La bozza di Direttiva NIS2 amplierà gli obblighi di cybersecurity a più imprese

Con la bozza datata 4 novembre 2021, la Commissione per l’industria, la ricerca e l’energia del Parlamento europeo (l”ITRE”) ha adottato una nuova versione della proposta di direttiva recante misure per un livello comune elevato di cybersecurity nell’Unione europea (“Direttiva NIS2”), che abrogherà la Direttiva (UE) 2016/114 (“Direttiva NIS”), con lo scopo di rafforzare gli obblighi gravanti su imprese e amministrazioni contro le minacce di cyberattacchi per garantire un maggior livello di cybersicurezza e cyberresilienza all’interno dell’Unione Europea.

La Direttiva NIS, entrata in vigore nel 2016 e recepita in Italia nel 2018 mediante Decreto Legislativo 65/2018, è stata la prima legislazione a livello europeo atta a stabilire requisiti minimi in materia di sicurezza delle reti e dei sistemi informativi. Nonostante la Direttiva NIS sia di recente attuazione, la Commissione europea ha comunque ravvisato la necessità di un ulteriore intervento legislativo in tale ambito, con il fine ultimo di rafforzare il livello di cybersecurity e cyberresilienza all’interno dell’Unione per contrastare il crescente numero di cyberattacchi. Infatti, come emerso dall’ultimo report Threat landscape 2021 dell’Agenzia dell’Unione europea per la cybersecurity (“ENISA”), il numero di attacchi alla sicurezza informatica è cresciuto tra il 2020 e 2021, non solo in termini di vettori e numeri ma anche in termini di impatto, acuito in particolar modo dall’attuale crisi pandemica.

Al fine di realizzare il progetto di aggiornamento lanciato dalla Commissione europea, è stato assegnato il dossier sulla Direttiva NIS2 all’ITRE, il quale ha di recente proposto una nuova bozza che introduce alcune importanti novità. In particolare, gli emendamenti proposti dall’ITRE vanno a toccare, tra le altre cose, l’ambito di applicazione della Direttiva NIS2, il termine per la notifica degli incidenti e il trattamento dei dati relativi al WHOIS a fini di cybersecurity.

A valle dell’annuncio del rapporto dell’ITRE sul progetto legislativo in oggetto durante la sessione plenaria del 10 novembre 2021, verranno avviati i negoziati con il Consiglio europeo.

Ambito di applicazione estensivo ed esclusione dei servizi DNS e root server

La bozza della Direttiva NIS2 approvata dall’ITRE mantiene l’approccio estensivo della proposta della Commissione, che prevede un ampio ambito di applicazione, nonché la distinzione fra “operatori essenziali” e “operatori importanti”. L’ITRE ritiene, inoltre, che anche le istituzioni accademiche e di ricerca debbano essere incluse nell’ambito di applicazione della Direttiva NIS2, in quanto queste ultime sono frequentemente oggetto di cyberattacchi. Tuttavia, l’ITRE propone di escludere dall’ambito di applicazione della Direttiva NIS2 i sistemi di nomi di dominio (“DNS”) e i root server, i.e. componenti del DNS che svolgono una funzione di primaria importanza nella conversione del DNS in un indirizzo IP. È infatti premura dell’ITRE fare in modo che:

i cittadini dotati di un proprio servizio DNS su un computer portatile o un piccolo server domestico non rientrino nel campo di applicazione della proposta della Commissione; e che
anche i servizi di root server siano esclusi dall’ambito di applicazione della Direttiva NIS2, in quanto gli stessi, essendo gestiti su base volontaria, non sono monetizzati e, secondo l’ITRE, non dovrebbero essere regolati dai governi.

Allineamento con le tempistiche previste dal GDPR per il termine di notifica degli incidenti

L’ITRE propone di allineare le tempistiche di notifica degli incidenti con il termine di 72 ore previsto dal Regolamento (UE) 2016/679 (“GDPR”) per la notifica di data breach che quindi si applicherebbe anche nel caso in cui un cyberattacco non impatti dati personali. È ritenuto infatti necessario il prolungamento da 24 a 72 ore in quanto:

la natura stessa dell’incidente non è chiara nell’arco delle prime 24 ore e ciò potrebbe portare a segnalazioni incorrette e/o non necessarie, creando confusione;
gli sforzi degli esperti informatici sono dedicati alla mitigazione degli effetti negativi dell’incidente, specialmente nelle prime ore, e la segnalazione risulterebbe, quindi, di interesse secondario.

