In risposta alle crescenti minacce cibernetiche, l’Unione Europea ha implementato la Direttiva sulla Sicurezza delle Reti e dei Sistemi Informativi, nota come NIS (Network and Information Systems). Il suo successore, NIS 2, rappresenta un passo ulteriore nell’assicurare la resilienza cibernetica in tutta l’Unione. In questo articolo, che vuole essere, appunto, una breve guida alla NIS2, esploreremo gli aspetti chiave della NIS 2 e il suo impatto sul panorama della sicurezza informatica europea.
Contesto e Obiettivi Principali
La NIS 2 è stata introdotta per affrontare le sfide emergenti nel contesto della sicurezza informatica. Il suo obiettivo primario è garantire la protezione delle reti e dei sistemi informativi nell’Unione Europea, nonché promuovere la cooperazione tra gli Stati membri per affrontare minacce transfrontaliere.
Una delle modifiche fondamentali apportate dalla NIS 2 riguarda l’estensione della sua portata. Oltre ai fornitori di servizi digitali e ai gestori di infrastrutture critiche, la direttiva ora si applica anche a una gamma più ampia di attori digitali, garantendo una copertura più completa.
Al momento la nuova Direttiva NIS2 prevede il coinvolgimento dei seguenti settori di attività, e una successiva divisione tra “soggetti essenziali” e “soggetti importanti” per una più semplice e coerente identificazione degli operatori:
Soggetto Essenziali
- energia compresi gli operatori dei settori dell’energia elettrica, del teleriscaldamento, del petrolio, del gas e dell’idrogeno;
- trasporto aereo, ferroviario, per via d’acqua e su strada, compresi i trasporti pubblici;
- banche;
- finanza;
- reti idriche (potabile e reflue)
- sanità compresi i prestatori di assistenza sanitaria, i produttori di articoli farmaceutici di base e di dispositivi critici, nonché le infrastrutture di ricerca e sviluppo di medicinali;
- pubblica amministrazione;
- aerospaziale
- imprese del settore alimentare impegnate esclusivamente nella logistica, nella distribuzione all’ingrosso e nella produzione e trasformazione industriali su larga scala
- infrastrutture digitali e fornitori di servizi digitali nei settori e-commerce, motori di ricerca, cloud computing, servizi ICT
Soggetti Importanti
- servizi postali;
- rifiuti
- produzione e distribuzione di sostanze chimiche
- produzione di alimenti
- fabbricazione di computer ed elettronica
- fabbricazione di apparecchiature elettriche
- fabbricazioni di macchinari
- fabbricazione di autoveicoli
- fornitori di servizi digitali
- ricerca
- fornitori di reti di comunicazione
- servizi di comunicazione elettronica
- fornitori di servizi di registrazione dei nomi di dominio
- pubblica amministrazione
Per l’elenco completo e la sua sintesi rimandiamo alla normativa a fondo articolo
Requisiti Chiave della NIS 2
La NIS 2 impone diversi requisiti fondamentali per migliorare la cybersecurity.
Potremmo riassumere in 3 punti, che si applicano ai soggetti interessati, i quali dovranno
- effettuare valutazioni dei propri rischi per individuare quelli che potrebbero ostacolarne la capacità di fornire servizi essenziali;
- adottare misure tecniche, organizzative e di sicurezza per aumentare la resilienza;
- comunicare gli incidenti negativi di rilievo alle autorità nazionali.
Tra questi punti, spicca la comunicazione obbligatoria sugli incident. Gli operatori di servizi essenziali e i fornitori di servizi digitali devono notificare le violazioni della sicurezza alle autorità competenti entro 24 ore. Questo approccio mira a migliorare la trasparenza e a facilitare una risposta rapida agli incidenti, anche se al momento sembrerebbe praticamente impossibile adempiere a tale requisito. Già il GDPR con le sue 72 ore, rende difficoltosa la segnalazione, tuttavia la NIS2 prevede la possibilità di notificare parzialmente l’incident (proprio perchè ai danni di un qualcosa di strategico) e poter integrare successivamente informazioni più complete.
