La Direttiva NIS 2 ha l’obiettivo di rafforzare il livello di cybersecurity dell’Unione europea e di creare un’armonizzazione tra i suoi Stati Membri. A tal fine, prevede obblighi per organizzazioni e governi, che hanno delle implicazioni di primaria importanza per la sicurezza dell’UE e per il suo ruolo nel cyberspazio.
La Direttiva NIS 2 “Network and Information Security”, entrata in vigore il 17 gennaio 2023, è la normativa del Parlamento Europeo e del Consiglio relativa a misure per un livello comune di cibersicurezza nell’Unione europea, che ha l’obiettivo di creare uno standard di Cyber Security elevato in tutti gli Stati Membri. La NIS 2 si applica ad una gamma più ampia di settori rispetto alla precedente direttiva NIS 1 e prevede obblighi specifici per i soggetti inclusi e per gli Stati Membri dell’Ue. L’iter normativo prevede che questi ultimi recepiscano la Direttiva in una Legge nazionale entro il 17 ottobre 2024.
In merito allo stato di recepimento della Direttiva NIS 2 all’interno dell’ordinamento italiano, lo scorso 10 giugno è stata approvata dal Consiglio dei ministri la bozza del Decreto Legislativo relativo al recepimento della Direttiva, trasmessa il successivo 17 giugno alla Camera dei Deputati e al Senato della Repubblica. Lo scorso 7 agosto, infine, il Consiglio dei Ministri si è riunito ed è stato approvato in via definitiva il Decreto Legislativo di recepimento.
Nuovi obblighi per gli Stati Membri dell’Ue
L’obiettivo della nuova Direttiva NIS 2 è ambizioso: costruire un ecosistema digitale più sicuro e armonico tra gli Stati Membri dell’Unione europea. Per raggiungere questo obiettivo, viene richiesto agli stessi di rispettare una serie di obblighi specifici, proprio con l’obiettivo di rafforzare la sicurezza cibernetica a livello tanto nazionale quanto europeo.
Lista soggetti essenziali e importanti
Al primo posto, tra i principali obblighi imposti dalla Direttiva NIS 2 e a carico degli Stati Membri vi è la redazione di una lista dei soggetti essenziali e importanti inclusi. Come accennato precedentemente, la Direttiva estende notevolmente il perimetro di applicabilità già tracciato dalla precedente NIS 1. Questo richiede in primis che tali soggetti si autoidentifichino, registrandosi su una piattaforma resa disponibile dalle autorità nazionali, e poi che gli Stati Membri confermino quali dei soggetti debbano essere inclusi nella lista da inviare all’Ue. Tale obbligo implica un processo di aggiornamento continuo dell’elenco dei soggetti essenziali e importanti, che assume dunque un aspetto dinamico, che va di pari passo con l’evoluzione del panorama delle tecnologie e delle minacce.
Definizione dei requisiti minimi di sicurezza
Inoltre, è richiesto agli Stati Membri di definire dei requisiti minimi di sicurezza che i soggetti identificati, siano essi essenziali e importanti, sono tenuti e rispettare. Tali requisiti minimi saranno di natura trasversale, poiché riguarderanno tanto la gestione del rischio, quanto la gestione degli incidenti, la continuità operativa e la protezione della catena di approvvigionamento. Tali requisiti devono essere necessariamente flessibili e risk-based, in quanto dovranno adattarsi alle specificità di ciascun settore, nonché alle dimensioni delle singole organizzazioni identificate e al relativo rischio dei sistemi su cui vengono implementate.
Istituzione di un’autorità nazionale per la Cyber Security
Un obbligo fondamentale richiesto dalla Direttiva agli Stati Membri riguarda l’istituzione di un’autorità nazionale per la Cyber Security. Infatti, per coordinare le attività a livello nazionale, garantire delle linee guida alle organizzazioni incluse, nonché condurre attività di ispezione e di applicazione delle sanzioni, è necessario che gli Stati Membri istituiscano un’autorità centralizzata di settore. Per gli Stati che si sono già dotati di una tale struttura (come l’ACN in Italia), ciò significa il potenziamento delle capacità dell’autorità nazionale stessa, che necessita di competenze e risorse per ricoprire tale ruolo, nonché una stretta collaborazione con le altre autorità competenti.
Creazione di un quadro sanzionatorio efficace
Un ulteriore importante obbligo sancito dalla NIS 2 e di responsabilità degli Stati Membri è la creazione di un sistema di sanzioni per le violazioni della Direttiva. Il quadro sanzionatorio deve essere, da una parte, proporzionato alla gravità dell’infrazione e dissuasivo nei confronti di violazioni future, dall’altra, deve essere chiaro, prevedibile ed efficace, senza compromettere la competitività delle organizzazioni stesse.
Costituzione di una rete di cooperazione a livello europeo
Per poter favorire lo scambio di informazioni tra gli Stati Membri dell’Unione europea, la NIS 2 richiede a questi ultimi di costituire una rete di collaborazione per lo scambio di informazioni e per la condivisione di best practices, nonché per la risposta coordinata agli incidenti Cyber a livello transnazionale. Ciò permetterà, a tendere, di creare sinergia tra gli Stati Membri e, al contempo, di armonizzare le procedure e gli strumenti adoperati da ciascuno stato per gestire gli incidenti Cyber.
Promozione di attività di sensibilizzazione e formazione
La NIS 2 richiede poi agli Stati Membri di promuovere iniziative di sensibilizzazione e formazione rivolte tanto alle organizzazioni, quanto ai professionisti di Cyber Security, nonché ai cittadini in senso più ampio. Aumentare la consapevolezza dei rischi e delle minacce può consentire di adottare comportamenti più sicuri, favorendo la creazione di una cultura di Cyber Security, nonché una maggiore preparazione per chi opera e lavora in questo campo.
Strategia nazionale per la cibersicurezza
Da ultimo, ma non meno importante, gli Stati Membri sono tenuti ad adottare una strategia nazionale per la cibersicurezza che definisce gli obiettivi e priorità strategiche e una governance della Cyber Security a livello nazionale, con specifico riferimento agli obblighi previsti dalla Direttiva.
Implicazioni per la sicurezza dell’Ue
La Direttiva NIS 2 rappresenta una risposta importante dell’Ue alla crescita di minacce e attacchi informatici che si è verificata negli ultimi anni – sia livello globale sia a livello italiano, come dimostra il rapporto Clusit – che potrebbero avere un impatto di natura transfrontaliera e che, per questo, richiedono un approccio multirischio da parte degli Stati Membri. In particolare, la NIS 2 pone un’enfasi sulla catena di approvvigionamento, definendo obblighi specifici per le organizzazioni in termini di definizione di clausole contrattuali e di valutazione della maturità Cyber dei fornitori. Inoltre, gli Stati dovranno prevedere specifici obblighi per la sicurezza dei catena di approvvigionamento relativa ai prodotti e servizi TIC, in particolare per gli appalti pubblici. La Supply Chain, infatti, è divenuta negli ultimi anni un vettore sempre più utilizzato dagli attori di minaccia per veicolare attacchi informatici nei confronti di aziende strategiche in tutta l’Ue, come evidenziato dall’ENISA Threat Landscape 2023.
Per affrontare le minacce in modo adeguato ed efficace, è fondamentale un approccio sistemico a livello di Unione. A tal fine, sono fondamentali gli obblighi di cooperazione e di condivisione di informazioni su incidenti, minacce e vulnerabilità informatiche previsti dalla Direttiva. È importante poi, che vengano create delle strutture apposite, che permettano agli Stati di condividere informazioni rilevanti in modo veloce ed efficace: la Direttiva istituisce l’EU CyCLONe, volto a sostenere la gestione degli incidenti e delle crisi cyber su vasta scala. Il caso Crowdstrike ha insegnato come il mondo sia profondamente interconnesso e un incidente possa avere impatti di livello globale, attraversando le frontiere degli Stati, perlopiù assenti nel cyberspazio.
Infine, è interessante notare come la Cyber Security sia divenuta un elemento di importanza centrale nelle agende degli Stati e delle istituzioni europee, che hanno iniziato a comprendere come le minacce cibernetiche debbano essere affrontate con un approccio strategico, risk-based e proattivo. Importante, a tal fine, l’obbligo per gli Stati Membri di definire una strategia nazionale di Cyber Security, come l’Italia ha già fatto nel 2022, con la pubblicazione della “Strategia Nazionale di Cybersicurezza 2022-2026”.
Conclusione
La Direttiva NIS 2 rappresenta un punto di svolta nell’approccio dell’Unione Europea alla Cyber Security, in quanto strumento strategico per rafforzare la resilienza e la sicurezza informatica degli Stati Membri, a fronte di un panorama delle minacce in continua evoluzione, che pone molteplici sfide alla sicurezza dell’Ue. La capacità di ciascuno Stato Membro di recepire i requisiti normativi della Direttiva all’interno del proprio ordinamento in modo efficace e tempestivo rappresenterà la chiave per garantire la sicurezza dell’Unione anche nel cyberspazio.
