NIS2: cosa fare per adeguarsi.
L'impatto della Direttiva UE 2022/2555 del 14 dicembre 2022 conosciuta anche con l'acronimo NIS2 (Network and Information Security) di recente recepimento nel nostro ordinamento giuridico, è stato, in questi mesi, ampiamente oggetto di articoli e webinar che ne hanno evidenziato molto gli aspetti più tecnici in materia di cibersicurezza per i soggetti appartenenti ai settori ad alta criticità e ad altri settori critici indicati negli allegati I e II della direttiva (scarica la Direttiva UE 2022/2555) che sono considerati medie imprese (art. 2, par. 1, dell’allegato alla raccomandazione 2003/361/CE) o che superano i massimali per le medie imprese e che prestano i loro servizi o svolgono le loro attività all'interno dell’UE.
Senza nulla togliere alla validità di tale approccio, poco si è scritto e detto sul fatto che la Direttiva NIS2 deve integrarsi con l'attuale panorama normativo allo scopo di creare un ecosistema di sicurezza cibernetica integrato e robusto; nel predisporre i programmi attuativi per l'applicazione delle "Misure di gestione dei rischi di cibersicurezza" declinati all'art. 21 della Direttiva 2022/2555, è bene considerare anche le connessioni tra la Direttiva NIS2 e il Regolamento UE 2016/679 (GDPR).
Obiettivo principale della Direttiva NIS2 è quello di migliorare la resilienza e la sicurezza informatica dei soggetti individuati a favore di una più ampia tutela degli interessi nazionali introducendo nuovi obblighi in questi quattro ambiti principali:
- gestione del rischio;
- responsabilità aziendale;
- obblighi di comunicazione e gestione degli incidenti;
- continuità del business.
Gestione del rischio
I soggetti coinvolti nell'applicazione della Direttiva NIS2, per conformarsi alla nuova direttiva devono mettere in campo modifiche organizzative, tecniche e tecnologiche per ridurre i rischi informatici come, ad esempio, una diversa gestione degli incidenti, il miglioramento della sicurezza anche della supply chain, il potenziamento della sicurezza della rete, un migliore controllo degli accessi e la crittografia.
Anche il GDPR impone ai titolari e/o responsabili del trattamento dei dati personali di adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio.
Relativamente alla valutazione dei rischi e l'adozione delle adeguate misure di sicurezza atti a mitigarli, sia il GDPR che la Direttiva NIS2 mettono in evidenza l’importanza di adottare una modalità di valutazione multi rischio anche se con finalità diverse; mentre il GDPR si concentra sui rischi per i diritti e le libertà delle persone, la Direttiva NIS2 si concentra sui rischi per la sicurezza delle reti, delle infrastrutture e dei sistemi informatici.
Responsabilità aziendale
La Direttiva NIS2 prevede che il management aziendale supervisioni, approvi e riceva una formazione sulle procedure di sicurezza informatica dell'azienda e per affrontare i rischi informatici. In caso di violazioni i dirigenti possono incorrere in sanzioni tra cui la responsabilità anche di natura penale e l'esclusione temporanea dalle posizioni dirigenziali in applicazione delle prescrizioni del reato presupposto di cui all'art. 24-bis del d. Lgs. 231/2001. Le responsabilità del management sono molteplici e devono prevedere il concreto impegno ad adottare nuovi modelli organizzativi che prevedano anche la formazione continua del personale aziendale sulla sicurezza informatica.
La Direttiva NIS2 prevede che al management vengano assegnati precisi livelli di responsabilità sostanzialmente simili a quelle prescritti dal GDPR:
- Responsibility: responsabilità operativa per la gestione quotidiana della cibersicurezza;
- Accountability: responsabilità di garantire che le politiche e le procedure di sicurezza siano eseguite e che i risultati ottenuti siano documentati e verificabili;
- Liability: responsabilità legale per le eventuali violazioni di tali misure di sicurezza.
