Article. What i write

NIS 2 e CER, inizia la stagione della compliance: novità, soggetti interessati e obblighi

Pubblicato il 9 agosto 2024 su CyberSecurity360.it
Il governo ha approvato i decreti attuativi della Direttiva NIS 2 e della Direttiva CER: in attesa che vengano pubblicati in Gazzetta Ufficiale, analizziamoli nel dettaglio per comprendere le principali novità introdotte, i soggetti coinvolti e gli obblighi previsti
Vincenzo Calabro' | NIS 2 e CER inizia la stagione della compliance
Il Consiglio dei ministri del 7 agosto 2024 ha approvato, in esame definitivo, i decreti legislativi di attuazione delle direttive europee (UE) 2022/2555 (c.d. Direttiva NIS2) e (UE) 2022/2557 (c.d. Direttiva CER): la prima è relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, mentre la seconda riguarda la resilienza dei soggetti critici.
Le direttive sono rivolte ad una platea di soggetti definiti essenziali e importanti, secondo criteri prestabiliti, per il funzionamento di un Paese, ovvero quei soggetti che erogano servizi o forniscono prodotti al sistema paese e senza i quali si creerebbero squilibri economici, sociali e politici.
Analizziamole per comprendere le principali novità introdotte, i soggetti coinvolti e gli obblighi previsti.

Decreto attuativo della NIS 2: le novità

Le normative europee in materia di cibersicurezza, introdotte nel 2016, sono state aggiornate dalla NIS 2, entrata in vigore nel 2023. La nuova direttiva ha modernizzato il quadro giuridico esistente, da un lato, per tenere il passo al crescente livello di digitalizzazione e, dall’altro, per far fronte al panorama in evoluzione delle minacce cibernetiche.
In particolare, le previsioni normative hanno esteso l’ambito di applicazione delle norme in materia di cibersicurezza a nuovi settori ed entità e, inoltre, intendono migliorare ulteriormente la resilienza e le capacità di risposta agli incidenti degli enti pubblici e privati, delle autorità competenti e dell’UE nel suo complesso.
La direttiva prevede misure per rafforzare il livello di cibersicurezza nell’UE garantendo:
  1. la preparazione degli Stati membri, imponendo loro di essere adeguatamente equipaggiati;
  2. la cooperazione tra tutti gli Stati membri, istituendo un gruppo di cooperazione per sostenere e facilitare la cooperazione strategica e lo scambio di informazioni tra gli Stati membri;
  3. la cultura della sicurezza in tutti i settori che sono vitali per l’economia e la società e che dipendono fortemente dalle TIC, come l’energia, i trasporti, l’acqua, le infrastrutture bancarie, dei mercati finanziari, l’assistenza sanitaria e le infrastrutture digitali.

Allargamento dei soggetti coinvolti

La prima novità consiste nell’allargamento dei soggetti coinvolti. Secondo le stime dell’Agenzia per la Cybersicurezza Nazionale, l’elenco degli operatori considerati essenziali e importanti per il Paese si estenderà di ulteriori 50.000 posizioni che andranno ad aggiungersi a quelli già interessati dalla precedente direttiva NIS 1.
L’estensione delle previsioni normative a questi nuovi soggetti è motivata dalla circostanza che poiché forniscono servizi critici, come, ad esempio, quelli postali e dei corrieri, di gestione dei rifiuti, di fabbricazione di dispositivi medici, di computer e prodotti di elettronica e ottica, oppure, ancora, quelli legali alla grande distribuzione alimentare, anche essi sono considerati fondamentali per il funzionamento del Sistema Paese.
Il nuovo testo specifica in maniera precisa i parametri, basati sulla dimensione del soggetto e sul suo fatturato, che caratterizzeranno i soggetti che insistono all’interno dei suddetti settori e che dovranno sottostare alle prescrizioni previste.

