NIS2 approvata, aumentano i livelli di sicurezza informatica

Con una maggioranza schiacciante – 577 voti favorevoli contro appena 6 contrari – pochi giorni fa il Parlamento europeo ha approvato la seconda Direttiva NIS (Network and Information Security) sulla scia dell’omonimo atto del 2016, che in Italia aveva avuto applicazione tramite il decreto legislativo n. 65/2018.

Nella convinzione che la mancata omogeneità delle regole di sicurezza informatica tra i vari Stati membri determinasse il concreto rischio di vivere in un’Europa più vulnerabile, l’adozione della NIS2 sigilla il punto d’arrivo di un lungo processo avviato nel 2019 che ha incluso anche una consultazione aperta a cittadini e stakeholder di settore.

La revisione mira ad aggiornare la normativa per adeguarla al mutato contesto di riferimento e rispondere alle accresciute minacce di cybersecurity, prevedendo altresì la creazione di un nuovo European Vulnerability Database e il rafforzamento della rete di collegamento per le crisi informatiche Eu–CyClone.

Soggetti coinvolti e ambiti di applicazione

Se già la NIS1 si rivolgeva a un’ampia gamma di destinatari, dagli operatori economico-finanziari ai servizi di trasporto, la nuova direttiva allarga ulteriormente il proprio raggio attuativo includendovi una serie di contesti precedentemente esclusi.

Anche alla luce degli aumentati cyber attacks mirati a tali settori negli ultimi anni la NIS2 estende infatti l’applicazione delle regole comunitarie di sicurezza informatica, tra gli altri, a:

• filiera alimentare (dalla produzione alla grande distribuzione organizzata – GDO);
• ambito sanitario (nelle sue molteplici declinazioni farmaceutiche, ospedaliere e di fornitura di servizi o dispositivi medicali);
• fornitori di energie e gestori di servizi di smaltimento rifiuti;
• Pubbliche Amministrazioni e relative reti di comunicazione istituzionale;
• infrastrutture digitali (nozione vastissima, nella quale rientra infatti il gruppo più largo di realtà interessate).

Previo il loro riconoscimento come erogatori di servizi essenziali negli ambiti richiamati, tali soggetti andranno ora incontro a obblighi più stringenti in termini di prevenzione, notifica e gestione degli attacchi informatici, che partono dal generale dovere di irrobustire le proprie infrastrutture per minimizzare l’eventualità e l’impatto degli incidenti per arrivare a prevedere specifici adempimenti tecnici e organizzativi per singoli settori di attività.

Enti e organizzazioni saranno esplicitamente tenuti anche ad assicurare l’affidabilità delle proprie supply chain, selezionando con attenzione partner e fornitori nonché vigilando sul rispetto delle regole di sicurezza lungo l’intera catena di approvvigionamento e fornitura.

Obblighi e tempistiche per gli Stati

A partire dall’entrata in vigore, che si perfezionerà in seguito all’avvenuta approvazione presso il Consiglio Europeo, la Direttiva concede agli Stati membri 21 mesi per il suo pieno recepimento a livello nazionale: il termine definitivo scadrà quindi, presumibilmente, nella seconda metà del 2024.

Il fine ultimo è l’adozione di “misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza dei sistemi di rete e di informazione […] e per prevenire o ridurre al minimo l’impatto degli incidenti”. Obiettivi ambiziosi e quanto mai urgenti alla luce di una digitalizzazione inarrestabile ma niente affatto indolore, in termini di attacchi e conseguenti costi (non soltanto economici) per cittadini e aziende.

A ulteriore rafforzamento delle nuove previsioni, la NIS2 potenzia le attività di coordinamento e supervisione a livello comunitario; ma riconosce anche maggiori poteri investigativi e sanzionatori, nella forma di misure economiche e/o interdittive da comminare ai soggetti inadempienti, in capo ai singoli Stati.

La competenza in materia spetta al Paese in cui le organizzazioni coinvolte abbiano il proprio stabilimento unico o principale, con talune deroghe per i servizi online (rispetto a cui può prevalere la giurisdizione dello Stato in cui si collochi la maggioranza dei destinatari).

Nel caso di incidenti che abbiano tra i propri effetti la perdita o il deterioramento di dati personali, resta tuttavia salva l’applicazione delle sanzioni già dettagliatamente imposte dal GDPR.