Direttiva NIS2: recepimento per l’Italia

I nuovi obblighi di cyber sicurezza per le aziende

La Direttiva NIS2 (Direttiva UE 2555/2022) è stata approvata dal Parlamento UE e recepita in Italia con il D.Lgs 138/2024 e introduce nuovi obblighi in materia di cybersecurity per un ampio numero di società.

Il rischio cyber è aumentato in modo esponenziale negli ultimi anni, tanto da indurre i legislatori nazionali ed europei ad innalzare le difese contro eventuali attacchi informatici. La nuova Direttiva NIS2, appena approvata dal Parlamento europeo, si pone in tale ottica quale strumento volto ad aumentare i sistemi di sicurezza di un numero sempre crescente di settori contro i cyberattacchi.

Ampio ambito di applicazione per la Direttiva NIS2

La novità principale della Direttiva NIS2 è il suo ambito di applicazione. Le nuove disposizioni normative oltre ad essere applicabili ai settori originariamente previsti dalla Direttiva NIS1 (e.g. il settore dell’energia, delle telecomunicazioni, dei trasporti, bancario e dei mercati finanziari, sanitario, etc.) sono applicabili anche ad un novero di società prima non incluse, quali quelle che forniscono, tra gli altri:

• servizi digitali, ad esempio piattaforme di cloud computing, data centre, content delivery network provider, servizi di comunicazione elettronica e di reti di comunicazione elettronica;
• servizi sanitari, quali società farmaceutiche, produttori di dispositivi medici ed healthcare provider; e perfino
• servizi di produzione, trasformazione e distribuzione di cibo, ivi comprese le imprese della grande distribuzione.

Il nuovo testo normativo introduce inoltre indicazioni circa le dimensioni delle società. Rientrano quindi nel campo di applicazione della Direttiva NIS2 le società dei settori sopra richiamati che siano di medie e grandi dimensioni, ma potrebbero rientrarci anche piccole e microimprese se operano in settori chiave per la società e, indipendentemente dalle dimensioni, fornitori, tra gli altri, di servizi di comunicazione elettronica e di reti di comunicazione elettronica.

Obblighi di cybersecurity più dettagliati e stringenti con la Direttiva NIS2

La Direttiva NIS2 prevede che gli Stati Membri debbano fare in modo che le società rientranti nel suo ambito di applicazione debbano “adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza dei sistemi di rete e di informazione che tali soggetti utilizzano per le loro operazioni o per la fornitura dei loro servizi e per prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi e su altri servizi.”

Secondo la direttiva queste misure tecniche, operative ed organizzative devono comprendere almeno quanto segue:

1. policy sull’analisi dei rischi e sulla sicurezza dei sistemi informativi;
2. sistemi di gestione degli incidenti;
3. sistemi di business continuity, come la gestione dei backup e il disaster recovery, e la gestione delle crisi;
4. misure di gestione della sicurezza della supply chain;
5. la sicurezza nell’acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità;
6. policy e procedure per valutare l’efficacia delle misure di gestione del rischio di cybersecurity;
7. pratiche di igiene informatica di base [i.e., regole fondamentali per garantire la cybersecurity] e formazione in materia di sicurezza informatica;
8. policy e procedure relative all’uso della crittografia e, se del caso, della cifratura crittografia;
9. misure sulla sicurezza delle risorse umane, le politiche di controllo degli accessi e la gestione degli asset; e
10. l’uso di soluzioni di autenticazione a più fattori [i.e., la c.d. multi-factor authentication] o di autenticazione continua, di comunicazioni vocali, video e di testo protette e di sistemi di comunicazione di emergenza protetti all’interno dell’entità, ove opportuno.

Obblighi di notifica dei cyber attacchi ai sensi della Direttiva NIS2

La Direttiva NIS2 prevede un obbligo di notifica al CSIRT e alle autorità competenti, senza ritardo, di qualsiasi incidente che può avere un impatto significativo sulla fornitura del servizio. Inoltre, stabilisce che – quando è appropriato – la notifica debba avvenire anche a beneficio dei destinatari del servizio impattato dal cyber attacco, anche indicando le misure che detti destinatari sono in grado di adottare per reagire all’attacco.

Il termine di notifica è ulteriormente specificato dalla direttiva che fa riferimento a 24 ore dalla conoscenza per l’invio di un “early warning” che deve essere seguito dalla notifica di una analisi dettagliata dell’incidente entro 72 ore dalla conoscenza.

L’autorità a cui i fornitori di servizi essenziali e importanti sono soggetti ed il sistema sanzionatorio

La Direttiva NIS2 prevede l’applicazione del principio dello stabilimento. Quindi le società sono soggette solo alla giurisdizione delle autorità dello Stato Membro in cui sono stabilite. Tuttavia, ci sono eccezioni applicabili, tra gli altri, nel caso di fornitori di:

• servizi di comunicazione e di rete elettronica che sono soggetti alla competenza del Paese in cui si trovano i destinatari dei loro servizi; e
• alcuni servizi online che sono soggetti alla competenza del Paese dell’Unione Europea dove si trova il loro stabilimento principale.

La Direttiva NIS2 prevede dei poteri minimi di indagine che le autorità locali devono avere per valutare l’adeguatezza delle misure adottate dalle società fornitrici di servizi essenziali ed importanti.

Nel caso in cui una azienda non si conformi con gli obblighi di cui alla Direttiva NIS2, gli Stati Membri devono fare in modo che tali società adottino, senza ritardo, tutte le azioni correttive appropriate e proporzionali.

La direttiva già prevede però, tra gli altri,

• l’obbligo per gli Stati Membri di stabilire la possibilità di sospendere l’attività aziendale dell’impresa e di imporre specifici divieti; e
• l’applicazione di sanzioni fino a € 10 milioni o al 2% del fatturato globale dell’anno precedente in caso di società essenziali, mentre sanzioni fino a € 7 milioni o al 1,7% del fatturato globale in caso di società importanti.
• Per le pubbliche amministrazioni le sanzioni sono ridotte da 25000 a 125000 Euro, ma possono essere raddoppiate o triplicate in caso di ripetute inosservanze nel tempo.

Se un incidente informatico ha comportato anche un data breach ai sensi del GDPR da cui è derivata una sanzione ai sensi del Regolamento privacy europeo, le sanzioni amministrative previste dalla direttiva non sono applicabili.

Sono inoltre applicabili sanzioni accessorie che possono portare anche alla sostituzione del management aziendale.