Il ruolo dell’ACN nel coordinamento e individuazione dei soggetti

Il ruolo di coordinamento e di individuazione dei soggetti è assegnato all’Agenzia per la Cybersicurezza Nazionale (ACN), la quale realizzerà una piattaforma, attiva dal 18 ottobre 2024 (data di entrata in vigore della norma), sulla quale le entità che ritengono di essere coinvolte dalle regole della NIS 2 dovranno registrarsi, indicando un elenco delle proprie attività, dei propri servizi e di tutti gli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza.
L’Agenzia, entro 90 giorni dalla comunicazione, rilascerà una sorta di conformità circa la qualificazione di “soggetto essenziale” o di “soggetto importante”, quindi stabilirà le categorie di rilevanza nonché il processo, le modalità e i criteri per l’elencazione, la caratterizzazione e la categorizzazione delle attività e dei servizi da registrare sulla piattaforma.
Alla luce di tali adempimenti, la NIS 2 sarà operativa dal 17 aprile 2025, ovvero quando l’ACN avrà presumibilmente completato la lista dei soggetti che dovranno attenersi alla direttiva.

Corsi di formazione obbligatori

La Direttiva NIS 2 prevede degli obblighi che gli operatori inclusi nel suo campo di applicazione dovranno adottare, come già avvenuto per l’originaria Direttiva NIS.
In particolare, sono previste specifiche misure tecniche, operative e organizzative, adeguate e proporzionate, per gestire i rischi connessi alla sicurezza dei sistemi informatici e delle reti.
La nuova Direttiva pone l’accento sulla cultura cyber e, in tal senso, prescrive corsi di formazione obbligatori per il personale, per gli organi di amministrazione e per gli organi direttivi dei soggetti essenziali e dei soggetti importanti, in tema di cibersicurezza, risk assesment e incident management, in grado di migliorare la postura cyber.

Obbligo di notifica al CSIRT Italia degli incidenti di sicurezza

Inoltre, i soggetti essenziali e importanti devono obbligatoriamente a notificare al CSIRT Italia, istituito presso l’Agenzia per la Cybersicurezza Nazionale, eventuali incidenti che abbiano un impatto significativo sulla fornitura dei loro servizi senza ingiustificato ritardo (entro 24 ore da quando sono venuti a conoscenza di un incidente significativo devono effettuare una pre-notifica e, comunque, entro 72 ore una notifica dell’incidente).

Gli operatori possono essere soggetti a vigilanza e audit

Gli operatori inclusi potranno essere soggetti ad attività di vigilanza e audit sulla sicurezza, periodici e mirati, effettuati da organismi indipendenti o dall’autorità competente (ACN).
In presenza di difformità, rispetto alle prescrizioni contenute nella Direttiva, l’ACN invia una diffida all’operatore e, nel caso di cui le anomalie non siano state sanate o sanabili, può irrogare sanzioni in funzione del fatto che lo stesso sia qualificato come essenziale o come importante:
  1. per i soggetti essenziali, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, se tale importo è superiore;
  2. per i soggetti importanti, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 7.000.000 o dell’1,4% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, se tale importo è superiore;
  3. per le pubbliche amministrazioni con sanzioni amministrative pecuniarie da euro 25.000 a euro 125.000.

La NIS 2 non va vista come una norma punitiva

Si rimarca, comunque, che l’obiettivo della norma consiste nel garantire la continuità dei servizi digitali in caso di incidenti di sicurezza in maniera uniforme in tutti i paesi europei, per cui non va vista come una norma punitiva, ma come un regolamento in grado di:
  1. rafforzare i requisiti in materia di gestione dei rischi di cibersicurezza;
  2. migliorare la capacità di risposta degli incidenti informatici;
  3. semplificare gli obblighi di segnalazione degli incidenti.

Direttiva CER: adempimenti per la resilienza dei soggetti critici

A fronte di un panorama dei rischi sempre più complesso, la nuova direttiva CER, che sostituisce la precedente direttiva sulle infrastrutture critiche europee del 2008, si pone l’obiettivo di rafforzare la resilienza delle infrastrutture critiche a una serie di minacce, tra cui rischi naturali, attacchi terroristici, minacce interne o sabotaggio.
Gli Stati membri dovranno adottare una strategia nazionale ed effettuare valutazioni periodiche dei rischi per individuare i soggetti considerati critici o vitali per la società e l’economia. Vale preliminarmente esplicitare, si intendono i soggetti, pubblici o privati, che operano nella fornitura di servizi essenziali, fondamentali per il mantenimento di “funzioni vitali” della società, delle attività economiche, della salute e della sicurezza pubbliche, dell’ambiente.
L’obiettivo della norma si concretizza nell’accrescere la capacità di prevenzione, resistenza, reazione e risposta (resilienza, nel lessico di oggi) rispetto ad incidenti perturbatori della fornitura di servizi essenziali.

