L’analisi dei capisaldi della Direttiva NIS 2 ha evidenziato la principale novità della normativa rispetto al provvedimento che l’ha preceduta e da cui è nata (Direttiva NIS). Si tratta del cosiddetto “approccio multirischio”, basato su una metodologia complessa e articolata su diverse misure tecniche, operative e organizzative. Questo elemento, inserito in un contesto normativo che unisce alla Direttiva altri due importanti provvedimenti di matrice europea – il Regolamento DORA e la Direttiva CER – rende evidente la necessità che i soggetti interessati (pubblici e privati) valutino con estrema attenzione tutti gli aspetti organizzativi funzionali alla miglior gestione del rischio informatico.
Come prepararsi?
Il 18 ottobre 2024 è la data in cui la Direttiva NIS 2 sarà ufficialmente efficace come unico provvedimento sul tema, facendo decadere la precedente Direttiva NIS. Fino ad allora i due provvedimenti coabiteranno, segnando un periodo di ventuno mesi entro i quali i soggetti interessati sono obbligati ad attuare le necessarie misure di recepimento per essere “compliant” alle nuove norme. Questo arco di tempo è cruciale nell’investire adeguatamente e con profitto le risorse necessarie allo scopo.
Questo mette in luce, per le imprese e per gli enti coinvolti, un tema tanto evidente quanto delicato di valutazione e armonizzazione delle politicy interne di sicurezza dei sistemi e delle informazioni, della business continuity, dei processi di gestione degli incidenti informatici, degli aspetti legati al procurement e alla sicurezza della supply chain.
Non è da escludere, quindi, che l’attenta valutazione degli aspetti organizzativi di cyber risk management si traduca in un completo ripensamento e della conseguente riscrittura di tutti i principali processi interni alle aziende e agli enti pubblici; un “ripartire da zero” per implementare nel modo più efficace l’approccio “multirischio”, tarandolo sui nuovi obiettivi e sui nuovi obblighi di sicurezza definiti dal legislatore europeo.
La collaborazione degli Stati membri
Uno dei principi fondamentali stabiliti dal diritto europeo è quello di “leale cooperazione”, sancito all’articolo 4 del Trattato sull’Unione Europea. Il principio si declina su due aspetti: uno di astensione (non varare atti nazionali che compromettano la realizzazione di obiettivi comunitari), uno di azione (adottare tutti gli atti necessari per raggiungere quegli obiettivi).
Il principio di leale cooperazione si riflette, tramite la Direttiva NIS 2, nell’ambito della sicurezza informatica. Nello specifico, gli Stati sono tenuti a collaborare nell'identificazione dei servizi essenziali e dei fornitori di servizi digitali critici che rientrano nell'ambito di applicazione della Direttiva. Inoltre, devono lavorare congiuntamente alla definizione delle misure di sicurezza che garantiscano protezione alle reti e ai sistemi informatici.
Un aspetto molto importante riguarda la condivisione delle informazioni relative alle minacce informatiche. La Direttiva NIS 2 prevede infatti la creazione di un sistema di scambio di informazioni tra gli Stati membri, nell’ottica di una più solida protezione da eventuali attacchi.
In conclusione, la cooperazione degli Stati membri è fondamentale per garantire un elevato livello di cybersecurity su scala continentale. Solo attraverso una collaborazione efficace e costante sarà possibile proteggere i cittadini europei dai rischi di attacchi e garantire una maggiore stabilità e sicurezza dell'economia digitale dell'Unione Europea.
