Direttiva NIS 2, tutte le raccomandazioni del Garante privacy europeo - Agenda Digitale

L'approfondimento

Direttiva NIS 2, tutte le raccomandazioni del Garante privacy europeo

Nel corso dell’iter di approvazione della direttiva NIS 2, cioè la proposta di revisione della direttiva NIS, il Garante privacy europeo (EDPS) si è espresso in merito ad alcuni aspetti con l’obiettivo di verificare la conformità del testo alle altre norme europee

18 Mar 2021
Marina Rita Carbone

Consulente privacy

Tutela del diritto alla data protection attraverso l’implementazione di idonei sistemi di cyber security, attenzione all’intelligenza artificiale e protezione della supply chain: sono alcuni degli aspetti introdotti nella direttiva NIS 2, la proposta di revisione della direttiva NIS, su cui il Garante privacy europeo (EDPS) si è espresso. L’EDPS ha elaborato un proprio autorevole parere al fine di verificare se la proposta stessa sia conforme ed uniforme ai principi ed alle norme contenute nelle ulteriori leggi europee vigenti in materia.

Cyber security, le due nuove direttive europee che cambieranno tutto

Direttiva NIS, tutti i problemi da risolvere

La necessità di provvedere ad una revisione della Direttiva NIS, deriva da numerose criticità e limiti che la stessa ha mostrato nei suoi anni di vigenza. In particolare, la cosiddetta NIS 1 si è dimostrata insufficiente sotto molti profili:

WHITEPAPER
Suggerimenti e strumenti pratica per difendersi dagli attacchi informatici
Sicurezza
Cybersecurity
  • la definizione di “operatori di servizi essenziali”, nei cui confronti la direttiva si applicherebbe, si è mostrata molto ambigua e poco adattabile all’eterogeneità dei casi concreti;
  • l’applicazione dei principi contenuti nella Direttiva è stata differente e frammentata fra i vari settori implicati oltre che fra i vari Stati Membri chiamati a recepirne i contenuti;
  • i processi di condivisione delle conoscenze fra le Autorità sono stati scarsi ed infruttuosi.

Per tali ed altri motivi, la Direttiva NIS vede oggi una nuova luce, nel tentativo di rendere la stessa parte integrante ed essenziale dell’intero ecosistema normativo europeo a tutela dei dati e della cybersecurity. Le principali novità introdotte nella NIS 2 sono:

  • l’estensione dell’ambito di applicazione della Direttiva a nuovi e ulteriori settori critici, originariamente non compresi nella Direttiva NIS;
  • l’identificazione degli “operatori di servizi essenziali” ex ante (all’interno, cioè, dello stesso testo della Direttiva) e non più ex post, con limitazione del potere normativo degli Stati Membri, al fine di armonizzare l’applicazione della Direttiva e incrementarne l’efficacia;
  • un potenziamento delle politiche di condivisione delle informazioni relative ad incidenti e minacce informatiche;
  • l’abbandono della originaria distinzione tra “operatori di servizi essenziali” e “fornitori di servizi digitali”, in luogo di una nuova classificazione, che verte su “entità essenziali” (ossia coloro che operano in settori strategici come l’energia e l’acqua, i trasporti, i mercati finanziari, la salute, l’erogazione di credito, la pubblica amministrazione), sottoposte a controlli più severi e frequenti da parte delle Autorità, ed “entità importanti” (ad es: poste, rifiuti, alimentare, servizi digitali), sottoposte ad attività di vigilanza prevalentemente ex post. La qualificazione come entità essenziale e importanti terrà conto di elementi quantitativi, dell’importanza dei settori in cui l’operatore opera, nonché dell’impatto che gli incidenti avrebbero nel settore stesso;
  • l’esclusione dell’ambito di applicazione delle piccole e microimprese, fatta eccezione per gli operatori che si occupano di fornire servizi fondamentali;
  • una maggiore attenzione sulla sicurezza dell’intera supply chain, con particolare riferimento alle reti ed ai sistemi informativi, da sottoporre a valutazione anche di ENISA;
  • la specifica indicazione delle misure di sicurezza che dovrebbero essere adottate dagli operatori;
  • l’introduzione di un obbligo di notifica degli incidenti e delle minacce alle Autorità non più “senza ingiustificato ritardo”, ma entro 24 ore;
  • la previsione, per i fornitori di servizi imprescindibilmente transnazionali, come il cloud computing, per la quale la giurisdizione è determinata dalla sede in cui l’entità ha il principale stabilimento (individuato, questo, come il luogo in cui si prendono le decisioni sulla gestione dei rischi di cybersecurity o, nel caso in cui tale luogo sia al di fuori dell’UE, nello stabilimento europeo con più dipendenti. In assenza di un qualsiasi tipo di stabilimento all’interno dell’UE, dovrà essere nominato un rappresentante all’interno di uno degli Stati Membri, al fine di individuare la giurisdizione.