Obblighi di comunicazione e gestione degli incidenti
Altro aspetto importante della Direttiva NIS2 riguarda la gestione degli incidenti e l'obbligo di segnalazione, ovvero gli eventi che possono compromettere la disponibilità, l’integrità, l’autenticità o la confidenzialità dei dati o dei servizi come prescritto all'art. 23 della Direttiva 2022/2555 dove si prevede l'obbligo di segnalare alle autorità competenti gli incidenti considerati significativi.
Il paragrafo 3 dell'art. 23 precisa che un incidente è considerato significativo se:
- ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
- si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.
Continuità del business
I soggetti coinvolti nell'applicazione della Direttiva NIS2, come prescritto al citato art. 21 della Direttiva NIS2 devono assicurare la continuità del proprio business in caso di gravi incidenti informatici attraverso protocolli operativi, procedure di emergenza e sistemi tecnologici oltre alla costituzione di un team di risposta alla crisi in atto interno od esterno che, attraverso il confronto di competenze multidisciplinari, sia in grado di operare le misure di mitigazione più adatte per rilevare, gestire e mitigare gli incidenti, nonché per ripristinare la normalità operativa nel più breve tempo possibile.
Tempistiche
- Dal 1° gennaio al 28 febbraio 2025 i soggetti interessati dalla Direttiva NIS2 dovranno registrarsi sulla piattaforma resa disponibile dall’ACN, la quale dovrà entro il 31 marzo redigere la lista dei soggetti essenziali o importanti inseriti nel perimetro.
- Dal 15 aprile al 31 maggio 2025 i soggetti rientranti nella lista dovranno integrare alcune informazioni sulla piattaforma, come l’indirizzamento IP pubblico e l’elenco degli Stati Membri con cui si hanno rapporti di lavoro.
- Dal 1° maggio al 30 giugno 2026 le aziende del perimetro dovranno dare comunicazione dell’elenco delle attività, dei servizi la propria categoria di appartenenza.
- Entro dicembre 2026 c’è il termine ultimo per l’adeguamento del processo di notifica degli incidenti informatici.
- Settembre 2027, scade il termine ultimo per l’adempimento degli obblighi in ambito governance e misure di sicurezza
Le connessioni tra la Direttiva NIS2 e il GDPR
Nelle modalità e finalità di gestione degli incidenti informatici (definiti "DATA BREACH " dal GDPR e "INCIDENTE SIGNIFICATIVO" dalla Direttiva NIS2) troviamo una delle più significative connessioni tra le due diverse normative.
Il GDPR prevede che i titolari del trattamento dei dati personali provvedano a notificare le violazioni dei dati personali (art. 33 par. 1) che possono comportare accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati, entro 72 ore dalla loro scoperta. La Direttiva NIS2, invece, prevede che la segnalazione dell’incidente significativo avvenga entro 24 ore (segnalazione di "preallarme" art. 23 par. 4 lett. a) con successiva notifica dell’incidente entro 72 ore.
Anche se le due norme precedono le notifiche con scadenze simili, sono diverse le finalità; la Direttiva NIS2 si focalizza sulla fornitura o qualità dei servizi prestati (art. 23 par. 1), mentre il GDPR pone l’attenzione sui potenziali rischi che l’evento potrebbe comportare per diritti e le libertà delle persone fisiche (art. 33 par. 1).
Le segnalazioni vengono effettuate ad autorità competenti diverse (CSIRT o Autorità garante) e potrà accadere, ad esempio, che vi siano eventi rilevanti per il contesto data protection ma non per la cibersicurezza e, pertanto, ogni soggetto coinvolto nell'applicazione della Direttiva NIS2 dovrà redigere delle procedure specifiche che prevedano i diversi destinatari delle segnalazioni e delle informazioni da notificare. In entrambi i casi il Data Protection Officer, dove nominato, provvederà a fornire la dovuta assistenza.
Nella tabella sottostante sono confrontati le diverse azioni richiamate in entrambe le normative, con il corrispondente riferimento normativo.