L’obiettivo del legislatore con l’entrata in vigore della NIS 2, tuttavia, resta il medesimo: migliorare le capacità di resilienza e di risposta agli incidenti cyber da parte di operatori che forniscono servizi di vitale importanza per le principali attività sociali ed economiche dell’UE.
Lo scorso 27 dicembre è stata finalmente pubblicata in Gazzetta Ufficiale la tanto attesa Direttiva (UE) 2022/2555, meglio nota come Direttiva NIS 2, che abroga l’originaria Direttiva NIS, la quale per prima, nel maggio del 2018, ha acceso i riflettori a livello normativo sul tema della cybersecurity. L’obiettivo del legislatore, tuttavia, resta il medesimo: migliorare le capacità di resilienza e di risposta agli incidenti cyber da parte di operatori che forniscono servizi di vitale importanza per le principali attività sociali ed economiche dell’UE.
Quando entrerà in vigore?
La Direttiva entrerà in vigore il 17 gennaio 2023, ma gli Stati membri avranno l’obbligo di adottare e pubblicare gli atti normativi per recepirla entro e non oltre il 17 ottobre 2024. Seppure i tempi di attuazione possano sembrare particolarmente dilatati nel tempo, i soggetti che dovessero ritenere di essere “sicuramente” coinvolti dalle sue prescrizioni dovrebbero pianificare di allineare e raccordare fin da subito i loro processi interni al più ampio quadro regolatorio nazionale ed europeo.
A chi si applica?
La novità principale della Direttiva NIS 2 è proprio il suo ambito di applicazione, decisamente più ampio rispetto a quello dell’originaria Direttiva NIS. In particolare, le nuove disposizioni normative si applicano a due categorie di soggetti definiti come “essenziali” e “importanti”, i quali non operano solo nei settori originariamente previsti dalla Direttiva NIS (e.g., i settori dell’energia, dei trasporti, della sanità, così come quello bancario e dei mercati finanziari, etc.), ma forniscono anche servizi altrettanto critici, come, ad esempio, quelli postali e dei corrieri, di gestione dei rifiuti, di fabbricazione di dispositivi medici, di computer e prodotti di elettronica e ottica, oppure, ancora, quelli legali alla grande distribuzione alimentare.
Tuttavia, il nuovo testo normativo non si rivolge indistintamente a tutte le società che insistono all’interno dei suddetti settori, ma specifica in maniera precisa delle “regole”, basate principalmente sulla dimensione del soggetto e sul suo fatturato.
Quali sono i principali obblighi della Direttiva NIS 2?
Ciò premesso, fermo restando il ruolo che il legislatore italiano comunque avrà in fase di recepimento, la Direttiva NIS 2 già oggi prevede che, come già avvenuto per l’originaria Direttiva NIS, gli operatori inclusi nel suo campo di applicazione dovranno adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi connessi alla sicurezza dei sistemi informatici e delle reti.
Inoltre, la Direttiva NIS 2 prevede che siano i membri degli “organi di gestione” degli operatori inclusi ad approvare le suddette misure, sovraintendendo alla loro implementazione e corretta attuazione. Facendo presagire, quindi, una loro chiara responsabilizzazione in fase attuativa, che ricalca quanto prevede, ad esempio, il legislatore italiano all’interno della normativa sul Perimetro di Sicurezza Nazionale Cibernetica.
In aggiunta a quanto sopra, i soggetti essenziali e importanti saranno obbligati a notificare all’autorità competente, senza indebito ritardo, eventuali incidenti che abbiano un impatto significativo sulla fornitura dei loro servizi. In particolare, il legislatore prevede la trasmissione di un preallarme entro le 24 ore dalla conoscenza dell’incidente, nonché l’inoltro di un’ulteriore notifica entro 72 ore che, se opportuno, aggiorni le informazioni precedentemente fornite.
In ultimo, si segnala che alla luce della Direttiva NIS 2 gli operatori inclusi potranno essere soggetti ad attività di vigilanza, tra cui ispezioni in loco e vigilanza a distanza, nonché audit sulla sicurezza periodici e mirati, effettuati da organismi indipendenti o dall’autorità competente.
Quali sono le sanzioni per chi non si conforma?
La Direttiva prevede diverse sanzioni in funzione del fatto che un operatore sia qualificato come essenziale o come importante.
Nel merito i soggetti essenziali saranno sottoposti a sanzioni pecuniarie amministrative pari a un massimo di Euro 10.000.000 o a un massimo del 2% del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore. Per i soggetti importanti, invece, potranno essere comminate sanzioni pari a un massimo di Euro 7.000.000 o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore.
Quali raccomandazioni si possono dare agli operatori?
Dall’analisi della Direttiva NIS 2 e fermo restando il ruolo del legislatore italiano in fase di recepimento, risulta chiaro come tale corpus normativo abbia l’intento di migliorare le capacità di resilienza e di risposta agli incidenti da parte dei soggetti qualificabili come essenziali ed importanti.
In un simile contesto, tuttavia, non possono non riconoscersi le possibili interconnessioni – e in alcuni casi “sovrapposizioni applicative” – che sussistono tra la Direttiva NIS 2, il Regolamento DORA, la Direttiva CER, il Cyber Resilience Act e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.
Pertanto, considerati gli ampi sforzi organizzativi ed economici che i soggetti inclusi dovranno sostenere, appare quantomai opportuno che gli operatori coinvolti nell’applicazione della Direttiva NIS 2 inizino quanto prima a predisporre un piano di adeguamento che tenga conto – razionalizzandoli – di tutti gli adempimenti richiesti in materia di cybersecurity dal legislatore europeo e nazionale.