Il legislatore europeo e quello nazionale continuano a porre l’accento sull’importanza che una maggiore regolamentazione ha nella gestione delle minacce derivanti dal cyberspazio: di qualche giorno fa la pubblicazione della bozza di legge di delegazione europea e degli orientamenti della Commissione europea sull’applicazione dell’art. 3 paragrafo 4 e dell’art. 4 paragrafi 1 e 2 della direttiva NIS 2.
La cybersecurity è un processo in progress
Coerentemente con tale approccio, negli ultimi anni si è assistito ad un sempre maggior numero di normative in materia di cybersecurity finalizzate ad incrementare il livello di sicurezza dei sistemi informativi degli operatori che erogano servizi di importanza cruciale per il mantenimento delle attività economiche e sociali.
Tuttavia, quando si parla di cybersecurity, e più in generale di sicurezza, occorre sempre tener presente che essa non è un obiettivo il cui raggiungimento contribuisce in maniera definitiva alla gestione delle minacce e della corporate governance, ma, al contrario, deve essere concepita come un processo in continua evoluzione e sempre soggetto a miglioramenti.
Il senso della Nis 2
È proprio in tale ottica che deve essere letta l’iniziativa del legislatore di introdurre, alla fine del 2022, la Direttiva NIS 2 che ha abrogato la sua precedente versione, introdotto obblighi nuovi e più stringenti e ampliato il suo ambito di applicazione. Il fine ultimo è quello di incrementare ulteriormente il livello di sicurezza cibernetica delle entità che saranno soggette alle sue disposizioni.
Trattandosi di una Direttiva, però, essa fissa gli obiettivi che gli Stati membri devono conseguire, lasciando loro un margine di discrezionalità rispetto alle modalità con le quali devono essere raggiunti. Pur nella discrezionalità appena menzionata, il legislatore comunitario ha tuttavia previsto, nella predisposizione del testo, che la Commissione europea fornisca degli orientamenti finalizzati a chiarire l’applicazione di alcune delle disposizioni.
Gli ultimi chiarimenti sulla Nis 2
Tali chiarimenti sono stati recentemente pubblicati e, sebbene siano rivolti agli Stati membri, hanno un notevole impatto anche per gli enti, che possono comprendere come verranno declinati gli obblighi a proprio carico.
Risultano quindi molto utili, per tutti i soggetti potenzialmente interessati dal perimetro della normativa, i chiarimenti forniti in merito all’applicazione dell’articolo 4 della Direttiva NIS 2, i quali introducono una esenzione da alcuni obblighi previsti dalla normativa.
Nello specifico, laddove un soggetto qualificato come essenziale o importante fosse già tenuto ad adottare misure di gestione dei rischi (come avviene, ad esempio, con il Regolamento DORA) o a notificare gli incidenti significativi in virtù di atti giuridici settoriali, ad esso non si applicheranno le disposizioni in merito, a condizione che gli obblighi che già gravano in capo ad esso siano almeno equivalenti a quelli della Direttiva NIS 2.
Non solo, ma l’ente in questione non sarà soggetto neanche alle disposizioni in materia di vigilanza ed esecuzione.
Occorre sottolineare fin da subito che, al momento, l’unico atto giuridico settoriale vigente le cui disposizioni sono state ritenute equivalenti a quelle della Direttiva NIS 2 è il Regolamento DORA.
Dunque, con tali orientamenti, il legislatore ha inteso regolare non solo i rapporti la tra la Direttiva NIS 2 e gli attuali atti giuridici settoriali dell’Unione, ma ha anche fornito una chiave di lettura delle possibili sovrapposizioni che dovessero verificarsi in ragione dell’introduzione di normative ulteriori, lasciando così intendere come l’intento sia sì quello di legiferare ulteriormente sul tema, in un’ottica però di coordinamento con le varie norme che, da qui ai prossimi due anni almeno, andranno a impattare sul tema della cybersecurity.
Gli obblighi in materia di gestione dei rischi
Scendendo nel merito degli obblighi da cui i soggetti essenziali ed importanti saranno esonerati, vi sono anzitutto quelli di gestione dei rischi di cybersecurity. La Commissione europea ha chiarito che gli enti non dovranno conformarsi alle disposizioni in questione solo laddove siano già tenuti all’adozione di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi garantendo, altresì, la prevenzione o la riduzione al minimo degli impatti degli incidenti per i destinatari dei loro servizi e per altri servizi. Dunque, l’obbligo in analisi si riferisce a tutte le operazioni e a tutti i servizi del soggetto interessato, non solo a risorse informatiche specifiche o a servizi critici forniti dal soggetto.
La valutazione in merito all’equivalenza dovrebbe determinare se gli obblighi di sicurezza già imposti da un differente atto giuridico comprendano misure volte a garantire la sicurezza dei sistemi informativi e di rete, ossia “la capacità dei sistemi informatici e di rete di resistere, con un determinato livello di confidenza, agli eventi che potrebbero compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti da tali sistemi informatici e di rete o accessibili attraverso di essi”.