I settori di intervento della direttiva CER

La precedente direttiva europea n. 114 del 2008 (recepita nell’ordinamento italiano con il decreto legislativo n. 61 del 2011) era circoscritta a due soli settori – energia (elettricità, petrolio, gas) e trasporti – ed incentrata su misure di protezione riferite alle singole infrastrutture. Tale approccio normativo è stato oggetto di revisione, nella considerazione della crescente interdipendenza tra infrastrutture e tra settori di attività, nella fornitura dei servizi essenziali.
La nuova direttiva pone l’accento, ancor più che sulle “infrastrutture”, sui “soggetti” impegnati nella fornitura dei servizi essenziali, e considera tali servizi quali inerenti ad uno spettro di attività più esteso rispetto a quello originariamente previsto. Infatti, individua undici settori oggetto della sua disciplina:
  1. energia (energia elettrica; teleriscaldamento e teleraffreddamento; petrolio; gas; idrogeno);
  2. trasporti (aereo; ferroviario; per vie d’acqua; su strada; pubblico);
  3. settore bancario;
  4. infrastrutture dei mercati finanziari;
  5. salute;
  6. acqua potabile;
  7. acque reflue;
  8. infrastrutture digitali;
  9. enti della pubblica amministrazione;
  10. spazio;
  11. produzione, trasformazione e distribuzione di alimenti.

Le previsioni della direttiva CER

La direttiva pone previsioni – a parte alcune di tipo organizzativo – volte a:
  1. fare adottare agli Stati membri una strategia nazionale per la resilienza dei soggetti critici;
  2. fare effettuare una valutazione del rischio da parte di ciascun Stato membro;
  3. rendere obbligatoria l’individuazione come soggetti critici, da parte di ciascuno Stato membro, degli operatori pubblici e privati, titolari di infrastrutture critiche (impianti, reti, sistemi necessari alla fornitura di un servizio essenziale), che operino nei settori sopra ricordati;
  4. fare adottare ai soggetti critici misure tecniche, di sicurezza ed organizzative volte a rafforzarne la resilienza;
  5. obbligare i soggetti critici a procedere alla notifica senza indebito ritardo (e comunque entro 24 ore) all’autorità competente degli incidenti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali;
  6. individuare i soggetti critici di particolare rilevanza a livello europeo (che forniscono servizi essenziali identici o analoghi in sei o più Stati membri);
  7. definire procedure comuni di cooperazione;
  8. prevedere l’irrogazione di sanzioni efficaci, proporzionate e dissuasive in caso di violazione delle disposizioni nazionali prescritte.

