milioni di euro o il 2% del fatturato totale annuo mondiale.
• soggetti importanti: sanzione pecuniaria massima di (almeno) 7 milioni di euro o l’1,4 % del fatturato totale annuo mondiale.

Attenzione, infine, anche alla possibilità di nuove disposizioni sulla responsabilità, non solo dell’azienda, ma anche delle persone fisiche che detengono posizioni dirigenziali nelle organizzazioni toccate dalla NIS2.

Conseguenze per le imprese

In molte realtà, la sicurezza ancora oggi si fa senza documentarne le scelte. Viene così tradito quel principio di accountability, che il GDPR ci ha insegnato a conoscere, ma che rappresenta soprattutto il pilastro di qualsiasi approccio risk-based. Le misure di sicurezza sono “idonee” se le decisioni alla loro base sono guidate dall’esame del contesto, poggiano su criteri dimostrabili. La NIS2 impone insomma l’adozione di un metodo.

D’altro canto, i principali adempimenti non dovrebbero scoraggiare le imprese che abbiano già integrato idonee procedure di sicurezza. La valutazione e la gestione dei rischi informatici dovrebbero essere già state gestite su altri fronti. Con la compliance al GDPR, o l’adozione di standard ISO. L’approccio potrà perciò essere ereditato e tradotto per soddisfare anche le esigenze della NIS2, ad esempio laddove alcuni degli elementi minimi non fossero stati già considerati. Ancora meglio, il suggerimento sarà proprio quello di evitare la duplicazione o triplicazione di attività di analisi “sparpagliate” (sul fronte IT, privacy, qualità, ecc.) e preferire invece un approccio integrato. Possibilmente, che veda la compartecipazione di figure quali Auditor, DPO, Responsabili IT – interni e/o appartenenti ai propri fornitori critici.

Questa regola aurea di efficienza organizzativa potrà applicarsi automaticamente anche per gli obblighi di segnalazione. I nuovi tempi e i nuovi destinatari delle notifiche potranno ad esempio essere integrati nella procedura interna dedicata alla gestione del Data Breach ex art. 33-34 GDPR. Allo stesso tempo, ci auguriamo che le modalità di contatto alle Autorità e gli iter di notifica risultino semplificati e vadano in direzione delle imprese. Dando concreta applicazione a quelle sinergie promesse tramite la sigla del protocollo d’intenti tra l’Agenzia per la Cybersicurezza Nazionale e il Garante per la Protezione dei Dati Personali.

Un ultimo monito va alle organizzazioni che a una prima analisi ritenessero di non essere “impattate” dalla NIS2. Tale giudizio non sia affrettato: come dicevamo, anche imprese di piccole dimensioni potrebbero vedersi imposti maggiori controlli di sicurezza. O incontrare nuove regole di sicurezza stabilite, se non dalla legge, almeno dal mercato. E dopotutto, la sicurezza delle informazioni ha dimostrato di pretendere standard minimi in regolare crescita. Confermando la chiara intenzione delle autorità europee di sensibilizzare sempre più realtà e ampliare gradualmente il campo di applicazione delle regole di cybersecurity. Si consideri, infine, l’opportunità piuttosto che l’onere: muoversi all’interno del mercato digitale odierno senza le giuste difese significherebbe affidarsi ciecamente alla fortuna. Meglio aiutarsi, invece, con molta strategia.