NIS 2, lo schema del decreto legislativo con cui l’Italia dovrà recepire la direttiva

Il Consiglio dei ministri, su proposta su proposta del Presidente Giorgia Meloni, e del Ministro per gli Affari Europei, il Sud, le Politiche di Coesione e il Pnrr, Raffaele Fitto, ha approvato un decreto legislativo relativo al recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (DIRETTIVA NIS2).

Lo schema in esame è volto a recepire la direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148.

Perché l’UE ha approvato una nuova direttiva NIS

La nuova Direttiva (UE) 2022/2555 (NIS 2) abroga la Direttiva (UE) 2016/1148 (NIS), e rafforza il quadro della sicurezza cibernetica a livello europeo, aumentando la sicurezza delle infrastrutture tecnologiche e combattendo in maniera efficace i rischi causati dal cosiddetto cyber crime.

La direttiva NIS 2 si articola su quattro principi chiave:

• Protezione dei dati personali.
• Diritti fondamentali.
• Safety.
• Cybersecurity.

La Direttiva (UE) 2016/1148 (NIS) stabiliva la responsabilità assoluta, da parte degli Stati membri, di decidere quali entità potevano qualificarsi come operatori di servizi essenziali, rientrando quindi tra i soggetti ai quali la direttiva veniva rivolta.

Settori critici

La direttiva si applica principalmente agli organismi di medie e grandi dimensioni che operano nei seguenti settori ad alta criticità, come definiti nell’allegato I:

• energia:
  • energia elettrica, compresi i sistemi di produzione, distribuzione e trasmissione e i punti di ricarica;
  • teleriscaldamento e teleraffreddamento;
  • petrolio, compresi produzione, deposito e oleodotti di trasmissione;
  • gas, compresi fornitura, distribuzione e sistemi di trasporto e stoccaggio; e
  • idrogeno;
• trasporto aereo, ferroviario, per vie d’acqua e su strada;
• settore bancario e infrastrutture dei mercati finanziari quali enti creditizi, gestori delle sedi di negoziazione e controparti centrali;
• settore sanitario, compresi prestatori di assistenza sanitaria, soggetti che fabbricano prodotti farmaceutici di base e di dispositivi medici critici e laboratori di riferimento dell’Unione;
• acqua potabile;
• acque reflue;
• infrastruttura digitale, compresi fornitori di servizi di data center, servizi di cloud computing, reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
• gestione dei servizi TIC (business-to-business);
• spazio;
• pubblica amministrazione a livello centrale e regionale, che non comprende magistratura, parlamenti e banche centrali. Tuttavia, non si applica agli enti di amministrazione pubblica che svolgono attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’applicazione della legge.

Si applica inoltre ad altri settori critici, come definiti nell’allegato II:

• servizi postali e di corriere;
• gestione dei rifiuti;
• fabbricazione, produzione e distribuzione di sostanze chimiche;
• produzione, trasformazione e distribuzione di alimenti;
• fabbricazione, in particolare di dispositivi medici, computer e prodotti di elettronica e ottica, di determinate apparecchiature elettriche e macchinari, autoveicoli e altri mezzi di trasporto;
• fornitori di servizi digitali di mercati online, motori di ricerca e reti social; e
• organizzazioni di ricerca.

Strategia nazionale per la cibersicurezza

Ogni Stato membro deve adottare una strategia nazionale per raggiungere e mantenere un elevato livello di cibersicurezza nei settori critici, tra cui:

• un quadro di governance che chiarisca i ruoli e le responsabilità dei pertinenti portatori di interessi a livello nazionale;
• una politica relativa alla sicurezza delle catene di approvvigionamento;
• una politica di gestione delle vulnerabilità;
• una politica di promozione e sviluppo dell’istruzione e della formazione sulla cibersicurezza; e
• misure per migliorare la consapevolezza in materia di cibersicurezza tra la cittadinanza.