L’intervento dell’EDPS

L’opinion si divide sostanzialmente in due macroaree: una dedicata ai “Commenti generali”, nella quale si analizzano i possibili profili di miglioramento strategici della Direttiva, ed una dedicata alle “Raccomandazioni Specifiche”, al cui interno l’EDPS si preoccupa di rilevare tutte le incongruenze o le criticità applicative contenute all’interno di determinate norme. Sotto il primo profilo dei “commenti generali”, l’EDPS si mostra in larga parte soddisfatto delle scelte normative fatte all’interno della nuova Proposta, e pone particolare rilievo a come la sicurezza sia oggi divenuta un principio fondamentale ai sensi dell’art. 5 e dell’art. 32 GDPR, che richiedono a tutti i titolari di adottare misure di sicurezza idonee a garantire la tutela dei diritti e delle libertà dell’interessato.

La tutela dei diritti degli interessati

Tuttavia, l’Autorità garante ricorda che il perseguimento di obiettivi di cyber security a livello europeo può talvolta portare all’attuazione di misure che, nel concreto, interferiscono con i diritti alla protezione dei dati e alla privacy. Ne consegue l’obbligo, per il legislatore, di elaborare previsioni che garantiscono che ogni potenziale limitazione del diritto alla protezione dei dati personali e della vita privata debba necessariamente soddisfare i requisiti contenuti all’art. 52 par. 1 della Carta dei Diritti Fondamentale dell’UE, ossia previsioni legislative che siano proporzionate, necessarie e rispettose dell’essenza del diritto.

Recita, infatti, l’art. 52 della Carta dei Diritti Fondamentali dell’UE: “Eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui”. Per tale ragione, l’EDPS condivide l’intenzione della Proposta, di definire chiaramente regole e standard minimi di sicurezza per:

  • la cybersecurity e la sicurezza delle informazioni trattate dalle istituzioni, dagli uffici, dagli organi e dalle agenzie dell’UE;
  • la cybersecurity di tutti i dispositivi interconnessi (Internet Of Things) e dei servizi associati;
  • la sicurezza delle reti 5G e delle future reti mobili, lungo l’intera supply chain.

Più in generale, l’intenzione della proposta di introdurre all’interno della Direttiva NIS, tramite modifiche sistemiche e strutturali, misure di sicurezza più elevate e severe, oltre a norme minime e disposizioni di coordinamento in materia di vigilanza e applicazione della Direttiva, al fine di promuovere la collaborazione e la condivisione delle responsabilità fra i soggetti ricompresi nel suo ambito di applicazione (in maggior numero rispetto alla NIS 1), è da accogliere positivamente. Le modifiche proposte potranno in tal modo avere un impatto positivo sulla sicurezza dei dati personali e delle comunicazioni elettroniche, portando ad un miglioramento non solo delle pratiche di cybersecurity applicate dalle entità coinvolte, ma anche della sicurezza di Internet.

Il ruolo dell’intelligenza artificiale

EDPS si sofferma anche sul tema dell’intelligenza artificiale, ove utilizzata al fine di rilevare, analizzare, contenere e rispondere alle minacce e agli incidenti informatici: a tal riguardo, evidenzia come sia necessario indicare espressamente, anche all’interno della Direttiva NIS 2, come anche per tali sistemi sia necessario fare applicazione dei principi di data protection by design e data protection by default, ai sensi dell’art. 25 GDPR, richiedendo tali tecnologie il trattamento massivo di dati personali per poter funzionare (si pensi, ad esempio, al trattamento degli user log).

Le raccomandazioni 

L’EDPS svolge alcune considerazioni:

