NIS 2, primo sì dal consiglio dei ministri al decreto che attua la direttiva. Sanzioni per imprese e Pa che non adempiono 

La direttiva (UE) 2022/2555 (NIS 2) risponde all’esigenza di rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi nell’UE. Le principali novità introdotte.

Il Consiglio dei ministri, su proposta su proposta del Presidente Giorgia Meloni, e del Ministro per gli Affari Europei, il Sud, le Politiche di Coesione e il Pnrr, Raffaele Fitto, ha approvato nella giornata di ieri un decreto legislativo relativo al recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (DIRETTIVA NIS2).

Lo schema in esame è volto a recepire la direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148.

La direttiva (UE) 2022/2555 risponde all’esigenza di rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi nell’UE. Le principali novità introdotte sono:

• l’ampliamento dell’ambito soggettivo di applicazione della disciplina;
• distinzione tra “soggetti essenziali” e “soggetti importanti” re l’adozione di un criterio dimensionale per la loro individuazione;
• la razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria; 
• l’adozione di un approccio “multirischio”;
• la regolamentazione della divulgazione coordinata delle vulnerabilità (CVD) e le specifiche funzioni di coordinamento attribuite agli CSIRT nazionali;
• l’implementazione delle misure di cooperazione, al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di cybersicurezza su vasta scala.

La nuova direttiva esclude dall’ambito di applicazione i soggetti operanti in settori quali la sicurezza nazionale, la pubblica sicurezza o la difesa, il contrasto, comprese la prevenzione, le indagini, l’accertamento e il perseguimento dei reati, Parlamenti e banche centrali. Il capo relativo alla vigilanza e alle sanzioni non si applica agli organi Costituzionali e di rilievo costituzionale. In materia di cooperazione, introduce il Gruppo di Cooperazione NIS2.

Prevede uno specifico apparato sanzionatorio, più severo e armonizzato a livello europeo, allo scopo di garantire una maggiore uniformità e deterrenza in tutta l’UE. Le sanzioni sono adeguate alle previsioni di cui alla direttiva e prevedono sanzioni amministrative pecuniarie fino a 10.000.000 di euro.

Direttiva CER

Il Consiglio dei ministri ha approvato un decreto legislativo relativo al recepimento della direttiva (UE) 2022/2557 relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio.

Il decreto viene adottato per il recepimento della direttiva (UE) 2022/2557 concernente la resilienza dei soggetti critici (direttiva CER – “Critical entities resilience”), che abroga la direttiva 2008/114/CE del Consiglio, e nel rispetto dei criteri di delega di cui all’articolo 5 della legge 21 febbraio 2024, n. 15 (legge di delegazione europea 2022-2023).

Con la direttiva CER si interviene al fine di:

• realizzare un adeguato livello di armonizzazione nell’individuazione dei settori, dei sottosettori e delle categorie dei soggetti qualificabili come critici;
• rafforzare la loro resilienza, intesa come capacità di prevenire, proteggere, rispondere, resistere, mitigare, assorbire, adattarsi e ripristinare le proprie capacità operative a seguito di incidenti che possono perturbare la fornitura di servizi essenziali.

A tal fine, il decreto: individua i c.d. soggetti critici almeno nei seguenti settori: energia, trasporti, bancario, acque potabili, acque reflue, produzione, trasformazione e distribuzione di alimenti, salute, spazio, infrastrutture dei mercati finanziari e infrastrutture digitali, nonché enti della pubblica amministrazione; stabilisce che gli stessi soggetti critici dovranno effettuare una valutazione del rischio, adottare misure tecniche, di sicurezza e organizzative, adeguate e proporzionate per garantire la propria resilienza, ripristinare le proprie capacità operative in caso di incidenti; notificare senza indebito ritardo all’autorità competente gli incidenti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali; prevede l’adozione di una «strategia»; regola le modalità di individuazione dei soggetti critici di particolare rilevanza a livello europeo; contiene misure volte a consentire di reagire rapidamente e adeguatamente agli incidenti (di carattere fisico); stabilisce procedure comuni di cooperazione e comunicazione sull’applicazione della direttiva (in particolare deve essere assicurato il coordinamento con la normativa in materia di sicurezza cibernetica di cui alla direttiva NIS2); esclude dall’ambito di applicazione gli enti della pubblica amministrazione che operano nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’attività di contrasto, compresi l’indagine, l’accertamento e il perseguimento di reati, ai quali non si applica il presente decreto; prevede la possibilità di escludere specifici soggetti critici che svolgono attività di tali settori ovvero che forniscono servizi esclusivamente agli enti della pubblica citati.