L’elenco di servizi essenziali come da regolamento delegato

Vale infine ricordare come la direttiva n. 2557 del 2022 sia stata integrata da un regolamento delegato della Commissione europea (n. 2450 del 2023), il quale ha stabilito un elenco di servizi da intendersi come essenziali, ai fini della resilienza dei soggetti critici.
La legge di recepimento prevede:
  • l’individuazione delle Autorità settoriali competenti:
    • Ministero dell’ambiente e della sicurezza energetica, per il settore: energia.
    • Ministero delle infrastrutture e dei trasporti, per i settori: trasporti e acque irrigue.
    • Ministero dell’economia e delle finanze, per i settori: bancario e infrastrutture dei mercati finanziari.
    • Ministero della salute e, per gli ambiti di propria competenza,
    • l’Agenzia italiana del farmaco (AIFA), per il settore: salute.
    • Ministero dell’ambiente e della sicurezza energetica, per il settore: acqua potabile e per il settore: acque reflue.
    • Agenzia per la cybersicurezza nazionale, per il settore: infrastrutture digitali.
    • Presidenza del Consiglio dei ministri, per il settore: spazio.
    • Ministero dell’agricoltura, della sovranità alimentare e delle foreste, per il settore: produzione, trasformazione e distribuzione di alimenti.
    • i diversi Ministeri sopra ricordati, negli ambiti di propria competenza, ovvero la Presidenza del Consiglio, per gli enti individuati con apposito d.P.C.m. da adottarsi entro il 17 gennaio 2026, per il settore: Enti della pubblica amministrazione.
  • l’avvalimento della facoltà di escludere anche specifici soggetti critici operanti negli ambiti indicati o che forniscano servizi esclusivamente a quegli enti della pubblica amministrazione:
  • la designazione, con riferimento agli undici settori disciplinati dalla direttiva, di una o più “autorità competente” allo scopo di garantire la cooperazione transfrontaliera con i punti di contatto unici di altri Stati membri e con il gruppo per la resilienza dei soggetti critici;
  • l’individuazione di un punto di contatto unico al quale attribuire anche le funzioni di: assicurare il collegamento con la Commissione europea e la cooperazione con i Paesi terzi; coordinare le attività di sostegno ai soggetti critici nel rafforzamento della loro resilienza; ricevere, da parte dei soggetti critici, contestualmente alle autorità competenti, le notifiche degli incidenti che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali; promuovere le attività di ricerca e formazione in materia di resilienza delle infrastrutture critiche; coordinare l’attività delle autorità competenti;
  • l’avvalimento della facoltà di individuare servizi essenziali aggiuntivi;
  • la previsione che le soglie applicate per specificare i criteri di rilevanza degli effetti negativi degli incidenti possano essere comunicate alla Commissione europea come tali o in forma aggregata;
  • la previsione, ove necessario, di misure atte a conseguire un livello di resilienza più elevato per i soggetti critici del settore bancario, del settore delle infrastrutture dei mercati finanziari e del settore delle infrastrutture digitali;
  • l’introduzione di sanzioni penali e amministrative efficaci, proporzionate e dissuasive, nonché strumenti deflattivi del contenzioso, quali la diffida ad adempiere; previsione che le autorità competenti possano irrogare le sanzioni amministrative;
  • il coordinamento delle disposizioni con quelle di recepimento della direttiva (UE) 2022/2555 sulla cyber sicurezza, nonché con il regolamento (UE) 2022/2554 sulla resilienza operativa digitale per il settore finanziario;
  • il mantenimento come ferme delle attribuzioni: dell’autorità giudiziaria, relativamente alla ricezione delle notizie di reato; del Ministero dell’interno, in materia di tutela dell’ordine e della sicurezza pubblica e di difesa civile; del Ministero della difesa, in materia di difesa e sicurezza dello Stato; del Dipartimento della Protezione civile, in materia di previsione, prevenzione e mitigazione dei rischi; del Ministero delle imprese e del made in Italy, in materia di resilienza fisica delle reti di comunicazione elettronica; dell’Agenzia per la cybersicurezza nazionale, in materia di cybersicurezza e resilienza nazionale nello spazio cibernetico. A tal fine, è indicata l’istituzione di un tavolo di coordinamento tra il punto di contatto unico e la Commissione interministeriale tecnica di difesa civile, in relazione alla formulazione e attuazione degli obiettivi di resilienza nazionale;
  • la tutela dei lavoratori nello svolgimento delle attività ritenute critiche e sensibili, anche mediante disposizioni speciali (in raccordo con la normativa europea).

Conclusioni

La Commissione Europea, in poco tempo, ha emanato tre norme tra loro complementari:
  1. La Direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione europea (cd. “Direttiva NIS 2”: l’acronimo sta per Network and Information Security);
  2. La Direttiva (UE) 2022/2557, relativa alla resilienza dei soggetti critici (cd. “Direttiva CER”: l’acronimo di Critical Entities and Repealing);
  3. Il Regolamento (UE) 2022/2554, sulla resilienza operativa digitale per il settore finanziario (cd. “Regolamento DORA: Digital Operational Resilience Act”).
Le tre disposizioni condividono due obiettivi: attenuare i rischi individuati e attuare tempestivamente, e in maniera armonizzata in tutta gli stati europei, misure volte a rafforzare la resilienza dei soggetti individuati, anche attraverso la previsione di sanzioni efficaci, proporzionate e dissuasive.
Inoltre, prevedono l’esclusione dall’ambito di applicazione, degli enti della pubblica amministrazione operanti nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’attività di contrasto, compresi l’indagine, l’accertamento e il perseguimento di reati, ed inclusi gli organismi di informazione per la sicurezza, ai quali si applicano le disposizioni di cui alla legge 3 agosto 2007, n. 124 (“Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto”).
Adesso attendiamo la pubblicazione dei decreti attuativi in Gazzetta Ufficiale per comprendere nel dettaglio quali adempimenti operativi dovranno attuare le autorità competenti individuate e i soggetti interessati dalle disposizioni.