Dal Consiglio dei Ministri del 10 giugno 2024 il via libera del Governo al Decreto di recepimento della Direttiva “NIS2” direttiva (UE) 2022/2555, che dovrebbe assicurare un livello comune ed elevato di cybersicurezza in Europa.
Il 18 ottobre 2024 scade infatti il termine per il recepimento delle nuove regole europee sulla sicurezza delle reti entrate in vigore formalmente nel 2023 ma operative dal 2024. La Direttiva NIS 2 sostituirà potenziandolo, le regole del primo pacchetto di norme sulla Cybersicurezza della vecchia Direttiva NIS, datate 2016 e non più adeguate alle tante e nuove minacce informatiche europee.
Che cos’è la direttiva NIS2?
La direttiva NIS2 fornisce una normativa a livello dell’UE sulla cybersicurezza. La NIS2 è un aggiornamento della versione precedente della direttiva NIS (Network and Information Security). Il suo obiettivo è creare un comune livello di cybersicurezza in tutti gli Stati membri dell’Unione europea. Come il GDPR (General Data Protection Regulation), la direttiva NIS2 si propone di armonizzare le misure e gli approcci negli Stati membri dell’UE per proteggere le infrastrutture digitali, in questo caso, le best practice per affrontare il crescente assalto di attacchi informatici.
Contesto della conformità alla NIS2
Gli attacchi informatici come i ransomware e le violazioni dei dati hanno un impatto crescente sulle organizzazioni e sulle imprese in tutta l’UE. L’ENISA, l’agenzia dell’Unione europea per la cybersicurezza , ha pubblicato un rapporto sul panorama delle minacce avvertendo che nuove forme di phishing e di exploit zero-day vengono utilizzati in modo efficace per attaccare organizzazioni in tutta l’UE. Con un ampio campo di applicazione, la NIS2 mira a migliorare la cybersicurezza in “entità essenziali e importanti” all’interno di settori critici, come energia, retail, trasporti, banche, sanità, pubblica amministrazione, ecc. La direttiva riguarda anche la sicurezza della supply chain e dei fornitori di servizi a livello transfrontaliero.
L’Italia alle prese con la Nis2: la governance
Prima di tutto, viene confermato il ruolo assolutamente centrale dell’ACN, in continuità con la linea tenuta finora e quindi anche valorizzando gli investimenti fatti nell’Agenzia. Rimane, come previsto dalla Legge delega, un ruolo di settore per i Ministeri.
Viene assunto un ruolo più specifico invece dal Ministero della Difesa, in particolare per quanto concerne la gestione delle crisi informatiche, laddove riguardino temi di difesa e sicurezza militare dello Stato, ad evidenziare come i temi di cyberwar siano ormai tutt’altro che irrealistici.
Viene anche istituito in via permanente un Tavolo per l’attuazione della disciplina NIS, con il coinvolgimento di diversi portatori di interesse, che dovrà, fra l’altro, formulare proposte e pareri per l’adozione di iniziative, linee guida o atti di indirizzo.
Il supporto ai soggetti in perimetro e responsabilità
Il testo dedica poi spazio al supporto che dovrà essere dato ai soggetti in perimetro, particolarmente dallo CSIRT; dato che l’obiettivo della Direttiva NIS2 è garantire un comune elevato livello di cybersicurezza, è importante confermare che il ruolo dello CSIRT e dell’ACN è prima di tutto di collaborare con i soggetti in perimetro nel raggiungimento di questo obiettivo.
Passando a quanto impatta direttamente i soggetti in perimetro, si conferma il tema della responsabilità diretta degli organi di gestione, in particolare si conferma che gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e importanti approvano le modalità di implementazione delle misure di gestione dei rischi e sono responsabili delle violazioni a questa norma.
CYBERSICUREZZA NELL’UNIONE EUROPEA
Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (DIRETTIVA NIS2) – ESAME PRELIMINARE (schema di Decreto legislativo)
Il Consiglio dei ministri, su proposta su proposta del Presidente Giorgia Meloni, e del Ministro per gli Affari Europei, il Sud, le Politiche di Coesione e il Pnrr, Raffaele Fitto, ha approvato un decreto legislativo relativo al recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (DIRETTIVA NIS2).
Lo schema in esame è volto a recepire la direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148
La direttiva (UE) 2022/2555 risponde all’esigenza di rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi nell’UE. Le principali novità introdotte sono:
l’ampliamento dell’ambito soggettivo di applicazione della disciplina;
distinzione tra “soggetti essenziali” e “soggetti importanti” re l’adozione di un criterio dimensionale per la loro individuazione;
la razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria;
l’adozione di un approccio “multirischio”;
la regolamentazione della divulgazione coordinata delle vulnerabilità (CVD) e le specifiche funzioni di coordinamento attribuite agli CSIRT nazionali;
l’implementazione delle misure di cooperazione, al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di cybersicurezza su vasta scala.
La nuova direttiva esclude dall’ambito di applicazione i soggetti operanti in settori quali la sicurezza nazionale, la pubblica sicurezza o la difesa, il contrasto, comprese la prevenzione, le indagini, l’accertamento e il perseguimento dei reati, Parlamenti e banche centrali. Il capo relativo alla vigilanza e alle sanzioni non si applica agli organi Costituzionali e di rilievo costituzionale.
In materia di cooperazione, introduce il Gruppo di Cooperazione NIS2.
Prevede uno specifico apparato sanzionatorio, più severo e armonizzato a livello europeo, allo scopo di garantire una maggiore uniformità e deterrenza in tutta l’UE. Le sanzioni sono adeguate alle previsioni di cui alla direttiva e prevedono sanzioni amministrative pecuniarie fino a 10.000.000 di euro.