Team di risposta agli incidenti di sicurezza informatica

I team di risposta agli incidenti di sicurezza informatica (CSIRT) forniscono assistenza tecnica ai soggetti, attraverso:

• il monitoraggio e l’analisi delle minacce informatiche, delle vulnerabilità e degli incidenti a livello nazionale;
• l’emissione di preallarmi, allerte e bollettini e la divulgazione di informazioni ai soggetti interessati e agli altri portatori di interessi pertinenti, in merito a minacce informatiche, vulnerabilità e incidenti, se possibile in tempo prossimo al reale;
• la risposta agli incidenti e l’assistenza, se del caso;
• la raccolta e l’analisi di dati forensi, fornendo un’analisi dinamica dei rischi e degli incidenti, nonché una consapevolezza situazionale riguardo alla cibersicurezza; e
• l’effettuazione, su richiesta, di una scansione proattiva dei sistemi informatici e di rete per rilevare le vulnerabilità con potenziale impatto significativo.

Rete di CSIRT

La direttiva stabilisce una rete di CSIRT nazionali al fine di promuovere una cooperazione operativa rapida ed efficace.

Gli Stati membri devono:

• designare uno dei loro CSIRT per coordinare la divulgazione delle vulnerabilità individuate nei prodotti o servizi TIC; e
• fare in modo che le persone negli Stati membri siano in grado di segnalare vulnerabilità in forma anonima, qualora lo richiedano.

L’Agenzia dell’Unione europea per la cibersicurezza (ENISA) deve istituire e mantenere una banca dati europea delle vulnerabilità.

La direttiva istituisce un gruppo di cooperazione per sostenere e facilitare la cooperazione strategica e lo scambio di informazioni. È composto da rappresentanti degli Stati membri, della Commissione europea e dell’ENISA. Se del caso, il gruppo di cooperazione può invitare il Parlamento europeo e i rappresentanti dei portatori di interessi pertinenti a partecipare ai lavori.

EU-CyCLone

La rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLone) è composta da rappresentanti delle autorità di gestione delle crisi informatiche degli Stati membri e, nei casi in cui un incidente di cibersicurezza su vasta scala potenziale o in corso abbia o abbia probabilità di avere un impatto significativo sui servizi e sulle attività che rientrano nell’ambito di applicazione della presente direttiva, della Commissione. Negli altri casi, la Commissione partecipa alle attività della rete in qualità di osservatrice. La rete sostiene la gestione coordinata gli incidenti di cibersicurezza su vasta scala a livello operativo e garantisce lo scambio regolare di informazioni tra gli Stati membri e le istituzioni, gli organi e le agenzie dell’Unione.

La rete è inoltre incaricata di:

• coordinare la gestione degli incidenti e delle crisi di cibersicurezza su vasta scala e sostenere il processo decisionale a livello politico;
• aumentare il livello di preparazione;
• sviluppare una conoscenza situazionale condivisa;
• valutare le conseguenze e l’impatto dei pertinenti incidenti e delle pertinenti crisi di cibersicurezza su vasta scala e proporre possibili misure di attenuazione;

Il ruolo dello CSIRT

I soggetti devono notificare al loro CSIRT o all’autorità competente qualsiasi incidente che:

• può causare o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
• si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

Inoltre, l’ENISA produrrà, in collaborazione con la Commissione e il gruppo di cooperazione, una relazione biennale sullo stato della cibersicurezza nell’Unione, che sarà anche presentata al Parlamento.

La direttiva prevede misure e sanzioni per garantire l’esecuzione.

Da recepire entro il 17 ottobre 2024

Vengono introdotte revisioni tra pari per trarre insegnamenti dalle esperienze condivise, rafforzare la fiducia reciproca e conseguire un livello comune elevato di cibersicurezza, migliorare le capacità e le politiche in materia di cibersicurezza degli Stati membri necessarie per l’attuazione della direttiva. Tali revisioni comportano visite in loco fisiche o virtuali e scambi di informazioni a distanza. La partecipazione a tali revisioni tra pari è volontaria.

La direttiva deve essere recepita nel diritto nazionale entro il 17 ottobre 2024. Le norme dovrebbero applicarsi a partire dal 18 ottobre 2024.