La normativa NIS2 (Direttiva Europea 2022/2555), pubblicata in data 27 dicembre 2022 e che deve essere recepita da tutti gli stati membri entro il 18 ottobre 2024, rappresenta un importante aggiornamento nella legislazione europea per la sicurezza delle reti e delle informazioni in ambito aziendale. La Direttiva, approvata preliminarmente in Italia dal Consiglio dei Ministri in data 10 giugno 2024, sostituisce la precedente normativa NIS (Direttiva Europea 2017/1148), mira a garantire e rafforzare un livello elevato di protezione e sicurezza contro gli attacchi informatici, impone rigorosi requisiti di governance ed una nuova gestione dei rischi e delle segnalazioni circa eventuali incidenti.
Ambito soggettivo
La Direttiva NIS2, sebbene il documento ufficiale non sia ancora stato pubblicato e reso pubblico, colpisce una vasta gamma di settori ed organizzazioni sia pubblici che privati e si applica a quelle aziende che vengono definite “essenziali” o “importanti”.
La categoria delle aziende “essenziali” ricomprende entità pubbliche o private che forniscono servizi fondamentali per il mantenimento delle attività sociali ed economiche, nonché cruciali per il funzionamento socioeconomico dell’Unione Europea.
Alcuni esempi di settori che potrebbero rientrare in tale categoria:
• Energia: elettricità, gas, petrolio e calore.
• Trasporti: aereo, ferroviario, marittimo e fluviale.
• Infrastrutture del mercato finanziario: infrastrutture di mercato.
• Salute: assistenza sanitaria.
• Fornitura e distribuzione di acqua: acqua potabile.
• Infrastrutture digitali: centri di elaborazione dati, piattaforme di cloud computing.
• Spazio: servizi spaziali.
• Amministrazione pubblica: servizi governativi.
Al contrario, per aziende definite “importanti” s’intendono quei soggetti giuridici che forniscono servizi critici, ma non necessariamente essenziali, tra i quali potrebbero rientrarvi:
• Servizi postali e corrieri
• Gestione dei rifiuti
• Produzione e distribuzione di sostanze chimiche
• Produzione e distribuzione alimentare
• Produzione di apparecchiature, macchinari e veicoli farmaceutici, elettronici e ottici
• Fornitori digitali di marketplace online, motori di ricerca, piattaforme social
• Organizzazioni di ricerca
Queste ultime saranno soggette a requisiti di sicurezza informatica meno stringenti rispetto a quelle ricomprese all’interno dei servizi “essenziali” di cui sopra, ma devono comunque adottare misure adeguate a gestire i rischi informatici e segnalare tempestivamente eventuali incidenti significativi.
NIS2 principali misure
Le principali misure di sicurezza previste dalla Direttiva NIS2, che si integrano in armonia con le altre normative sulla protezione dei dati e della privacy come il GDPR, sono volte a garantire un elevato livello di protezione informatica.
• Politiche di Analisi dei Rischi: le aziende che rientrano nelle categorie “essenziali” o “importanti” devono implementare politiche per l’analisi dei rischi e la sicurezza dei sistemi informatici.
• Gestione degli Incidenti significativi: è richiesta una gestione efficace degli incidenti informatici significativi, con la capacità di identificare, rispondere e recuperare i dati da eventuali attacchi. A tal riguardo per incidente “significativo” s’intende un evento che ha un impatto notevole sulla fornitura dei servizi, come interruzioni di servizio, violazioni dei dati, compromissione della sicurezza, o attacchi informatici.
In tale prospettiva si dovrebbero configurare nuove prassi di “segnalazione immediata” – ossia l’obbligo di notifica immediata degli “incidenti significativi” al proprio CSIRT (Computer Security Incidente Response Team) o all’ autorità nazionale competente – e il “preallarme e notifica completa”, ossia una segnalazione di preallarme che deve avvenire entro 24 ore, seguita da una notifica completa o integrativa entro 72 ore.
• Continuità Operativa: le entità devono assicurare la continuità operativa dei servizi anche in caso di significativi incidenti informatici.
• Sicurezza della Catena di Fornitura: è necessario proteggere la catena di fornitura da rischi informatici, assicurando che anche i fornitori rispettino gli standard di sicurezza.
• Accesso agli Account Amministrativi: limitare l’accesso agli account amministrativi, modificare regolarmente le password e adottare misure per proteggere gli accessi privilegiati.
• Difese Anti-ransomware: rafforzare le difese contro i ransomware e altre forme di malware.
Alla luce di quanto sopra elencato, la conformità a questa normativa risulta essere una pietra miliare e strategica per le organizzazioni che cercano di proteggere i loro asset digitali e fisici.
NIS2 e il ruolo crescente del DPO
Con l’introduzione di questa normativa, il Data Protection Officer (DPO) potrebbe vedere un’implementazione del proprio ruolo e delle professionalità richieste, sino ad assumere una posizione ancora più centrale nella gestione della sicurezza informatica e della protezione dei dati aziendale.
Di seguito alcune ipotesi:
• Promozione della Conformità: sollecitare l’azienda alla conformità degli obblighi previsti dalla NIS2.
• Coinvolgimento nei Processi: essere coinvolto attivamente nella definizione e nell’attuazione delle procedure di sicurezza, per assicurare la conformità sia alla NIS2 che al GDPR.
• Bilanciamento dei Diritti: bilanciare le esigenze di sicurezza informatica con il diritto alla protezione dei dati personali, mantenendo una proporzionalità tra le due aree.
• Integrazione con la Sicurezza Informatica: assicurare che le misure di sicurezza informatica siano integrate con le politiche di protezione dei dati, in linea con il GDPR.
• Gestione del Rischio: contribuire alla gestione del rischio informatico, garantendo che le misure adottate non compromettano la protezione dei dati personali.
In conclusione, la Direttiva NIS2 potrebbe rafforzare il ruolo del DPO come figura chiave nella strategia di cyber security aziendale, richiedendo un approccio integrato e proattivo alla gestione dei rischi informatici e alla protezione dei dati personali.
Contributo a cura dell’avv. Michele Avanzi