Perché l’UE ha approvato una nuova direttiva NIS

La nuova Direttiva (UE) 2022/2555 (NIS 2) abroga la Direttiva (UE) 2016/1148 (NIS), e rafforza il quadro della sicurezza cibernetica a livello europeo, aumentando la sicurezza delle infrastrutture tecnologiche e combattendo in maniera efficace i rischi causati dal cosiddetto cyber crime.

La direttiva NIS 2 si articola su quattro principi chiave:

• Protezione dei dati personali.
• Diritti fondamentali.
• Safety.
• Cybersecurity.

La Direttiva (UE) 2016/1148 (NIS) stabiliva la responsabilità assoluta, da parte degli Stati membri, di decidere quali entità potevano qualificarsi come operatori di servizi essenziali, rientrando quindi tra i soggetti ai quali la direttiva veniva rivolta.

Settori critici

La direttiva si applica principalmente agli organismi di medie e grandi dimensioni che operano nei seguenti settori ad alta criticità, come definiti nell’allegato I:

• energia:
  • energia elettrica, compresi i sistemi di produzione, distribuzione e trasmissione e i punti di ricarica;
  • teleriscaldamento e teleraffreddamento;
  • petrolio, compresi produzione, deposito e oleodotti di trasmissione;
  • gas, compresi fornitura, distribuzione e sistemi di trasporto e stoccaggio; e
  • idrogeno;
• trasporto aereo, ferroviario, per vie d’acqua e su strada;
• settore bancario e infrastrutture dei mercati finanziari quali enti creditizi, gestori delle sedi di negoziazione e controparti centrali;
• settore sanitario, compresi prestatori di assistenza sanitaria, soggetti che fabbricano prodotti farmaceutici di base e di dispositivi medici critici e laboratori di riferimento dell’Unione;
• acqua potabile;
• acque reflue;
• infrastruttura digitale, compresi fornitori di servizi di data center, servizi di cloud computing, reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
• gestione dei servizi TIC (business-to-business);
• spazio;
• pubblica amministrazione a livello centrale e regionale, che non comprende magistratura, parlamenti e banche centrali. Tuttavia, non si applica agli enti di amministrazione pubblica che svolgono attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’applicazione della legge.

Si applica inoltre ad altri settori critici, come definiti nell’allegato II:

• servizi postali e di corriere;
• gestione dei rifiuti;
• fabbricazione, produzione e distribuzione di sostanze chimiche;
• produzione, trasformazione e distribuzione di alimenti;
• fabbricazione, in particolare di dispositivi medici, computer e prodotti di elettronica e ottica, di determinate apparecchiature elettriche e macchinari, autoveicoli e altri mezzi di trasporto;
• fornitori di servizi digitali di mercati online, motori di ricerca e reti social; e
• organizzazioni di ricerca.

Strategia nazionale per la cibersicurezza

Ogni Stato membro deve adottare una strategia nazionale per raggiungere e mantenere un elevato livello di cibersicurezza nei settori critici, tra cui:

• un quadro di governance che chiarisca i ruoli e le responsabilità dei pertinenti portatori di interessi a livello nazionale;
• una politica relativa alla sicurezza delle catene di approvvigionamento;
• una politica di gestione delle vulnerabilità;
• una politica di promozione e sviluppo dell’istruzione e della formazione sulla cibersicurezza; e
• misure per migliorare la consapevolezza in materia di cibersicurezza tra la cittadinanza.

