Introduzione
La direttiva NIS2 “Network and Information Security” è la normativa del Parlamento Europeo e del Consiglio relativa a misure per un livello comune di cybersicurezza nell’Unione Europea, entrata in vigore il 17 gennaio 2023.
La NIS2 abroga la precedente direttiva NIS1 e ha l’obiettivo di rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi in tutti gli Stati Membri dell’Unione Europea.
La NIS2 si applica a numerosi settori come l’energia, i trasporti, le banche, le infrastrutture dei mercati finanziari, la sanità, (incluso quello farmaceutico), la fornitura di acqua potabile e le infrastrutture digitali, il cloud e l’ICT Service Provider, la Pubblica Amministrazione e lo spazio; identificati come settori ad alta criticità nell’allegato I della direttiva1. A questi si aggiungono nuovi settori critici descritti nell’allegato II della direttiva, ovvero: chimica, gestione dei rifiuti, fabbricazione/manifatturiero, produzione, trasformazione e distribuzione di alimenti, servizi postali e di corriere, fornitori di servizi digitali e ricerca.
La direttiva stabilisce che un soggetto – impresa pubblica o privata – possa rientrare nell’ambito della NIS2 se opera in almeno uno dei settori elencati negli Allegati e superare le soglie di Size Cap definite dall’UE, qualificando si almeno come media impresa ai sensi della raccomandazione della Commissione europea 2003/361/CE del 6 maggio 2003. In tal caso, l’impresa dovrà auto-dichiararsi come soggetto NIS presso lo Stato di residenza.
L’iter normativo della direttiva NIS2 prevede il recepimento da parte di tutti gli Stati Membri in una Legge nazionale entro il 17 ottobre 2024. Nell’ambito del recepimento ogni Paese identificherà poi la data ultima entro cui ciascuna impresa dovrà auto-dichiararsi come soggetto essenziale o importante, a seconda della sua dimensione e del settore in cui opera. Tale differenziazione comporta un regime di supervisione (i.e. ex ante vs ex post) e sanzioni differenziati e, a discrezione dei singoli Stati Europei, possibili distinzioni anche in termini di misure di sicurezza richieste.
Nuovi obblighi e principali elementi di prescrizione
La nuova direttiva NIS2 rappresenta un passo significativo verso un ecosistema digitale più sicuro e armonico all’interno dell’Unione Europea. Volendo analizzare i nuovi elementi introdotti con più diretto impatto sui soggetti coinvolti2, in primo luogo, le organizzazioni dovranno implementare misure di gestione del rischio Cyber più rigorose con riferimento a tutti gli Asset aziendali, sia in ambito IT che OT (i.e. a differenza della direttiva NIS1, che si applicava unicamente agli Asset a supporto dei servizi più critici), come ad esempio: sicurezza della catena di approvvigionamento, continuità operativa, gestione degli incidenti e strategie per valutare l’efficacia delle misure di gestione del rischio Cyber. Ai soggetti cui si applica la direttiva viene richiesto di valutare la criticità di tutti gli Asset aziendali, al fine di implementare misure di gestione del rischio Cyber secondo una modalità Risk-based.
Inoltre, la direttiva NIS2 prevede che gli organi di gestione dei soggetti che rientrano nell’ambito di applicazione della stessa, ricoprano un ruolo attivo nella definizione e supervisione della strategia di gestione del rischio Cyber dell’organizzazione, e siano responsabili per la propria formazione e per quella di tutti i dipendenti su rischi e minacce Cyber.
Anche il tema della sicurezza lungo tutta la Supply Chain ricopre un ruolo fondamentale all’interno della direttiva: le imprese dovranno introdurre processi per verificare l’adeguatezza dei fornitori e delle relative forniture da un punto di vista Cyber, nonché garantire un monitoraggio continuo dei rischi Cyber che una terza parte può veicolare nel corso del contratto, ad esempio eseguendo audit periodici.
In aggiunta, la direttiva prevede obblighi più stringenti in materia di segnalazione e gestione degli incidenti informatici: i soggetti devono provvedere a inviare un preallarme entro 24 ore dal momento in cui vengono a conoscenza di un incidente significativo ed entro 72 ore una notifica dell’incidente che aggiorni le informazioni già trasmesse; entro un mese, i soggetti sono tenuti a inviare un report finale con l’analisi dell’incidente.
Da ultimo la direttiva prevede un regime di supervisione, che in Italia sarà in capo all’Agenzia per la Cybersicurezza Nazionale. L’Agenzia agirà come autorità NIS e sarà responsabile per le attività di vigilanza sulle imprese e sanzioni. La direttiva prevede infatti che la mancata Compliance potrebbe comportare sanzioni che possono arrivare fino a 10 Milioni di euro o 2% del fatturato annuo globale dell’organizzazione per i soggetti essenziali, e fino a 7 Milioni di euro o 1.4% del fatturato annuo globale dell’organizzazione per i soggetti importanti.
Le sfide per le imprese rientranti in NIS2
La direttiva NIS2 pone in capo alle aziende pubbliche e private coinvolte numerose sfide per garantire la conformità. Sfide che sono state precedentemente affrontate per la conformità alla direttiva NIS1 – delle quali nuovi soggetti possono far tesoro – ma nuove sfide determinate ad esempio all’eterogeneità dei settori che ricadono in ambito o alla complessità attuativa richiesta per l’adozione di misure di sicurezza. Analizziamo le principali:
Chiara identificazione dell’ambito – la direttiva NIS2 prevede che le imprese si auto-dichiarino (differentemente dalla NIS1 che prevedeva una nomina diretta) come soggetti essenziali o importanti. Ciò comporterà un impegno non indifferente per quelle realtà come i gruppi e le società multi-Business o anche i gruppi internazionali, per i quali sarà necessario analizzare – a livello nazionale ed europeo – sia i settori di appartenenza delle singole società del Gruppo, ma anche la dimensione in termini di dipendenti e fatturato o bilancio annuo (i.e. tenendo conto potenzialmente anche di società collegate e/o associate), in accordo con la Raccomandazione 2003/361/CE.
Approcci e tempistiche di conformità differenti – la direttiva NIS2 pur avendo l’obiettivo lodevole di definire il livello comune di cybersicurezza nell’Unione Europea lascia comunque agli Stati membri la libertà di definire specifiche modalità e tempistiche di attuazione, con potenziali implicazioni in termini di armonizzazione a livello comunitario. I gruppi internazionali dovranno gestire diversi approcci, (e.g. per implementazione delle misure di cybersicurezza o per la notifica degli incidenti) – e tempi di conformità che potranno variare a seconda del paese in cui operano.
Analogamente all’interno di un singolo paese, ci potranno essere potenzialmente società appartenenti a gruppi multi-Business chiamate ad ottemperare ai requisiti previsti per i soggetti essenziali e altre invece a quelli previsti per gli importanti. Il condizionale è d’obbligo in quanto non è ancora definito se effettivamente una differenziazione – secondo il principio di proporzionalità – tra le misure richieste ai soggetti essenziali e importanti, o tra gli stessi soggetti appartenenti ad uno dei due gruppi, sarà definita a livello nazionale. Saranno da vagliare infatti le implicazioni associate alle differenze tra settori, ma anche quelle tra soggetti all’interno dei singoli settori.
Governance della Compliance – come per la direttiva NIS1, la conformità alla direttiva comporta per i gruppi ulteriori sfide in termini di definizione dei modelli di governance, dei livelli e criteri di Accountability fino a spingersi alla formalizzazione di procure per indirizzare e gestire inizialmente la conformità all’interno dell’organizzazione ma poi riuscire a controllarla e monitorarla con continuità nel tempo. L’esperienza nell’assicurare la conformità alle precedenti direttive e/o leggi indica come un modello di governo sia indispensabile per assicurare che tutti gli attori coinvolti all’interno delle organizzazioni si impegnino in maniera continuativa nell’attuazione delle disposizioni.
Multidisciplinarità degli attori coinvolti – la conformità al quadro normativo richiede interventi che hanno implicazioni e impatti che non sono esclusivamente di carattere tecnico o specificamente di Cybersecurity ma che vedono coinvolti numerosi altri Stakeholder aziendali come ad esempio Procurement, IT, Operations OT, HR, Legal, Compliance. La sfida è quella di coinvolgere con l’adeguato Commitment tutti questi interlocutori e coordinarli nel tempo in maniera efficace ed efficiente.
Complessità per implementazione delle misure di sicurezza su tutti i sistemi IT e OT – l’estensione dell’ambito di applicabilità a tutti gli asset aziendali, a differenza della NIS1 che circoscriveva unicamente alle risorse informatiche e ai servizi critici, implica un importante estensione di ambito per tante imprese che erano già in NIS1, ma soprattutto comporta un importante impegno per tutti i numerosi nuovi operatori NIS2. L’adozione delle misure di sicurezza sarà guidata dai principi di proporzionalità e adeguatezza direttamente richiamati dalla direttiva, che richiederanno alle imprese coinvolte di:
- completare valutazioni di impatto (i.e. BIA) su tutta l’organizzazione al fine di differenziare i sistemi in ragione della loro criticità;
- definire, implementare e monitorare l’efficacia di soluzioni tecniche, organizzative, di processo adottate per rispondere alle misure richieste in maniera differenziata sulla base del rischio, sia sugli ambienti IT che su quelli OT.
Entrambe le attività potranno risultare complesse in termini tecnici, di commitment e di risorse. Questo in particolare per imprese di medie dimensioni, con un livello di maturità iniziale in ambito Cybersecurity, ma anche per le grandi imprese che avranno un perimetro più ampio di conformità da gestire.
La possibilità di adottare principi di gradualità – che permettano ad esempio di prevedere in una prima fase misure e tempistiche per i sistemi e reti o i servizi critici che il singolo soggetto fornisce, lasciando ad una successiva fase l’obbligo di adottare misure e tempi differenziati per il restante insieme dei servizi e sistemi appartenenti al soggetto; flessibilità – nel lasciare al soggetto la libertà di adozione di metodologie e approcci per la differenziazione dei sistemi all’interno di un’organizzazione su cui applicare le misure di sicurezza o per la definizione, implementazione e verifica di efficacia delle soluzioni, potranno agevolare l’adozione bilanciando obiettivo e fattibilità.
Come prepararsi per il recepimento della direttiva
Per essere adeguatamente preparate agli obblighi cogenti imposti dalla direttiva NIS2 e all’ormai imminente recepimento di quest’ultima nel nostro ordinamento nazionale, le imprese possono intraprendere alcune azioni preparatorie.
La direttiva NIS2 richiede una comprensione del contesto societario e operativo dell’impresa. Questo, all’atto pratico, impone un’analisi della struttura societaria, delle attività operative effettuate più che aspetti di carattere quantitativo, come numero di dipendenti e fatturato. Inoltre, è essenziale identificare e valutare i processi e le risorse informatiche che sottendono i servizi forniti dai soggetti.
Passo successivo è quello di valutare poi il proprio livello di aderenza ai requisiti oggi delineati nella direttiva NIS2, con lo scopo di cogliere differenze presenti fra le varie società o aree di business dell’impresa, così come identificare per tempo eventuali gap, in particolare nell’area OT, storicamente più legacy. L’obiettivo finale è quello di definire e implementare un programma di adeguamento mirato e sostenibile.
Compreso ambito e maturità la conformità deve poter essere affrontata con approccio programmatico che identifichi puntualmente ruoli e responsabilità di tutti gli Stakeholder aziendali chiamati a contribuire al processo di adeguamento e al suo mantenimento nel tempo. In tal senso sarà cruciale definire in maniera chiara un modello di governo che formalizzi ruoli e le responsabilità di ciascun attore aziendale nei processi di adeguamento NIS2.
Conclusioni
La direttiva NIS2 rappresenta di fatto un’opportunità per incrementare ulteriormente la propria postura Cyber, valorizzare il ruolo della cybersecurity nel processo di trasformazione digitale e accrescere la fiducia di clienti, partner e istituzioni. Dall’altro lato, come visto, presenta anche notevoli sfide per tutto l’ecosistema di imprese europee, che impongo un approccio programmatico e strutturato per la conformità.
Autori: Lorenzo Russo e Francesco Binaschi
_______________________
1 Per l’elenco completo dei settori e relativi sottosettori, si vedano gli Allegati I e II della Direttiva https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32022L2555
2 Ad esempio la regolamentazione per la divulgazione coordinata delle vulnerabilità (CVD) e le specifi che funzioni di coordinamento attribuite a CSIRT nazionali; oppure l’implementazione delle misure di cooperazione, al fi ne di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di cybersicurezza su vasta scala.
