I capisaldi della Direttiva NIS 2

In questo post abbiamo visto le ragioni per le quali l’Unione Europea ha dovuto aggiornare, dopo soli quattro anni dalla sua entrata in vigore, la Direttiva NIS, emanando un provvedimento inevitabilmente ribattezzato Direttiva NIS 2. Quest’ultima estende sia l’ambito di applicazione sia il novero degli attori interessati dalle sue norme, considerando due nuovi gruppi di settori che si aggiungono ai sette già definiti dal provvedimento precedente. 

L’analisi prosegue approfondendo i punti cardine sui quali si articolano le nuove regole stabilite dall’Unione Europea.


L’obiettivo della Direttiva NIS 2

Già la Direttiva NIS si dava un obiettivo chiaro e preciso: imporre ai destinatari l’adozione di specifiche misure coerenti e adatte a un’efficace attività di cyber risk management, sia nella prospettiva di ridurre al minimo l’impatto delle conseguenze di eventuali incidenti (anche a danno di fornitori e soggetti esteri) sia in quella, preziosissima, della prevenzione. 

La Direttiva NIS 2 conferma ogni aspetto di questo obiettivo, ma introduce una novità con l’adozione di un approccio cosiddetto “multirischio”. Si tratta di un approccio complesso, basato su una metodologia articolata su più misure tecniche, operative e organizzative. Policy di analisi dei rischi e di sicurezza dei sistemi informatici, gestione degli incidenti e business continuity sono aspetti generali di cyber risk asssessment che stanno alla base di questo approccio, che si declina in vari elementi, sintetizzabili nei seguenti punti:

- sicurezza della catena di approvvigionamento (che include i rapporti tra ciascun soggetto e i suoi diretti fornitori);
- sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete;
- gestione e la comunicazione delle vulnerabilità;
- strategie e le procedure di valutazione della gestione del cyber risk;
- formazione e l’awareness sulla cybersecurity;
- policy e procedure di crittografia e cifratura;
- sicurezza delle risorse umane;
- Multifactor Authentication (MFA) ;
- protezione di comunicazioni vocali, video, testuali; 
- protezione di comunicazioni di emergenza.


Le responsabilità e le sanzioni

Un punto imprescindibile della Direttiva NIS 2 riguarda la definizione delle responsabilità e delle sanzioni nel caso di violazioni delle norme previste o di mancato recepimento delle stesse. Per questo motivo il provvedimento invita gli Stati membri a formulare atti di recepimento in cui sia previsto che i soggetti interessati adottino le misure di governance e gli elementi contenuti nell’elenco appena visto. Se non lo fanno, saranno ritenuti responsabili dell’inadempimento, in piena coerenza con quanto già stabiliscono le regole nazionali sul sul Perimetro di Sicurezza Nazionale Cibernetica, che prevedono responsabilità personali nei confronti del “Responsabile dell’attuazione del Perimetro”.

L’obbligo di segnalazione degli incidenti è un altro dei capisaldi della Direttiva NIS 2, che lo modifica rispetto alla NIS, prevedendo una sequenza di attività più aderenti alla gestione pratica di un eventuale attacco, e definendo con precisione gli obblighi di comunicazione dell’evento, di reportistica e di valutazione della gravità dell’incidente. 

L’ultimo punto riguarda le sanzioni in caso di violazione delle misure di gestione del cyber risk o degli obblighi di segnalazione. Riprendendo uno schema già visto nel GDPR, il legislatore europeo ha stabilito che i soggetti essenziali saranno sottoposti a sanzioni pecuniarie amministrative pari a un massimo di 10 milioni di euro (ridotti a 7 milioni per i soggetti importanti) o a un massimo del 2% (ridotto a 1,4% per i soggetti importanti) del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore.