NIS2 OVVERO UNA NUOVA OCCASIONE PER LA CYBERSECURITY
Il prossimo 18 ottobre segnerà per un passaggio fondamentale per l’armonizzazione nella UE delle norme in materia di sicurezza informatica, paragonabile forse solo all’entrata in vigore del GDPR. Questo per due motivi: il contesto geopolitico in cui la norma andrà ad operare e il cambio di prospettiva che impone agli attori economici in materia di cybersecurity.
La prima direttiva Direttiva NIS, emanata nel 2016, si prefiggeva lo scopo di far raggiungere ai singoli stati membri un alto livello di sicurezza informatico, armonizzando tra loro le normative nazionali. Obbiettivo in gran parte fallito a mio parere poiché la norma era stata elaborata da giuristi che avevano poca conoscenza pratica della cybersecurity, motivo per cui non é stato possibile né approcciare in modo uniforme i diversi Stati Membri né definire chiaramente il perimetro applicativo della norma a livello di soggetti interessati e delle loro caratteristiche strutturali.
La Direttiva NIS2 rimedia, in gran parte, alle criticità della prima, mantenendo l’obiettivo di raggiungere un livello elevato di cybersicurezza tra gli Stati Membri,ma ampliando le opzioni di creare protocolli in grado di renderne efficace l’applicazione a livello comune e di garantire una reale protezione alla vita sociale ed economica dell’Unione. La normativa che entrerà in vigore interessa un numero più elevato di soggetti ed impone loro una serie di obblighi in materia di sicurezza informatica piuttosto stringenti, in ragione dell’attuale contesto internazionale e delle relative minacce da affrontare.
Alcuni dati : a partire dal 2019, il numero di attacchi informatici registrati a livello globale è cresciuto del 60% secondo i dati del rapporto Clusit 2023. Il 40% di quel 60% é avvenuto nel periodo tra settembre 2022 e dicembre 2023. L’impatto economico e sociale di questi attacchi si é notevolmente aggravato: l’80% degli attacchi rilevati nel 2022 ha avuto un impatto grave o molto grave, manca il dato del 2023, ma se pensiamo agli attacchi che hanno coinvolto varie ASL a livello nazionale, paralizzandone l’attività per settimane, costringendo i cittadini a rinviare analisi od interventi anche importanti, non é realistico aspettarsi uno scenario futuro in miglioramento..
CHI SONO I SOGGETTI INTERESSATI
La nuova norma abbandona la distinzione tra Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD) e introduce quella tra Soggetti Essenziali e Soggetti Importanti. Ricadono in queste categorie tutti i soggetti che operano nei Settori ad Alta Criticità e negli Altri Settori Critici ,che vengono individuati negli allegati 1 e 2 alla Direttiva. Entrano a far parte dei soggetti sottoposti alla normativa le Pubbliche Amministrazioni e sarà onere degli Stati membri definire l’elenco dei soggetti essenziali e importanti entro il 17 aprile 2025, elenco che dovrà essere aggiornato almeno ogni due anni per garantire uniformità nell’applicazione della Direttiva NIS 2.
Lascio al lettore che ne abbia voglia l’onere di consultare l’intero elenco, perché in questo articolo mi preme evidenziare più in generale quali sono sono i settori ad alta criticità coinvolti e i soggetti che vi operano. In primis tutto il settore energetico (gas, petrolio, luce, acqua) , quello dei trasporti (anche le aziende che si occupano di trasporto su strada “esclusi i soggetti pubblici per i quali la gestione del traffico o la gestione di sistemi di trasporto intelligenti costituiscono soltanto una parte non essenziale della loro attività generale” e compresi i “gestori di sistemi di trasporto intelligenti quali definiti all’articolo 4, punto 1), della direttiva 2010/40/UE del Parlamento europeo e del Consiglio”), il settore bancario e finanziario, il settore sanitario , aerospaziale ed infine quello della pubblica amministrazione . Se il lettore é interessato a conoscere in modo più specifico quali siano i soggetti coinvolti può scrivermi in privato ed io sarò ben lieto di rispondere .
Particolarmente importante é il settore delle infrastrutture digitali. I motivi sono facilmente intuibili ed in ragione della loro rilevanza la norma indica puntualmente i soggetti economici coinvolti : fornitori di punti di interscambio internet, fornitori di servizi DNS ( con esclusione degli operatori dei server dei nomi radice ), registri dei nomi di dominio di primo livello (TLD), fornitori di servizi di cloud computing, fornitori di servizi di data center, i content delivery network, cioè fornitori di reti di distribuzione di contenuti, tutti i fornitori di servizi fiduciari, ad esempio quelli di validazione legale, fornitori di reti pubbliche di comunicazione, fornitori di servizi di comunicazione elettronica accessibili al pubblico.
Della categoria “Altri settori critici” fanno parte soggetti di ogni genere, dai corrieri, alle industrie chimiche, al settore manifatturiero (c’é tutto il mondo automotive e la produzione di dispostivi elettronici , hi tech e non) per arrivare a quelle alimentari. Forse, FORSE, sono escluse solo le realtà che operano nel tessile. Anche nell’ambito di questa categoria, il legislatore comunitario ha riservato particolare attenzione ai “fornitori di servizi digitali” ossia quelli di mercati online, di motori di ricerca online, di servizi di social network.
E’ di tutta evidenza che il numero dei soggetti coinvolti dalla nuova normativa rispetto alla Direttiva vigente è notevolmente cresciuto. Per individuare gli enti soggetti alla NIS2 é possibile utilizzare un criterio, di natura oggettiva, che ha come riferimento le loro dimensioni; tutti coloro che operano nei comparti economici che ho indicato prima e che hanno più di 50 dipendenti o un fatturato annuo maggiore di 10 milioni di euro o un totale di bilancio annuo fino a 43 milioni di euro o superiore. Dalla lettura della norma ricaviamo che il criterio di identificazione del soggetto sottoposto alla norma é di tipo alternativo, per cui é sufficiente che uno dei requisiti previsti sia soddisfatto per far entrare a far parte dei soggetti interessati dalla norma.
Ne esiste un altro , a mio parere, che possiamo definire qualitativo o di opportunità o di prudenza in base al quale se un ente opera in uno dei settori individuati, ad esempio gestisce data base od opera come manager di asset digitali per conto di terzi, é bene che si conformi alla NIS2. Mi vengono in mente aziende che lavorano nel campo della comunicazione e che offrono ad i propri clienti servizi completi, che vanno dall’indagine di mercato, alla realizzazione di siti web complessi, alla fornitura della piattaforma per l’ecommerce o quelle che lavorano nel settore hi tech che sviluppano dispositivi che forniscono a terze parti oppure lavorano su specifiche di terzi eleborandone i dati. Della serie anche se non c’é scritto , il tuo nome potrebbe esserci…
Quindi grande é il numero dei soggetti interessati dalla futura applicazione della norma e vasta la loro tipologia. Per evitare di incorrere in sanzioni o altri eventi spiacevoli connessi all’esercizio dell’attività d’impresa, diventa essenziale l’attività di valutazione dei rischi . Primo perchè è la Direttiva stessa ,all’art. 21, che enumera una serie di requisiti necessari, come l’autenticazione a più fattori, la crittografia e l’applicazione di strumenti idonei a rendere consapevole il personale dei vari aspetti del rischio informatico, poi perché solo una valutazione dei vari fattori di rischio informatico ci consente di capire in quali settori intervenire e come e, ultimo, ma non ultimo, mette al riparo gli amministratori da impreviste, ma evitabili, perdite economiche personali o visite in procura.
I rischi di cui tener conto comprendono anche quelli legati alla catena logistica e di fornitura: si dovranno valutare con attenzione le vulnerabilità specifiche e le pratiche di cybersicurezza dei fornitori, non solo quelli di servizi e prodotti ICT, ma di tutti quelli in cui un incidente informatico possa causarne un altro presso il soggetto interessato, ad esempio l’interruzione del servizio erogato o della produzione del bene prodotto/distribuito .
In concreto cosa avverrà ? Dal punto di vista operativo interverranno delle vere e proprie disclosure tra i vari enti interessati, che comporteranno l’ esecuzione di test di sicurezza incrociati, lo produzione dei relativi risultati, la definizione e l’allineamento delle misure da adottare, tutte operazioni queste che necessariamente comporteranno tra le parti uno scambio di dati riservati e che dovranno essere contrattualizzate.
Una delle misure fondamentali per la gestione del rischio riguarda la capacità dei soggetti interessati di garantire la continuità operativa : sarà necessario procedere alla redazione di data disaster recovery plan adeguati, che prevedano al loro interno il business continuity plan, che assegnino le regole e definiscano le procedure per gestire le crisi generate da un incidente o un attacco informatico cosi’ da minimizzarne gli effetti. A mio parere, lo scenario delineato comporterà un’inevitabile ricorso da parte dei soggetti interessati al mondo assicurativo, che al momento non pare pronto, se non in rari casi,ad affrontare queste problematiche. C’é un mercato completamente vergine ed inesplorato , con potenzialità notevoli per le compagnie che vorranno affrontarlo.
Analogamente a quanto previsto dalla normativa GDPR, la NIS2 prevede , per le attività dei settori critici, l’obbligo di notificare ai rispettivi CSIRT o all’autorità nazionale competente – mediante un alert anche sommario entro 24 ore dal momento in cui ne sono venuti a conoscenza – qualsiasi incidente che abbia o possa avere un impatto significativo sulla fornitura dei beni o sull’erogazione dei servizi.
Quanto al quadro sanzionatorio la NIS 2 attribuisce poteri molto incisivi alle autorità competenti, in particolare quello di controllo, che può manifestarsi sia preventivamente, ex ante, attraverso operazioni di monitoraggio del soggetto interessato, che successivamente ad un eventuale incidente e può comportare sanzioni economiche consistenti, analogamente a quanto previsto in ambito 231. Le sanzioni possono arrivare ad un massimo di 10 milioni di euro o al 2% del fatturato, a seconda di quale importo risulti più elevato (articolo 34, punto 4) oppure fino a un massimo di 7 milioni di euro o l’1,4% del loro fatturato, sempre a seconda di quale importo risulti più elevato (articolo 34, punto 5). Nei casi più gravi, si può arrivare alla sospensione o al divieto temporaneo a qualsiasi persona che svolga funzioni dirigenziali (come amministratore delegato o rappresentante legale).
Che cosa possiamo dedurre da quest’ultimo elemento? Che grava sugli organi di gestione dei soggetti economici oggetto della NIS2, il consiglio d’amministrazione, l’amministratore delegato, il collegio sindacale o il sindaco revisore, il dovere di approvare le misure per la gestione dei rischi , di svolgere in prima persona attività di formazione sulle tematiche di cybersicurezza e offrire una formazione analoga ai dipendenti. Come ho avuto modo di scrivere in passato, non si puo’ parlare di sicurezza informatica senza un’adeguata formazione. L’addestramento, mai come in questi casi, é fondamentale per evitare guai.
Concludendo, da quanto esposto emerge evidente che la conformità alla normativa non è e non puo’ essere standardizzata , ma deve essere valutata caso per caso; non dobbiamo adeguarci alla norma solo perché le sanzioni sono pesanti, producendo una mole di documenti formali (che spesso mi capita pure di trovare in formato cartaceo con la specifica che ” é solo questo il formato di legge”……) ma piuttosto guardare a NIS2 come l’elemento chiave per l’ implementazione di misure di sicurezza reali ed efficaci,effettivamente utili al soggetto che le adotta nell’esercizio della propria attività .
Avv. Raffaele Mantovani, foro di Modena