La Direttiva NIS 2 (Direttiva (UE) 2022/2555) è il corpus normativo principale nell’ambito della sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea. L’obiettivo primario di questa normativa è, come noto, quello di migliorare la resilienza delle infrastrutture digitali europee, introducendo obblighi più stringenti per gli operatori di servizi essenziali e importanti.
Rispetto alla precedente Direttiva NIS, la NIS 2 estende il campo di applicazione e rafforza le misure di gestione del rischio di cybersicurezza, armonizzando ulteriormente le normative tra gli Stati membri.
In questo contesto, il Regolamento di attuazione recentemente approvato dalla Commissione Europea si inserisce come elemento cruciale per la concretizzazione delle disposizioni previste dalla Direttiva NIS 2. Esso è stato adottato sulla base dell’articolo 21, paragrafo 5, della Direttiva NIS 2, che stabilisce che entro il 17 ottobre 2024, la Commissione debba adottare atti di esecuzione per definire i requisiti tecnici e metodologici delle misure di gestione del rischio. Questi requisiti riguardano una serie di fornitori di servizi critici, tra cui i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello (TLD), i fornitori di cloud computing, i data center, le reti di distribuzione dei contenuti (CDN), e altri operatori di servizi essenziali.
In parallelo, l’articolo 23, paragrafo 11, della Direttiva NIS 2 stabilisce che, entro la stessa scadenza, la Commissione adotti atti di esecuzione per specificare i casi in cui un incidente debba essere considerato significativo. Ciò si applica ai fornitori sopra elencati e ad altri soggetti essenziali e importanti, con l’obiettivo di garantire una risposta adeguata e tempestiva agli incidenti informatici che possano mettere a rischio la sicurezza delle reti e dei sistemi informativi.
L’obiettivo di questo articolo è offrire una panoramica dettagliata del Regolamento di attuazione della Direttiva NIS 2, che introduce una disciplina vincolante per una serie di operatori che svolgono un ruolo cruciale nella sicurezza digitale europea.
Il Regolamento, che entrerà in vigore dopo la sua pubblicazione ufficiale, si applica esclusivamente alle relevant entities o entità rilevanti, definite come quei soggetti che forniscono servizi critici per la società e l’economia. Tra queste entità si annoverano fornitori di servizi DNS, di cloud computing, di reti di distribuzione dei contenuti, motori di ricerca online, piattaforme di social networking e altre infrastrutture digitali di importanza strategica.
Nel prosieguo dell’articolo, esploreremo più nel dettaglio le misure di gestione del rischio previste dal Regolamento e le modalità per determinare quando un incidente debba essere considerato significativo ai sensi della Direttiva NIS 2. Per approfondimenti circa la normativa nazionale di recepimento della Direttiva NIS 2 e il calendario delle scadenze, rinviamo ai nostri precedenti articoli.
Requisiti di gestione del rischio nella Direttiva NIS 2
La Direttiva NIS 2 e il Regolamento di attuazione adottato dalla Commissione Europea pongono al centro dell’attenzione la necessità per le “entità rilevanti” di adottare misure specifiche di gestione del rischio per la sicurezza delle reti e dei sistemi informativi. La disciplina dettagliata di tali misure è contenuta nell’Annex I del Regolamento, che rappresenta un pilastro normativo fondamentale per garantire la sicurezza cibernetica all’interno dell’Unione Europea.
L’Annex I si struttura in diverse sezioni, ciascuna delle quali delinea un insieme di requisiti tecnici e metodologici che le entità rilevanti devono implementare. Tali misure sono organizzate in modo da coprire tutti gli aspetti cruciali della gestione del rischio di cybersecurity, con l’obiettivo di fornire un approccio omnicomprensivo alla sicurezza informatica. Tra le principali aree trattate figurano la protezione delle reti, dei sistemi informativi e dei dati, nonché la preparazione a rispondere a eventuali incidenti di sicurezza.
Le misure descritte nell’Annex I impongono alle entità rilevanti l’adozione di politiche di sicurezza informatica che coprano l’intero ciclo di vita dei sistemi e dei servizi. Queste politiche devono essere sviluppate sulla base di una valutazione continua del rischio, che prevede l’identificazione delle minacce potenziali, la stima della probabilità che si verifichino incidenti e l’adozione di misure di mitigazione adeguate. L’Annex I stabilisce, inoltre, che queste politiche devono essere sottoposte a revisione periodica per adattarsi alle nuove sfide poste dall’evoluzione tecnologica e dalle crescenti minacce cibernetiche.
Inoltre, una sezione fondamentale dell’Annex I riguarda la gestione degli incidenti di sicurezza informatica. Le entità rilevanti sono tenute a implementare misure che consentano il rilevamento, la gestione e la risoluzione tempestiva degli incidenti. Questo include l’obbligo di monitorare continuamente le attività delle reti e dei sistemi informativi, in modo da rilevare eventuali anomalie che possano indicare un’intrusione o un attacco.
L’Annex I si occupa anche della continuità operativa, stabilendo che le entità rilevanti devono predisporre piani di continuità e ripristino delle attività, volti a garantire la ripresa delle operazioni nel minor tempo possibile in caso di interruzioni. Questi piani devono essere regolarmente testati e aggiornati, per assicurare che restino efficaci nel tempo e in linea con le esigenze operative dell’entità.
Un altro elemento di grande rilevanza trattato dall’Annex I riguarda la sicurezza della catena di fornitura (tema che, in generale, abbiamo già approfondito in un precedente articolo). Le entità rilevanti non solo devono assicurarsi che i loro sistemi e reti siano protetti, ma devono anche vigilare affinché i fornitori terzi che partecipano alla loro catena produttiva o distributiva rispettino standard di sicurezza analoghi. Questo principio garantisce un approccio integrato alla gestione del rischio, prevenendo potenziali vulnerabilità derivanti da attori esterni.
L’Annex I, dunque, costituisce la base normativa essenziale che le entità rilevanti devono seguire per conformarsi ai requisiti di gestione del rischio imposti dalla Direttiva NIS 2, garantendo così una maggiore resilienza delle infrastrutture digitali europee.
Incidenti significativi nel Regolamento di attuazione della Direttiva NIS 2
La Direttiva NIS 2, unitamente al Regolamento di attuazione, introduce una disciplina specifica per la gestione degli incidenti significativi. Ai sensi dell’articolo 3 del Regolamento, un incidente è considerato significativo se soddisfa uno o più criteri previsti dalla Direttiva stessa e dal Regolamento, con l’obiettivo di garantire che tali eventi ricevano una risposta tempestiva e adeguata. La rilevanza di un incidente non si limita al suo impatto immediato sui sistemi informativi dell’entità, ma viene valutata anche in funzione delle conseguenze economiche, operative e sociali che può determinare.
Secondo l’articolo 3, un incidente è considerato significativo se soddisfa uno o più criteri generali. Tra questi, vi è la possibilità che l’incidente comporti una perdita finanziaria diretta per l’entità rilevante superiore a 500.000 euro o al 5% del fatturato annuo complessivo dell’entità nell’anno finanziario precedente, a seconda di quale importo sia inferiore. Altri criteri includono la compromissione della riservatezza, integrità o autenticità dei dati, oppure la possibilità che l’incidente causi la morte o danni significativi alla salute di una persona fisica. Inoltre, il Regolamento introduce criteri specifici per diverse tipologie di entità rilevanti, in modo da adeguare la valutazione dell’incidente alle caratteristiche particolari dei servizi forniti.
Ai sensi dell’articolo 5, se l’incidente riguarda un fornitore di servizi DNS, esso è considerato significativo se uno o più criteri vengono soddisfatti. Tra questi, il servizio di risoluzione dei nomi di dominio autoritativo o ricorsivo deve essere completamente non disponibile per un periodo superiore a 30 minuti. In alternativa, la risposta del servizio di risoluzione dei nomi di dominio potrebbe superare i 10 secondi per oltre un’ora, rendendo il servizio inadeguato a rispondere in modo efficiente alle richieste DNS. Un altro criterio di significatività è la compromissione dell’integrità, riservatezza o autenticità dei dati trattati dal fornitore, soprattutto se tale compromissione coinvolge una quota rilevante di nomi di dominio gestiti.
Per quanto riguarda i registri di nomi di dominio di primo livello (TLD), l’articolo 6 stabilisce che un incidente è considerato significativo se il servizio di risoluzione dei nomi di dominio autoritativo è completamente non disponibile o se il tempo di risposta medio supera i 10 secondi per un periodo superiore a un’ora. Anche in questo caso, la compromissione della sicurezza dei dati legati al TLD può essere determinante nel qualificare l’incidente come significativo, se tale compromissione mina la riservatezza o l’integrità delle informazioni trattate.
Ai sensi dell’articolo 7 del Regolamento attuativo della Direttiva NIS 2, un fornitore di servizi di cloud computing è soggetto a criteri di significatività qualora il servizio di cloud computing sia completamente non disponibile per più di 30 minuti. Inoltre, se la disponibilità del servizio è limitata per oltre il 5% degli utenti del cloud nell’Unione Europea, o per più di un milione di utenti, l’incidente può essere considerato significativo. La compromissione dell’integrità, riservatezza o autenticità dei dati trattati da tali fornitori può inoltre essere un fattore determinante, soprattutto se coinvolge una quota considerevole di utenti del servizio.
