CAPISALDI E INNOVAZIONI DELLA NUOVA DIRETTIVA “NIS 2”

Un insufficiente livello di Cyber resilienza delle aziende che operano nell’Unione Europea, una discontinua applicazione della Direttiva tra Industry e Stati membri, una carente capacità di agire congiuntamente in condizioni di crisi e negli ambiti di condivisione delle conoscenze sono tra i principali punti di debolezza della Direttiva 2016/1148 (cd. “NIS 1”), che ne ha comportato un livello di impatto ed efficacia inferiori alle aspettative.

In tale scenario, il 16 dicembre 2020 la Commissione europea ha presentato una proposta di Direttiva “NIS 2” che racchiude una serie di sostanziali revisioni e aggiornamenti della precedente Direttiva. La proposta di revisione della Direttiva dovrà essere recepita dagli Stati membri entro 18 mesi dalla sua entrata in vigore, previo esame del Parlamento europeo e del Consiglio dell’Unione Europea.

La nuova Direttiva “NIS 2”, che abrogherà e sostituirà la Direttiva NIS 1, si pone di superare i limiti della precedente norma attraverso alcuni capisaldi fondamentali:

  • una più chiara ed estesa descrizione del perimetro di applicazione;
  • l’introduzione delle “entità importanti” (come gestione dei rifiuti, industria chimica, servizi postali, industria alimentare, fornitori di servizi digitali), che avranno restrizioni più leggere ed applicate “ex-post” rispetto alle “entità essenziali” (denominati “operatori di servizi essenziali” nella precedente Direttiva);
  • l’esclusione dal perimetro delle piccole e medie imprese resta confermata ma con alcune eccezioni;
  • le misure tecniche minime da imporre ad entità essenziali ed entità importanti sono più razionalizzate e specifiche rispetto alla precedente norma, inclusi gli obblighi di notifica degli incidenti;
  • l’obbligo, da parte di un’entità interessata da un incidente ritenuto “significativo”, di darne notifica all’autorità competente entro 24 ore e di produrre una reportistica ad-hoc entro un mese, nonché di informare tempestivamente i destinatari dei servizi impattati dall’incidente;
  • le misure tecniche adottate dovranno essere commisurate al “rischio” (anche in termini di “impatti” e di relativa “probabilità di accadimento) ed all’evoluzione delle tecnologie;
  • una maggiore definizione delle attività di supervisione da parte delle autorità competenti in merito alla conforme applicazione della normativa, prevedendo che gli operatori essenziali ed importanti siano sottoposti alla giurisdizione degli Stati Membri dove prestano i propri servizi;
  • una maggiore attenzione alla gestione del rischio e delle vulnerabilità delle “Supply Chain”, a causa della crescente dipendenza degli operatori da fornitori terzi di sistemi informativi e di infrastrutture tecnologiche;
  • un maggiore allineamento con le prescrizioni imposte dal Regolamento (UE) 2016/679 (GDPR), che spinge i “titolari del trattamento” a condurre adeguati Assessment delle misure e dei presidi di sicurezza informatica adottate dai fornitori ICT;
  • il rafforzamento della cooperazione tra Stati membri e della spinta alla condivisione delle informazioni tra i soggetti coinvolti, soprattutto attraversol’istituzione delEuropean Cyber Crisis Liaison Organisation Network (EU – CyCLONe)” con il ruolo di coordinare gestire gli incidenti su larga scala, garantendo un regolare scambio di informazioni tra gli Stati membri e le istituzioni europee;
  • l’inasprimento del regime sanzionatorio, che prevedono una sanzione massima fino a 10.000.000 di euro o il 2% del fatturato globale annuale.

In conclusione, nell’era del COVID-19 e dello Smart-Working globale, della crescente dipendenza dalle tecnologie e dalle vulnerabilità agli attacchi Cyber che esse comportano, della maggiore interconnessione tra i settori economici, la Direttiva NIS 2 si innesta certamente all’interno di un quadro normativo Europeo che intende rafforzare la resilienza degli operatori, limitare l’impatto degli attacchi Cyber sul funzionamento dei mercati e uniformare l’approccio tra gli Stati Membri…nella speranza che il tutto si traduca in un vero e proprio pilastro a presidio degli operatori, mantenendo però sufficiente flessibilità e un peso sostenibile per la loro operatività.

di Daniele Binda Manager – IT & Security Governance, Risk Management, Compliance and Finance @ Dedalo GRC Advisory