La Direttiva NIS2 pubblicata – novità in materia cybersecurity per un numero sempre maggiore di società

La Direttiva NIS2 è stata pubblicata nella Gazzetta Ufficiale dell’UE e introduce gravosi obblighi in materia di cybersecurity per un ampio numero di società. 

Gli ultimi anni hanno visto un aumento esponenziale del rischio cyber tale da indurre i legislatori nazionali ed europei ad innalzare le difese contro eventuali attacchi informatici. La nuova Direttiva NIS2, appena pubblicata sulla Gazzetta Ufficiale dell’UE, si pone in tale ottica quale strumento volto ad aumentare i sistemi di sicurezza di un numero sempre crescente di settori contro i cyberattacchi.

La Direttiva NIS2 è l’evoluzione della Direttiva NIS1 che, recepita in Italia senza sostanziali modifiche con il D. Lgs. N. 65/2018, prevede – ad oggi – che le società rientranti nel suo ambito di applicazione siano tenute aadottare misure tecniche ed organizzative adeguate e proporzionate rispetto alla gestione dei rischi cyber, dovendo altresì prevenire e minimizzare l’impatto degli eventuali incidenti di sicurezza subiti.

Tuttavia, la Direttiva NIS1 dispone degli obblighi troppo generici che hanno portato ad una certa disomogeneità all’interno dell’Unione europea. Quindi il legislatore comunitario ha cercato di precisare tali obblighi, rafforzarli e ampliare i destinatari degli obblighi.

Di seguito una analisi delle misure più rilevanti introdotte dalla Direttiva NIS2:

1. Ampio ambito di applicazione per la Direttiva NIS2

La novità principale della Direttiva NIS2 è il suo ambito di applicazione. Le nuove disposizioni normative oltre ad essere applicabili ai settori originariamente previsti dalla Direttiva NIS1 (e.g. il settore dell’energia, delle telecomunicazioni, dei trasporti, bancario e dei mercati finanziari, sanitario, etc.) sono applicabili anche ad un novero di società prima non incluse, quali quelle che forniscono, tra gli altri,

• servizi digitali, ad esempio piattaforme di cloud computing, data centre, content delivery network provider, servizi di comunicazione elettronica e di reti di comunicazione elettronica;
• servizi sanitari, quali – tra gli altri – società farmaceutiche, produttori di dispositivi medici ed healthcare provider; e perfino
• servizi di produzione, trasformazione e distribuzione di cibo, ivi comprese le imprese della grande distribuzione.

Il nuovo testo normativo introduce inoltre indicazioni circa le dimensioni delle società. Rientrano quindi nel campo di applicazione della Direttiva NIS2 le società dei settori sopra richiamati che siano di medie e grandi dimensioni, ma potrebbero rientrarci anche piccole e microimprese se operano in settori chiave per la società e, indipendentemente dalle dimensioni, fornitori, tra gli altri, di servizi di comunicazione elettronica e di reti di comunicazione elettronica.

Tuttavia, sono stati limitati gli elementi di discrezionalità che nella Direttiva NIS2 erano lasciati ai singoli Stati nella determinazione dell’appartenenza alla categoria. Le società devono sottoporre delle informazioni agli Stati che valuteranno l’appartenenza all’ambito dei destinatari degli obblighi di cui alla Direttiva NIS2 e si distinguono tra società “essenziali” se forniscono servizi considerati essenziali ed “importanti” se sono fatte rientrare nell’ambito della direttiva, anche se non forniscono un servizio essenziale.

2. Obblighi di cybersecurity più dettagliati e stringenti con la Direttiva NIS2

La Direttiva NIS2 prevede che gli Stati Membri debbano fare in modo che le società rientranti nel suo ambito di applicazione debbano “adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza dei sistemi di rete e di informazione che tali soggetti utilizzano per le loro operazioni o per la fornitura dei loro servizi e per prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi e su altri servizi.”

Secondo la direttiva queste misure tecniche, operative ed organizzative devono comprendere almeno quanto segue:

1. policy sull’analisi dei rischi e sulla sicurezza dei sistemi informativi;
2. sistemi di gestione degli incidenti;
3. sistemi di business continuity, come la gestione dei backup e il disaster recovery, e la gestione delle crisi;
4. misure di gestione della sicurezza della supply chain;
5. la sicurezza nell’acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità;
6. policy e procedure per valutare l’efficacia delle misure di gestione del rischio di cybersecurity;
7. pratiche di igiene informatica di base [i.e., regole fondamentali per garantire la cybersecurity] e formazione in materia di sicurezza informatica;
8. policy e procedure relative all’uso della crittografia e, se del caso, della cifratura crittografia;
9. misure sulla sicurezza delle risorse umane, le politiche di controllo degli accessi e la gestione degli asset; e
10. l’uso di soluzioni di autenticazione a più fattori [i.e., la c.d. multi-factor authentication] o di autenticazione continua, di comunicazioni vocali, video e di testo protette e di sistemi di comunicazione di emergenza protetti all’interno dell’entità, ove opportuno.

Quindi esiste un principio generale di adeguatezza delle misure da adottare, ma gli Stati Membri devono specificare ulteriormente gli obblighi e la direttiva stessa già prevede un elenco alquanto dettagliato di misure minime.

Inoltre, la direttiva prevede che nell’analisi della adeguatezza delle misure di sicurezza si debba tener conto anche delle misure adottate dai fornitori delle società rientranti nell’ambito della Direttiva NIS2. Questo rappresenta un argomento di notevole rilievo già attualmente per le aziende che sono fornitrici delle società rientranti nel perimetro di sicurezza nazionale perché gli obblighi in materia di cybersecurity si estendono indirettamente anche a loro.