Analogamente, l’articolo 8 del Regolamento attuativo della Direttiva NIS 2 disciplina gli incidenti che coinvolgono i fornitori di servizi di data center. Un incidente è considerato significativo se il servizio di data center risulta completamente non disponibile o se la disponibilità del servizio è limitata per un periodo superiore a un’ora. Anche in questo caso, la compromissione della sicurezza dei dati trattati nel data center può qualificare l’incidente come significativo, così come la compromissione dell’accesso fisico al data center stesso, soprattutto se si verifica una violazione dei meccanismi di protezione fisica che limitano l’accesso alle aree sensibili.
Per i fornitori di reti di distribuzione dei contenuti (CDN), l’articolo 9 stabilisce che un incidente è significativo se la rete di distribuzione è completamente non disponibile per più di 30 minuti. Se l’indisponibilità del servizio impatta oltre il 5% degli utenti della rete di distribuzione o coinvolge più di un milione di utenti, l’incidente è considerato significativo. Come per le altre entità, anche la compromissione della riservatezza, integrità o autenticità dei dati trattati dalla rete di distribuzione dei contenuti può rappresentare un criterio rilevante.
L’articolo 11 riguarda i fornitori di marketplace online, dove un incidente è considerato significativo se più del 5% degli utenti o oltre un milione di utenti nell’Unione sono coinvolti dall’indisponibilità totale o parziale del servizio. Anche in questo contesto, la sicurezza dei dati trattati gioca un ruolo fondamentale, in particolare se vi è stata una compromissione della riservatezza, integrità o autenticità delle informazioni.
Infine, gli articoli 12 e 13 del Regolamento attuativo della Direttiva NIS 2 disciplinano rispettivamente i criteri per gli incidenti significativi che coinvolgono i motori di ricerca online e le piattaforme di servizi di social networking, stabilendo criteri simili in termini di indisponibilità dei servizi e compromissione della sicurezza dei dati. Anche in questi casi, l’indisponibilità che colpisce una percentuale significativa di utenti o la violazione dei dati trattati costituisce un elemento chiave nella valutazione della significatività dell’incidente.
In conclusione, il Regolamento di attuazione della Direttiva NIS 2 stabilisce una disciplina precisa e articolata per identificare e gestire gli incidenti significativi, tenendo conto delle peculiarità delle diverse entità rilevanti e del tipo di servizi forniti.
Direttiva NIS 2 e Regolamento di attuazione. Quali adempimenti?
La Direttiva NIS 2 e il Regolamento di attuazione adottato dalla Commissione Europea rappresentano un significativo passo avanti nella gestione della sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea. La definizione precisa delle misure di gestione del rischio e la determinazione degli incidenti significativi hanno come obiettivo quello di creare un quadro giuridico uniforme e robusto, capace di rispondere alle sfide sempre più complesse del panorama cibernetico moderno. Con l’entrata in vigore del Regolamento, le “entità rilevanti” dovranno adattarsi a nuovi standard di sicurezza e adottare un approccio proattivo nella gestione dei rischi informatici.
Per le entità rilevanti, la conformità alla Direttiva NIS 2 richiederà un impegno non solo tecnico ma anche organizzativo, attraverso l’implementazione di politiche di sicurezza coerenti e la formazione continua del personale coinvolto. Gli operatori economici, in particolare, dovranno assicurarsi che anche la loro catena di fornitura rispetti gli stessi criteri di sicurezza cibernetica. Il mancato adeguamento può comportare sanzioni rilevanti e, soprattutto, una vulnerabilità critica nei confronti delle minacce informatiche.
In questo contesto di crescente complessità normativa, lo Studio Legale D’Agostino, con la sua consolidata esperienza in ambito di corporate compliance e cybersicurezza, è in grado di fornire un supporto strategico essenziale. La nostra competenza nella gestione delle problematiche legate alla conformità aziendale e alla sicurezza informatica ci permette di assistere le imprese e le pubbliche amministrazioni nel processo di implementazione della Direttiva NIS 2, garantendo un approccio personalizzato e orientato alla prevenzione dei rischi.
Siamo lieti e orgogliosi di accompagnarvi nel percorso di adeguamento normativo, fornendo soluzioni efficaci e su misura per proteggere le vostre infrastrutture digitali e ridurre al minimo l’esposizione ai rischi cibernetici.
SCARICA QUI IL TESTO DEL Regolamento di attuazione della Direttiva NIS 2 del 17.10.2024