Con la bozza datata 4 novembre 2021, la Commissione per l’industria, la ricerca e l’energia del Parlamento europeo (l”ITRE”) ha adottato una nuova versione della proposta di direttiva recante misure per un livello comune elevato di cybersecurity nell’Unione europea (“Direttiva NIS2”), che abrogherà la Direttiva (UE) 2016/114 (“Direttiva NIS”), con lo scopo di rafforzare gli obblighi gravanti su imprese e amministrazioni contro le minacce di cyberattacchi per garantire un maggior livello di cybersicurezza e cyberresilienza all’interno dell’Unione Europea.
La Direttiva NIS, entrata in vigore nel 2016 e recepita in Italia nel 2018 mediante Decreto Legislativo 65/2018, è stata la prima legislazione a livello europeo atta a stabilire requisiti minimi in materia di sicurezza delle reti e dei sistemi informativi. Nonostante la Direttiva NIS sia di recente attuazione, la Commissione europea ha comunque ravvisato la necessità di un ulteriore intervento legislativo in tale ambito, con il fine ultimo di rafforzare il livello di cybersecurity e cyberresilienza all’interno dell’Unione per contrastare il crescente numero di cyberattacchi. Infatti, come emerso dall’ultimo report Threat landscape 2021 dell’Agenzia dell’Unione europea per la cybersecurity (“ENISA”), il numero di attacchi alla sicurezza informatica è cresciuto tra il 2020 e 2021, non solo in termini di vettori e numeri ma anche in termini di impatto, acuito in particolar modo dall’attuale crisi pandemica.
Al fine di realizzare il progetto di aggiornamento lanciato dalla Commissione europea, è stato assegnato il dossier sulla Direttiva NIS2 all’ITRE, il quale ha di recente proposto una nuova bozza che introduce alcune importanti novità. In particolare, gli emendamenti proposti dall’ITRE vanno a toccare, tra le altre cose, l’ambito di applicazione della Direttiva NIS2, il termine per la notifica degli incidenti e il trattamento dei dati relativi al WHOIS a fini di cybersecurity.
A valle dell’annuncio del rapporto dell’ITRE sul progetto legislativo in oggetto durante la sessione plenaria del 10 novembre 2021, verranno avviati i negoziati con il Consiglio europeo.
Ambito di applicazione estensivo ed esclusione dei servizi DNS e root server
La bozza della Direttiva NIS2 approvata dall’ITRE mantiene l’approccio estensivo della proposta della Commissione, che prevede un ampio ambito di applicazione, nonché la distinzione fra “operatori essenziali” e “operatori importanti”. L’ITRE ritiene, inoltre, che anche le istituzioni accademiche e di ricerca debbano essere incluse nell’ambito di applicazione della Direttiva NIS2, in quanto queste ultime sono frequentemente oggetto di cyberattacchi. Tuttavia, l’ITRE propone di escludere dall’ambito di applicazione della Direttiva NIS2 i sistemi di nomi di dominio (“DNS”) e i root server, i.e. componenti del DNS che svolgono una funzione di primaria importanza nella conversione del DNS in un indirizzo IP. È infatti premura dell’ITRE fare in modo che:
- i cittadini dotati di un proprio servizio DNS su un computer portatile o un piccolo server domestico non rientrino nel campo di applicazione della proposta della Commissione; e che
- anche i servizi di root server siano esclusi dall’ambito di applicazione della Direttiva NIS2, in quanto gli stessi, essendo gestiti su base volontaria, non sono monetizzati e, secondo l’ITRE, non dovrebbero essere regolati dai governi.
Allineamento con le tempistiche previste dal GDPR per il termine di notifica degli incidenti
L’ITRE propone di allineare le tempistiche di notifica degli incidenti con il termine di 72 ore previsto dal Regolamento (UE) 2016/679 (“GDPR”) per la notifica di data breach che quindi si applicherebbe anche nel caso in cui un cyberattacco non impatti dati personali. È ritenuto infatti necessario il prolungamento da 24 a 72 ore in quanto:
- la natura stessa dell’incidente non è chiara nell’arco delle prime 24 ore e ciò potrebbe portare a segnalazioni incorrette e/o non necessarie, creando confusione;
- gli sforzi degli esperti informatici sono dedicati alla mitigazione degli effetti negativi dell’incidente, specialmente nelle prime ore, e la segnalazione risulterebbe, quindi, di interesse secondario.
Il trattamento dei dati relativi al WHOIS a fini di cybersicurezza
Poiché attraverso il protocollo di rete WHOIS è possibile risalire alle informazioni sulla registrazione di un nome dominio o un indirizzo IP, i dati relativi al WHOIS sono l’unico mezzo valido per raccogliere le informazioni necessarie per identificare gli attori degli attacchi, tracciare i responsabili di eventuali minacce nonché prevenire i danni e proteggere l’ecosistema di rete. Tuttavia, con l’entrata in vigore del GDPR, il trattamento dei dati relativi al WHOIS è venuto meno da parte di alcuni operatori, in quanto visto da questi ultimi come una potenziale fonte di responsabilità. Pertanto, l’ITRE ribadisce la liceità del trattamento di tali dati per motivi di sicurezza informatica ai sensi del GDPR, nell’esplicito desiderio legislativo che i dati WHOIS siano nuovamente condivisi a beneficio della cybersicurezza.
Su un simile argomento, può essere di interesse l’articolo “Quali conseguenze legali dal cyberattacco ransomware alla SIAE?”.