Direttiva NIS 2, le nuove sfide della cybersecurity

Come noto la Direttiva UE 2022/2555, c.d. NIS II (Network Information Security) ha abrogato la c.d. "Direttiva NIS" cioè a dire la Direttiva UE 2016/1148 del 6 luglio 2016. 

La nuova Direttiva NIS modernizza il quadro giuridico esistente tenendo conto della crescente digitalizzazione del mercato interno avvenuta negli ultimi anni e del panorama in rapida evoluzione delle minacce alla cibersicurezza. Entrambi i fenomeni si sono ulteriormente amplificati dall'inizio della crisi COVID-19. Il nuovo provvedimento affronta, inoltre, alcune carenze che hanno impedito alla direttiva NIS di realizzare appieno il suo potenziale.

Nonostante gli importanti risultati ottenuti, la direttiva NIS, che ha spianato la strada a un significativo cambiamento di mentalità in relazione all'approccio istituzionale e normativo alla cibersicurezza in molti Stati membri, ha mostrato anche i suoi limiti. La trasformazione digitale della società (intensificata dalla crisi Covid-19) ha ampliato il panorama delle minacce e sta lanciando nuove sfide, che richiedono risposte adeguate e innovative. Gli attacchi informatici sono in continuo aumento, molti dei quali, sempre più sofisticati, provengono da un'ampia gamma di fonti interne ed esterne all'UE.

La valutazione del funzionamento della direttiva NIS, condotta ai fini della valutazione d'impatto, ha identificato i seguenti problemi: 1) il basso livello di cyber resilienza delle imprese operanti nell'UE; 2) i diversi livelli di resilienza tra Stati membri e tra settori; e 3) il basso livello di consapevolezza situazionale comune e la mancanza di una risposta comune alle crisi.

Ad esempio, alcuni importanti ospedali di uno Stato membro non rientrano nell'ambito di applicazione della direttiva NIS e pertanto non sono tenuti ad attuare le risultanti misure di sicurezza, mentre in un altro Stato membro quasi tutti gli ospedali sono soggetti ai requisiti di sicurezza della direttiva NIS.

Essendo un'iniziativa del programma di controllo dell'adeguatezza e dell'efficacia della regolamentazione (REFIT), la direttiva mira a ridurre l'onere normativo per le autorità competenti e i costi di conformità per i soggetti pubblici e privati. In particolare, tale obiettivo è raggiunto abolendo l'obbligo per le autorità competenti di individuare gli operatori di servizi essenziali e aumentando il livello di armonizzazione dei requisiti di sicurezza e segnalazione allo scopo di facilitare la conformità normativa per i soggetti che offrono servizi transfrontalieri. Al contempo, alle autorità competenti sono assegnati anche alcuni nuovi compiti, tra cui la vigilanza di soggetti in settori che non rientravano nella prima direttiva NIS.

I fattori che richiedono una revisione

In conclusione, quindi, i fattori determinanti della necessità di una revisione della normativa possono sintetizzarsi come di seguito:

1) Crescenti attacchi informatici (in particolare l’attacco all’European Medicines Agency con esposizione di dati sensibili sul vaccino prodotto dalla BioNTech – Pfizer);

2) Nuove sfide per il mercato interno dell’UE dettate dalla crescente digitalizzazione (e-commerce, cashless payments, IoT: si prevendono 22.3 miliardi di dispositivi IoT in uso in UE nel 2024);

3) Ruolo sempre più importante e da attenzionare della supply chain (con conseguenti ricadute di rilevanza anche per le piccole e medie imprese);

4) Consapevolezza della necessità di armonizzazione di requisiti, controlli, sanzioni sui territori e negli ordinamenti degli Stati membri;

5) Nuova tecnologia 5G e nuove sfide per il mercato e gli operatori che vi operano;

6) Crisi pandemica per la diffusione del virus Covid-19;

7) Conflitto tra Russia e Ucraina, con il sempre maggiore “coinvolgimento” dell’UE nell’assetto geopolitico mondiale in relazione al posizionamento anche rispetto alla cyberwarfare.

La direttiva, in particolare: a) stabilisce obblighi per gli Stati membri di adottare una strategia nazionale per la cibersicurezza, designare autorità nazionali competenti, punti di contatto unici e CSIRT; b) prevede che gli Stati membri stabiliscano obblighi di gestione e segnalazione dei rischi di cibersicurezza per i soggetti indicati come soggetti essenziali nell'allegato I e come soggetti importanti nell'allegato II; c) prevede che gli Stati membri stabiliscano obblighi in materia di condivisione delle informazioni sulla cibersicurezza.

Per proseguire questo articolo di Michele Iaselli - Coordinatore del Comitato Scientifico di Federprivacy, Avvocato, docente di logica ed informatica giuridica presso l’Università degli Studi di Napoli Federico II - questo è il link