Team di risposta agli incidenti di sicurezza informatica

I team di risposta agli incidenti di sicurezza informatica (CSIRT) forniscono assistenza tecnica ai soggetti, attraverso:

• il monitoraggio e l’analisi delle minacce informatiche, delle vulnerabilità e degli incidenti a livello nazionale;
• l’emissione di preallarmi, allerte e bollettini e la divulgazione di informazioni ai soggetti interessati e agli altri portatori di interessi pertinenti, in merito a minacce informatiche, vulnerabilità e incidenti, se possibile in tempo prossimo al reale;
• la risposta agli incidenti e l’assistenza, se del caso;
• la raccolta e l’analisi di dati forensi, fornendo un’analisi dinamica dei rischi e degli incidenti, nonché una consapevolezza situazionale riguardo alla cibersicurezza; e
• l’effettuazione, su richiesta, di una scansione proattiva dei sistemi informatici e di rete per rilevare le vulnerabilità con potenziale impatto significativo.

Rete di CSIRT

La direttiva stabilisce una rete di CSIRT nazionali al fine di promuovere una cooperazione operativa rapida ed efficace.

Gli Stati membri devono:

• designare uno dei loro CSIRT per coordinare la divulgazione delle vulnerabilità individuate nei prodotti o servizi TIC; e
• fare in modo che le persone negli Stati membri siano in grado di segnalare vulnerabilità in forma anonima, qualora lo richiedano.

L’Agenzia dell’Unione europea per la cibersicurezza (ENISA) deve istituire e mantenere una banca dati europea delle vulnerabilità.

La direttiva istituisce un gruppo di cooperazione per sostenere e facilitare la cooperazione strategica e lo scambio di informazioni. È composto da rappresentanti degli Stati membri, della Commissione europea e dell’ENISA. Se del caso, il gruppo di cooperazione può invitare il Parlamento europeo e i rappresentanti dei portatori di interessi pertinenti a partecipare ai lavori.

EU-CyCLone

La rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLone) è composta da rappresentanti delle autorità di gestione delle crisi informatiche degli Stati membri e, nei casi in cui un incidente di cibersicurezza su vasta scala potenziale o in corso abbia o abbia probabilità di avere un impatto significativo sui servizi e sulle attività che rientrano nell’ambito di applicazione della presente direttiva, della Commissione. Negli altri casi, la Commissione partecipa alle attività della rete in qualità di osservatrice. La rete sostiene la gestione coordinata gli incidenti di cibersicurezza su vasta scala a livello operativo e garantisce lo scambio regolare di informazioni tra gli Stati membri e le istituzioni, gli organi e le agenzie dell’Unione.

La rete è inoltre incaricata di:

• coordinare la gestione degli incidenti e delle crisi di cibersicurezza su vasta scala e sostenere il processo decisionale a livello politico;
• aumentare il livello di preparazione;
• sviluppare una conoscenza situazionale condivisa;
• valutare le conseguenze e l’impatto dei pertinenti incidenti e delle pertinenti crisi di cibersicurezza su vasta scala e proporre possibili misure di attenuazione;

Il ruolo dello CSIRT

I soggetti devono notificare al loro CSIRT o all’autorità competente qualsiasi incidente che:

• può causare o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
• si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

Inoltre, l’ENISA produrrà, in collaborazione con la Commissione e il gruppo di cooperazione, una relazione biennale sullo stato della cibersicurezza nell’Unione, che sarà anche presentata al Parlamento.

Da recepire entro il 17 ottobre 2024

Vengono introdotte revisioni tra pari per trarre insegnamenti dalle esperienze condivise, rafforzare la fiducia reciproca e conseguire un livello comune elevato di cibersicurezza, migliorare le capacità e le politiche in materia di cibersicurezza degli Stati membri necessarie per l’attuazione della direttiva. Tali revisioni comportano visite in loco fisiche o virtuali e scambi di informazioni a distanza. La partecipazione a tali revisioni tra pari è volontaria.

La direttiva deve essere recepita nel diritto nazionale entro il 17 ottobre 2024. Le norme dovrebbero applicarsi a partire dal 18 ottobre 2024.

Per approfondire

• In attesa della pubblicazione del documento ufficiale scarica il draft dello schema del decreto legislativo del 7 giugno 2024