Questo articolo della rubrica CyberItalia su cosa cambia dalla Direttiva NIS 1, prima normativa europea volta ad armonizzare le regole in materia di cybersicurezza tra Stati membri, alla nuova Direttiva NIS 2, che sostituisce la NIS 1 con l’obiettivo di raggiungere un livello comune ed elevato di cybersicurezza e resilienza in UE.
La Direttiva NIS 1 (Direttiva (UE) 2016/1148), acronimo di “Network and Information Security”, viene adottata nel 2016 e rappresenta la prima misura legislativa a livello europeo con l’obiettivo di innalzare la cooperazione tra gli Stati membri e creare un primo livello di armonizzazione in materia di sicurezza cibernetica.
Quando? Adottata il 6 luglio 2016, con recepimento entro il 9 maggio 2018 (in Italia dal d.lgs. 65/2018, “Decreto NIS”). La Direttiva NIS 1 è stata abrogata con l’entrata in vigore della Direttiva NIS 2 (vedi sotto).
A chi si rivolge? La Direttiva NIS 1 individua due categorie di soggetti a cui sono rivolte previsioni specifiche:
- Operatori di servizi essenziali (OSE): soggetti pubblici o privati che rivestono un ruolo importante per la società e l’economia e forniscono servizi essenziali (comunemente identificate come “infrastrutture critiche”). Gli OSE devono essere individuati direttamente dagli Stati membri all’interno dei settori critici (energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali) in base all’essenzialità del servizio e le conseguenze sulla fornitura del servizio che potrebbe causare un incidente.
- Fornitori di servizi digitali (FSD): Società che forniscono servizi di e-commerce, cloud computing o motori di ricerca (a meno che non siano PMI).
La Direttiva NIS 1 lascia però liberi gli Stati di ampliare i settori / le categorie di soggetti a cui gli obblighi in materia cyber devono applicarsi.
Cosa prevede? Con riferimento agli Stati, la Direttiva NIS 1 richiede che questi: (i) adottino una strategia nazionale di in materia di sicurezza cibernetica che definisca obiettivi strategici e priorità, politiche adeguate e misure di regolamentazione a livello nazionale; (ii) assicurino la cooperazione internazionale e la collaborazione con l’ENISA (European Union for Network and Information Security Agency) attraverso meccanismi individuati; (iii) designino autorità nazionali competenti, punti di contatto e il CSIRT (Computer Security Incident Response Team), responsabili della sicurezza monitoraggio degli incidenti a livello nazionale.
Con riferimento a OSE e FSD, la Direttiva NIS 1 impone essenzialmente due ordini di obblighi:
- Misure di sicurezza – adozione di misure di sicurezza adeguate e proporzionate alla gestione dei rischi e alla prevenzione e minimizzazione dell’impatto degli incidenti di sicurezza (con alcune misure più specifiche nel contesto dei FSD).
- Segnalazione incidenti – notifica senza indebito ritardo alle autorità competenti o al CSIRT di incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali prestati (in base al numero di utenti interessati, durata e diffusione geografica).
La Direttiva NIS 1 incoraggia, inoltre, la segnalazione di incidenti con impatto rilevante anche da parte di quei soggetti non identificati come OSE e non FSD, sotto forma di notifica su base volontaria.
La Direttiva NIS 2 (Direttiva (UE) 2022/2555) risponde all’esigenza di aggiornare e rafforzare il quadro normativo previsto dalla Direttiva NIS 1. Le importanti divergenze nell’attuazione degli obblighi previsti dalla Direttiva NIS hanno infatti determinato livelli disomogenei di sicurezza e vulnerabilità tra gli Stati membri, con possibili impatti sull’intera UE.
Obiettivo della Direttiva NIS 2 – che abroga la Direttiva NIS 1 – è quello di eliminare le divergenze tra ordinamenti, rafforzando gli obblighi di cybersecurity, ampliando il numero di settori e soggetti coinvolti e aumentando la cooperazione tra gli Stati per raggiungere maggiore uniformità di applicazione.
Quando? Adottata il 14 ottobre 2022, attualmente in vigore ma da recepire nella legislazione nazionale entro il 17 ottobre 2024.
A chi si rivolge? La Direttiva NIS 2 supera la distinzione tra OSE e FSD prevista dalla NIS 1. Al loro posto, introduce alcuni criteri uniformi per identificare le due nuove categorie di soggetti che saranno soggette agli obblighi della direttiva ossia:
- Soggetti “essenziali” e
- Soggetti “importanti”
Tali soggetti devono essere individuarsi nei settori ritenuti “essenziali”, che comprendono sia i settori già individuati dalla Direttiva NIS 1, sia un ulteriore elenco di settori “ad alta criticità” (es. servizi sanitari, servizi postali, settore alimentare e di macchinari/apparecchiature, ulteriori servizi digitali). Viene inoltre applicato un criterio dimensionale, che esclude dall’ambito di applicazione le piccole e medie imprese, salve alcune eccezioni che dipendono dalla criticità del servizio fornito (es. comunicazione elettronica o servizi fiduciari).
Spetterà comunque agli Stati definire, entro il 17 aprile 2025, un elenco dei soggetti essenziali e importanti che saranno chiamati a fornire le necessarie informazioni.
Cosa prevede? La Direttiva NIS 2 rafforza sostanzialmente gli obblighi già presenti all’interno della Direttiva NIS 1, quindi in particolare:
- Misure di sicurezza – previsione di un approccio “multirischio” nell’adozione di misure di sicurezza tecniche, operative e organizzative adeguate e proporzionate per (i) gestire i rischi per la sicurezza dei sistemi di rete e di informazione che tali soggetti utilizzano per le loro operazioni o per la fornitura dei loro servizi e (ii) prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi e su altri servizi. La Direttiva NIS 2 fornisce un elenco minimo delle misure di sicurezza che devono essere implementate.
- Segnalazione incidenti – rafforzamento degli obblighi di segnalazione e notifica di “incidenti significativi” alle autorità competenti e al CSIRT secondo uno schema a più fasi con tempistiche predefinite (ridotte a 24 ore dalla conoscenza per l’invio di un “early warning”, seguito dalla notifica di una analisi dettagliata dell’incidente entro 72 ore dalla conoscenza).
Ove opportuno, viene prevista la notifica senza indebito ritardo degli incidenti significativi anche nei confronti dei destinatari dei servizi stessi.
A queste previsioni, si aggiungono le prescrizioni rivolte agli Stati membri, circa la necessità di prevedere misure di vigilanza e esecuzione a cui sottoporre i soggetti essenziali e importanti (es. audit mirati e ispezioni), nonché nuovi obblighi di condivisione delle informazioni sulla cybersicurezza.
Per un approfondimento sulle Direttive NIS 1 e NIS 2 si rimanda a: La Direttiva NIS2 pubblicata – novità in materia cybersecurity (dirittoaldigitale.com) e Quale responsabilità degli amministratori per un cyberattacco a danno della società?