Il 14 dicembre 2022 è stato pubblicato in Gazzetta ufficiale dell’Unione europea il testo relativo alla NIS 2 (https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555). Tra le diverse novità introdotte dalla direttiva, è utile sottolineare che la NIS2 incorpora una struttura per la segnalazione degli incidenti composta da due fasi. Indipendentemente dalla supervisione proattiva o reattiva, la legislazione impone che qualsiasi incidente significativo venga segnalato entro 24 ore dall'insorgenza, aggiungendo dettagli entro 72 ore. Pertanto, è necessaria un’integrazione contenente maggiori dettagli come misura di follow-on; questa deve essere inviata entro un mese dall'avvenuto un incidente. Questa impostazione ha l’obiettivo di raccogliere rapidamente dettagli relativi all’evento e condividerli - tra i diversi addetti ai lavori – al fine di prevenire eventuali impatti derivanti da attacchi simili e per fornire un'analisi approfondita dell’incidente che sia utile per la pianificazione di nuovi modelli di resilienza. Con il termine “incidente significativo” di cybersecurity il legislatore intende definire un evento in grado
di causare gravi conseguenze operative dei servizi o perdite finanziarie per l'organizzazione. Inoltre, tale evento può avere ripercussioni su persone fisiche o giuridiche causando danni materiali o immateriali considerevoli. Le entità sono, dunque, tenute a indicare se sospettano che l'incidente significativo sia il risultato di attività illecite o dolose e se questo possa avere impatti transnazionali. Tra i diversi articoli che compongono la direttiva è utile porre l’accendo sull’art. 7 relativo alla necessità per ciascun stato di dotarsi di una strategia di sicurezza e l’art. 21 concernente le misure per la gestione dei rischi.
La Strategia nazionale per la cybersecurity.
L'art. 7 impone a ciascuno stato membro dell'UE di adottare una strategia di sicurezza nazionale considerando i seguenti obiettivi strategici:
- Obiettivi e priorità della strategia di cybersecurity dello Stato membro
- Un quadro di governance per raggiungere gli obiettivi e le priorità dichiarati
- Un quadro di governance che chiarisca i ruoli e le responsabilità delle parti interessate degli Stati membri, i punti di contatto istituiti e i tram di risposta agli incidenti di sicurezza informatica (CSIRT)
- Un meccanismo per individuare le attività pertinenti e le valutazioni dei rischi degli Stati membri
- Identificazione delle misure che garantiscono la preparazione, la risposta e la pianificazione della ripresa per includere la cooperazione pubblico-privato
- Un elenco delle autorità e dei portatori di interessi coinvolti nell'attuazione della strategia nazionale per la cybersecurity stabilita dallo Stato membro e per conto dello Stato membro
- Inoltre, l’articolo stabilisce politiche di dettaglio che ciascuno Stato membro deve integrare nelle proprie strategie, tra cui considerazioni sulla catena di approvvigionamento delle TIC (Tecnologie dell’Informazione e della Comunicazione), orientamenti per le piccole e medie imprese, gestione delle vulnerabilità, sicurezza di Internet, requisiti per l'adozione di tecnologie e strumenti di condivisione delle informazioni, formazione e istruzione, e piani per migliorare il livello generale di consapevolezza in materia di sicurezza informatica per i cittadini.
Le misure di gestione dei rischi per la cybersecurity.
La gestione del rischio di cui all'art. 21 interessa gli aspetti tecnici, operativi e organizzativi relativi alla sicurezza delle reti e dei sistemi informativi su cui le entità fanno affidamento per la fornitura di beni e servizi. La legislazione impone alle entità di valutare la proporzionalità delle attività di gestione del rischio, considerando il loro grado di esposizione ai rischi, le dimensioni, la probabilità di incidenti e la loro gravità, nonché gli impatti sociali ed economici derivanti da potenziali incidenti.
In generale, la NIS 2 promuove l'inclusione delle seguenti misure in ciascun programma di gestione del rischio:
- Politiche sull'analisi dei rischi e sulla sicurezza dei sistemi informativi
- Gestione degli incidenti
- Continuità operativa, ad esempio gestione dei backup e ripristino di emergenza e gestione delle crisi
- Sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti le relazioni tra ciascuna entità e i suoi fornitori diretti o prestatori di servizi
- Sicurezza nell'acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, compresa la gestione e la divulgazione delle vulnerabilità
- Politiche e procedure per valutare l'efficacia delle misure di gestione dei rischi di cybersecurity
- Pratiche di base per la cyber hygiene e formazione sulla sicurezza informatica
- Politiche e procedure relative all'uso della crittografia
- Sicurezza delle risorse umane, politiche di controllo degli accessi e gestione delle risorse
- Uso di soluzioni di autenticazione a più fattori o autenticazione continua
In conclusione, la direttiva risulta essere un fondamentale punto di partenza per indirizzare gli sforzi degli stati membri in ottica di cyber-resilienza e si pone come il primo passo di un più ampio percorso che l'Unione Europea intende affrontare per contrastare le nuove ed emergenti minacce presenti nel panorama della cybersecurity.
Gianluca Cipriani
Andrea Agostino Fumagalli