  • in primo luogo, osserva che, per adeguarsi alla proposta, le singole entità che ricadono nel suo ambito applicativo dovranno svolgere alcuni controlli sulla sicurezza informatica che, molto probabilmente, implicheranno il trattamento dei dati personali e dei dati sulle comunicazioni elettroniche, compresi i dati sul traffico. Inoltre, l’estensione del campo di applicazione della Proposta a un numero di attività ben più ampio, comporterà inevitabilmente un aumento del trattamento dei dati personali a fini di sicurezza. Pertanto, sarebbe opportuno svolgere un richiamo espresso e puntuale alla necessità di rendere tali trattamenti pienamente conformi alle prescrizioni normative contenute sia nel GDPR che nella direttiva ePrivacy (in riferimento alle comunicazioni elettroniche);
  • L’autorità osserva, inoltre, che le organizzazioni che agiscono in qualità di Responsabili del Trattamento non sempre si rendono conto che i dati trattati nei sistemi e nei servizi di cybersecurity possono costituire dati personali (si pensi agli indirizzi IP, ai file di registro, ai log degli accessi, agli identificatori di dispositivo). Ne deriva una non conformità al GDPR ed ai suoi principi. Per tale ragione, dovrebbe essere d’obbligo dimostrare che “tutti i sistemi e i servizi di cybersecurity coinvolti nella prevenzione, nell’individuazione e nella risposta alle minacce informatiche dovrebbero essere conformi all’attuale quadro di protezione dei dati e adottare le pertinenti garanzie tecniche e organizzative per garantire tale conformità in modo responsabile”. Di conseguenza si ritiene necessario chiarire, nell’art. 2, che la normativa dell’Unione sulla protezione dei dati personali deve applicarsi a tutti i trattamenti di dati personali che ricadono nell’ambito di applicazione della Proposta, invece che fare riferimento a tali normative solo nell’ambito di specifici contesti;
  • Con riferimento al termine “sicurezza delle reti e dei sistemi di informazione”, si rileva che esso non si riferisce esplicitamente alla protezione degli individui. L’utilizzo generalizzato e indiscriminato di tali termini potrebe avere conseguenze operative “indesiderate” nei confronti della tutela dei diritti delle persone fisiche;
  • Con riferimento al termine “informazioni pertinenti per identificare e contattare i titolari dei nomi di dominio e i punti di contatto che amministrano i nomi di dominio”, si ritiene opportuno precisare chiaramente che cosa possa costituire un’informazione pertinente, compresi i dati personali, tenuto debito conto dei principi di necessità e proporzionalità, al fine di garantire la certezza del diritto e la coerenza delle normative all’interno dei singoli Stati membri;
  • In merito all’art. 23 par. 5 della Proposta, relativo ai casi di accesso legittimo ai dati da parte degli Stati Membri, si evidenzia come tale previsione, ove non implementata, possa essere contraria all’art. 52 della Carta dei Diritti Fondamentali dell’UE, precedentemente citato. Tale norma, infatti, precisa che la base giuridica che consente di interferire con i diritti dei cittadini deve definire, al suo interno, la portata della limitazione del diritto in questione. Al fine di soddisfare tale requisito, occorre che siano espressamente disciplinati, nella norma, la portata e l’applicazione della misura di cui trattasi, oltre alle misure di garanzie e sicurezza minime cui i dati debbano essere comunque sottoposti, in modo da consentire agli interessati di non essere oggetto di fenomeni di abuso. Il testo della proposta dovrà, inoltre, chiarire quali enti (pubblici o privati) potrebbero ritenersi legittimati a richiedere l’accesso ai dati;
  • la decrittazione non autorizzata o il reverse engineering del codice di crittografia o il monitoraggio delle comunicazioni elettroniche al di fuori dei casi espressamente previsti dalla legge e dei poteri conferiti alle autorità, dovrebbero essere vietati;
  • in merito alla gestione del rischio, essendo tale profilo connesso in via principale ma non esclusiva al trattamento dei dati personali, l’EDPS raccomanda di integrare le considerazioni sulla privacy e sulla protezione dei dati di cui all’art. 32 GDPR all’interno della gestione dei rischi per la cybersecurity, al fine di consentire alle organizzazioni, sia pubbliche che private, di attuare strategie uniformi sia per la gestione della sicurezza informatica che per la protezione dei dati personali, evitando inutili “moltiplicazioni degli sforzi”,

La protezione della supply chain

In chiusura, si ritiene opportuno dedicare uno spazio anche alle considerazioni svolte dall’EDPS in merito alla tutela della supply chain ed all’outsourcing dei servizi di sicurezza informatica. I considerando 42 e 44 della Proposta, infatti, consentono sia alle entità “essenziali” che alle entità “importanti” di esternalizzare delle parti o l’interezza dell’attività di cyber security a fornitori esterni (come i c.d. managed security services providers, o MSSPs).

Ovviamente, a tale esternalizzazione deve ritenersi pienamente applicabile il disposto di cui all’art. 28 GDPR, con obbligo per il titolare di provvedere alla designazione di tali soggetti come responsabili del trattamento e, conseguentemente, di garantire il pieno rispetto, da parte dei responsabili, delle disposizioni contenute nel GDPR. L’attenzione alla protezione dei dati dovrebbe permeare anche la stessa scelta dei fornitori, al fine di garantire, in tal modo, che l’intera supply chain connessa alla tecnologia ed ai sistemi di sicurezza sia conforme ai principi di cui al GDPR, in particolare all’art. 25 GDPR, già citato, contenente i principi di privacy by design e by default. Oltre a ciò, dovrebbe sempre svolgersi una verifica della conformità della supply chain alla direttiva ePrivacy, ove il trattamento abbia ad oggetto comunicazioni elettroniche.

Inoltre, nella valutazione dei rischi connessi alla supply chain, non si può prescindere dalla valutazione dei requisiti specifici previsti dalla normativa del paese cui appartengono i fornitori o i destinatari dei servizi, dei sistemi e dei prodotti informatici. Ben potrebbe accadere, infatti, che le leggi dei paesi cui tali soggetti appartengono possano costituire un ostacolo al rispetto della normativa dell’UE in materia di privacy e protezione dei dati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4