Inoltre, le misure già adottate devono essere basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti e devono coprire tutte le aree identificate dalla normativa (ad esempio, gestione degli incidenti, continuità operativa, sicurezza della catena di approvvigionamento).
Pertanto le misure di gestione dei rischi di cibersicurezza adottate dal soggetto devono proteggere non solo i sistemi informativi e di rete del soggetto stesso, ma anche l’ambiente fisico di tali sistemi da eventi quali sabotaggi, furti, incendi, inondazioni, problemi di telecomunicazione o interruzioni di corrente, o da qualsiasi accesso fisico non autorizzato in grado di compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti da tali sistemi informativi e di rete o accessibili attraverso di essi.
Pertanto, l’altro atto giuridico settoriale dell’Unione deve affrontare espressamente la sicurezza fisica e dell’ambiente dei sistemi informativi e di rete proteggendoli da guasti del sistema, errori umani, azioni malevole o fenomeni naturali.
Gli obblighi di notifica
La seconda categoria di obblighi da cui i soggetti essenziali o importanti potrebbero essere esonerati sono quelli di segnalazione degli incidenti. In tal caso, l’equivalenza si avrebbe nelle ipotesi in cui gli obblighi vigenti impongano:
- la notifica degli incidenti che, sulla base di una valutazione iniziale effettuata dall’operatore, siano significativi, ossia che (i) abbiano causato o siano in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato o (ii) si siano ripercossi o siano in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli;
- un approccio in più fasi alla notifica, che ne preveda almeno tre con tempistiche ben definite: (i) un preallarme, (ii) una notifica dell’incidente e (iii) una relazione finale. Nello specifico, la Direttiva NIS 2 stabilisce che gli operatori debbano trasmettere senza indebito ritardo, e comunque entro 24 ore, un preallarme al CSIRT. Successivamente, devono inviare senza indebito ritardo, e comunque entro 72 ore, una notifica dell’incidente. Infine deve essere inviata una relazione finale entro un mese dalla trasmissione della notifica dell’incidente, a meno che esso non sia ancora in corso. In tal caso il CSIRT dovrà essere aggiornato sui progressi e la relazione finale dovrà essere ugualmente trasmessa entro un mese dalla gestione dell’incidente.
- un contenuto minimo della segnalazione, che consenta al CSIRT di valutare compiutamente l’accaduto, fornendo aggiornamenti progressivi.
Inoltre, perché l’obbligo sia equivalente, l’operatore deve fornire al CSIRT l’accesso immediato alle notifiche degli incidenti trasmesse.
Le disposizioni in materia di vigilanza ed esecuzione
Infine, tra le disposizioni che potrebbero non trovare applicazione, vi sono quelle in materia di vigilanza ed esecuzione. Nello specifico, ciò si verificherebbe laddove l’altro atto giuridico settoriale già individui autorità competenti che esercitino i loro poteri di vigilanza ed esecuzione in relazione a misure di gestione dei rischi di cibersicurezza o a obblighi di notifica. Le autorità competenti interessate potrebbero stabilire modalità di cooperazione e un meccanismo per lo scambio di informazioni pertinenti in materia di vigilanza ed esecuzione tra autorità competenti.
La normativa nazionale dalla Nis 2
Come già anticipato nei paragrafi precedenti, trattandosi di una Direttiva, il suo testo dovrà essere recepito negli ordinamenti nazionali. A tal fine, il nostro legislatore ha già pubblicato un disegno di legge di delegazione europea che include alcune linee guida per la trasposizione del testo della Direttiva NIS 2 nel nostro ordinamento.
Posto che si tratta ancora di una bozza e, quindi, la versione definitiva potrebbe subire delle modifiche, alcuni elementi potrebbero essere utili a prevedere le direttive sulle quali il legislatore svilupperà il recepimento della normativa.
Anzitutto, il novero dei soggetti che saranno tenuti all’applicazione della normativa è stato ampliato, introducendo anche le pubbliche amministrazioni centrali, le piccole e micro imprese e i fornitori di servizi di comunicazione elettronica indipendentemente dalle loro dimensioni. A tal riguardo, l’approccio tenuto è quello dell’“all-hazard”, che prevede, quindi, un focus anche sulla sicurezza fisica delle infrastrutture ICT.
Inoltre, il recepimento della Direttiva NIS 2 inciderà anche sulla gestione delle crisi attraverso l’istituzionalizzazione di un network per la gestione coordinata degli incidenti e delle crisi di cybersecurity su vasta scala, il Cyber Crisis Liaison Organisation Network (CyCLONe).
Altri due aspetti rilevanti sono la previsione di un regime transitorio per gli enti che siano già soggetti all’applicazione della precedente versione della Direttiva, nonché la delega ad introdurre le modifiche alla legislazione vigente, anche di natura penale, per assicurare il corretto e coerente recepimento delle disposizioni. Pertanto, è possibile che vengano introdotte responsabilità, anche di natura penale, in capo a coloro che violino la normativa.