La NIS 2 introduce anche standard di sicurezza più rigorosi per i fornitori di servizi digitali. Ciò include la necessità di implementare misure adeguate per garantire la sicurezza delle reti e dei sistemi informativi. La direttiva promuove anche la collaborazione tra le autorità nazionali e l’interscambio di informazioni per rafforzare la difesa contro le minacce cyber.
Settori Critici e Protezione delle Infrastrutture Digitali
La NIS 2 identifica chiaramente i settori critici che richiedono una particolare attenzione in termini di sicurezza informatica. Questi settori includono energia, trasporti, sanità, finanza e altri servizi essenziali. La direttiva impone requisiti specifici a tali settori, riconoscendo il ruolo cruciale che svolgono nella stabilità e nel funzionamento della società.
La NIS 2 supera la categorizzazione precedente di “operatori di servizi essenziali” e “fornitori di servizi essenziali”. Introduce le nuove categorie di “soggetti essenziali” e “soggetti importanti” per una più semplice e coerente identificazione degli operatori.
La NIS2 si applicherà ai settori essenziali dell’energia, dei trasporti, delle banche, delle infrastrutture finanziarie, dell’acqua, della sanità e delle infrastrutture digitali. Includerà anche fornitori di servizi digitali nei settori dell’e-commerce, motori di ricerca, cloud computing, gestione dei servizi ICT, della pubblica amministrazione e dello spazio.
La NIS 2 elenca “altri settori critici” che includono servizi postali, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, produzione di alimenti, fabbricazione di dispositivi medici, fabbricazione di computer ed elettronica, fabbricazione di apparecchiature elettriche, fabbricazione di macchinari, fabbricazione di autoveicoli, fornitori di servizi digitali, organizzazioni di ricerca. La NIS 2 si applica anche ai fornitori di reti di comunicazione, servizi di comunicazione elettronica, fornitori di servizi di registrazione dei nomi di dominio e alcune entità della pubblica amministrazione. Rientrano nel perimetro di applicazione anche i soggetti definiti “critici” dalla Direttiva CER (UE) 2022/2557.
Un aspetto importante della NIS 2 è l’attenzione alla protezione delle infrastrutture digitali. Date le crescenti minacce alla sicurezza informatica, la direttiva sottolinea la necessità di adottare misure preventive e di sicurezza per proteggere le infrastrutture critiche da attacchi dannosi.
Sanzioni per la Non Conformità e Impatto sulla Sicurezza Cibernetica
Un altro elemento deterrente chiave della NIS 2 sono le sanzioni per la non conformità. Gli operatori di servizi essenziali e i fornitori di servizi digitali che non rispettano i requisiti della direttiva sono soggetti a multe significative. Questa dimensione punitiva mira a garantire che le organizzazioni adottino misure adeguate per proteggere la sicurezza delle reti e dei sistemi informativi.
Gli operatori essenziali potranno essere sottoposti a sanzioni pecuniarie amministrative pari a un massimo di 10 Milioni di €uro o il 2% del totale del fatturato mondiale globale.
Gli operatori importanti, invece, potranno essere soggetti a sanzioni pari a un massimo di 7 Milioni di euro o a fino ad un massimo del 1,4 % del totale del fatturato mondiale globale.
In termini di impatto sulla sicurezza cibernetica, la NIS 2 rappresenta un baluardo contro le minacce sempre più sofisticate. Promuovendo la trasparenza, la collaborazione e l’adozione di standard di sicurezza elevati, la direttiva mira a migliorare la preparazione e la risposta agli incidenti, rafforzando complessivamente la resilienza cibernetica nell’UE.
Conclusioni
La NIS 2 rappresenta un passo significativo verso la creazione di un ambiente digitale sicuro e resiliente nell’Unione Europea. Con l’attenzione ai settori critici, l’espansione della portata e l’imposizione di requisiti più rigorosi, la direttiva affronta le sfide emergenti nel panorama della sicurezza informatica. Il suo impatto si estende oltre la conformità normativa, contribuendo a promuovere una cultura di sicurezza cibernetica e a proteggere l’infrastruttura digitale vitale per la società moderna.
Link interessanti
Qui la versione sintetica della Direttiva 2022/2557
Qui la versione completa della stessa Direttiva 2022/2557
Per approfondire l’argomento, rimandiamo alla pagina del Think Tank del Parlamento Europeo qui