Il trattamento dei dati relativi al WHOIS a fini di cybersicurezza

Poiché attraverso il protocollo di rete WHOIS è possibile risalire alle informazioni sulla registrazione di un nome dominio o un indirizzo IP, i dati relativi al WHOIS sono l’unico mezzo valido per raccogliere le informazioni necessarie per identificare gli attori degli attacchi, tracciare i responsabili di eventuali minacce nonché prevenire i danni e proteggere l’ecosistema di rete. Tuttavia, con l’entrata in vigore del GDPR, il trattamento dei dati relativi al WHOIS è venuto meno da parte di alcuni operatori, in quanto visto da questi ultimi come una potenziale fonte di responsabilità. Pertanto, l’ITRE ribadisce la liceità del trattamento di tali dati per motivi di sicurezza informatica ai sensi del GDPR, nell’esplicito desiderio legislativo che i dati WHOIS siano nuovamente condivisi a beneficio della cybersicurezza.

Su un simile argomento, può essere di interesse l’articolo “Quali conseguenze legali dal cyberattacco ransomware alla SIAE?”.

Verso l’adozione di nuove Clausole Contrattuali Tipo dopo la bozza di linee guida dell’EDPB sui trasferimenti dei dati?

Lo European Data Protection Board (“EDPB”) ha pubblicato la bozza di Linee Guida sull’interazione fra l’articolo 3 del GDPR – che ne disciplina l’ambito di applicazione territoriale – ed il Capo V del Regolamento, che regola i trasferimenti di dati personali al di fuori dello Spazio Economico Europeo (“SEE”), aprendo a nuove Clausole Contrattuali Tipo.

Continua a leggere “Verso l’adozione di nuove Clausole Contrattuali Tipo dopo la bozza di linee guida dell’EDPB sui trasferimenti dei dati?”

Il nuovo patent box, cosa cambia per le imprese e cosa bisogna sapere?

Il Decreto Legge n. 146 del 21 ottobre 2021 ha apportato delle modifiche significative alla struttura e al funzionamento del “patent box”, il regime fiscale opzionale introdotto con la Legge di Stabilità 2015 nell’ordinamento italiano in relazione ai redditi derivanti dallo sfruttamento di beni di proprietà industriale e/o intellettuale e finalizzato ad incentivare la crescita economica nazionale. Continua a leggere “Il nuovo patent box, cosa cambia per le imprese e cosa bisogna sapere?”

Pubblicazione dell’Osservatorio sulle comunicazioni dell’AGCom per il secondo trimestre 2021

Lo scorso 27 ottobre 2021, l’AGCom ha pubblicato il terzo Osservatorio sulle comunicazioni dell’anno in corso, che copre il periodo da marzo a giugno del 2021, sulla composizione delle tecnologie usate per la fornitura di servizi e tendenze più significative. Continua a leggere “Pubblicazione dell’Osservatorio sulle comunicazioni dell’AGCom per il secondo trimestre 2021”

Pratiche commerciali sleali nell’agroalimentare: approvato il decreto legislativo

Approvato dal Consiglio dei Ministri lo schema di decreto legislativo che vieta le pratiche sleali nell’agroalimentare Continua a leggere “Pratiche commerciali sleali nell’agroalimentare: approvato il decreto legislativo”

Pubblicità dei dispositivi medici: il Ministero conferma l’autorizzazione preventiva nonostante il Regolamento dispositivi medici

Con la circolare 0081386 del 12 novembre 2021, il Ministero della Salute ha chiarito che la pubblicità al pubblico dei dispositivi medici non soggetti a prescrizione e dei dispositivi che possono essere impiegati senza l’assistenza di un medico continuerà ad essere soggetta all’obbligo di preventiva autorizzazione di cui all’art. 21 del d.lgs. 46/97, in quanto compatibile con l’art. 7 del nuovo Regolamento dispositivi medici UE 2017/745. Continua a leggere “Pubblicità dei dispositivi medici: il Ministero conferma l’autorizzazione preventiva nonostante il Regolamento dispositivi medici”

NFT e criticità legali, fiscali e di mercato nella moda, sport e gaming

Riviviamo il webinar sulle criticità legali, fiscali e di mercato degli NFT nella moda, sport e gaming con i colleghi dello studio legale DLA Piper. Continua a leggere “NFT e criticità legali, fiscali e di mercato nella moda, sport e gaming”

Le innovazioni operative della riforma del processo civile

Il Disegno di Legge di riforma del processo civile (DDL 1662/2020) contempla delle innovazioni significative quali l’eliminazione dell’udienza di precisazione delle conclusioni. Continua a leggere “Le innovazioni operative della riforma del processo civile”

Infografica – Obblighi privacy con la conservazione del green pass

Riassumiamo in stile legal design gli obblighi privacy che derivano dalla possibilità per i lavoratori di chiedere la conservazione del green pass recentemente introdotta. Continua a leggere “Infografica – Obblighi privacy con la conservazione del green pass”

Quali obblighi privacy derivano dalla conservazione del green pass ora possibile?

Una recente modifica normativa consente la conservazione di copia del certificato del green pass con notevoli conseguenze in termini di compliance privacy. Continua a leggere “Quali obblighi privacy derivano dalla conservazione del green pass ora possibile?”