In ogni caso, entro 21 mesi dall’entrata in vigore della Direttiva [i.e., entro il termine di implementazione], la Commissione europea deve definire i requisiti tecnici e metodologici applicabili alle misure che dovranno essere adottate, tra gli altri, dai fornitori di servizi di cloud computing, data center, online market place, motori di ricerca e social network.

3. Obblighi di notifica degli cyber attacchi ai sensi della Direttiva NIS2

La Direttiva NIS1 aveva già introdotto, nel caso di incidenti informatici che abbiano un impatto sulla continuità e fornitura del servizio, stringenti obblighi di notifica alle autorità competenti. La Direttiva NIS2 prevede un obbligo di notifica al CSIRT e alle autorità competenti, senza ritardo, di qualsiasi incidente che può avere un impatto significativo sulla fornitura del servizio. Inoltre, stabilisce che – quando è appropriato – la notifica debba avvenire anche a beneficio dei destinatari del servizio impattato dal cyber attacco, anche indicando le misure che detti destinatari sono in grado di adottare per reagire all’attacco.

Il termine di notifica è ulteriormente specificato dalla direttiva che fa riferimento a 24 ore dalla conoscenza per l’invio di un “early warning” che deve essere seguito dalla notifica di una analisi dettagliata dell’incidente entro 72 ore dalla conoscenza.

Questi termini sono in linea con la recente riforma della normativa italiana sul perimetro di sicurezza cybernetica.

4. L’autorità a cui i fornitori si servizi essenziali e importanti sono soggetti

La Direttiva NIS2 prevede l’applicazione del principio dello stabilimento. Quindi le società sono soggette sono alla giurisdizione delle autorità dello Stato Membro in cui sono stabilite. Tuttavia, ci sono eccezioni applicabili, tra gli altri, nel caso di fornitori di

• servizi di comunicazione e di rete elettronica che sono soggetti alla competenza del Paese in cui si trovano i destinatari dei loro servizi; e
• alcuni servizi online che sono soggetti alla competenza del Paese dell’Unione europea dove si trova il loro stabilimento principale.

La Direttiva NIS2 prevede dei poteri minimi di indagine che le autorità locali devono avere per valutare l’adeguatezza delle misure adottate dalle società fornitrici di servizi essenziali ed importanti.

Nel caso in cui una azienda non si conformi con gli obblighi di cui alla Direttiva NIS2, gli Stati Membri devonofare in modo che tali società adottino, senza ritardo, tutte le azioni correttive appropriate e proporzionali.

La direttiva già prevede però, tra gli altri,

• l’obbligo per gli Stati Membri di stabilire la possibilità di sospendere l’attività aziendale dell’impresa e di imporre specifici divieti; e
• l’applicazione di sanzioni fino a € 10 milioni o al 2% del fatturato globale dell’anno precedente in caso di società essenziali, mentre sanzioni fino a € 7 milioni o al 1,7% del fatturato globale in caso di società importanti.

Se un incidente informatico ha comportato anche un data breach ai sensi del GDPR da cui è derivata una sanzione ai sensi del Regolamento privacy europeo, le sanzioni amministrative previste dalla direttiva non sono applicabili. E’ infatti importante ricordare che la Direttiva NIS2 trova applicazione anche in caso di incidenti che non hanno comportato una violazione dei dati personali.

5. Tempi di implementazione della Direttiva NIS2

La Direttiva NIS2 è stata pubblicata nella Gazzetta ufficiale dell’UE. Gli Stati membri hanno fino al 17 ottobre 2024 per adottare le misure implementative della direttiva che diventeranno efficaci dal 18 ottobre 2024. A quel punto le norme diventeranno vincolanti per le imprese e le norme di attuazione della direttiva NIS1 saranno abrogate o più probabilmente modificate per conformarsi con il nuovo quadro normativo.

La strada sembra ancora lunga. Tuttavia, visto il livello di dettagli previsto dagli obblighi di cui alla Direttiva NIS2 e la tempistica per attuare le misure previste dalla direttiva, le società devono adottare sin da ora dei presidi interni, sia tecnici che organizzativi, per tutelarsi da eventuali attacchi cyber nonché per essere pronti alle stringenti disposizioni che la Direttiva NIS2 imporrà ai rilevanti settori.

In tale contesto, è rilevante come la valutazione dell’adeguatezza delle misure non è unicamente una valutazione di idoneità tecnica. Al contrario, la direttiva elenca una serie di misure organizzative e anche con riferimento alle misure tecniche richiede una valutazione legale.

La Direttiva NIS2 si inserisce in una quadro normativo che a livello locale con la normativa sul perimetro di sicurezza nazionale italiana e l’equivalente di altre giurisdizioni e a livello internazionale con, tra gli altri, la direttiva NIS, con il Regolamento europeo DORA, anch’esso appena approvato, e con il Cyber Resiliance Act stanno introducendo obblighi in materia di cybersecurity che vanno ben oltre il perimetro della compliance privacy. Per assistere le aziende in caso di cyberattacco nell’identificare gli obblighi a proprio carico, DLA Piper ha realizzato una mappatura globale degli obblighi di notifica sia ai sensi della normativa privacy che della normativa in materia di cybersicurezza applicabile a qualsiasi tipologia di dati.

Su di un simile argomento, il seguente articolo può essere interessante “Quale responsabilità degli amministratori per un cyberattacco a danno della società?”.