Approvato lo Schema di Decreto NIS 2: gli obblighi per le imprese

Premessa

La Direttiva NIS 1, adottata nel 2016, ha segnato il primo grande sforzo dell'Unione Europea per creare un quadro comune dedicato al rafforzamento della sicurezza delle reti e dei sistemi informativi attraverso gli Stati membri. Lo scopo era quello di sviluppare le capacità di cybersicurezza degli Stati membri per affrontare minacce nuove ed emergenti e migliorare la cooperazione transfrontaliera tra gli Stati membri per garantire una risposta coordinata agli incidenti di sicurezza. Tuttavia, le differenze nell'implementazione della Direttiva tra gli Stati avevano creato una frammentazione nell'applicazione limitando l'efficacia del quadro comune europeo. Ulteriormente, l'ambito di applicazione e i criteri per l'identificazione degli Operatori di Servizi Essenziali (OSE) erano lasciati alla discrezione degli Stati che portavano a differenze di applicazione significative. A ciò, si unisce l'incremento e l'evoluzione delle minacce cibernetiche dalle quali è emersa la necessità di aggiornare e rafforzare le misure previste dalla Direttiva.

Le strategie nazionali

Con la NIS 2 gli Stati membri sono tenuti ad adottare a elaborare e adottare strategie nazionali in materia di cybersicurezza, delineando il quadro generale, gli obiettivi e le priorità nazionali. La designazione o la creazione di autorità nazionali competenti in materia di cybersicurezza, autorità di gestione delle crisi informatiche, punti di contatto unici per facilitare la comunicazione e la cooperazione a livello nazionale e internazionale, e team di risposta agli incidenti di sicurezza informatica (CSIRT) per assicurare una risposta rapida ed efficace agli incidenti di cybersicurezza.

Ambito di applicazione

L'ambito di applicazione della Direttiva Nis 2, si estende, oltre ai soggetti critici e quelli di cui all'art. 1 dello schema di Decreto, a tutte le medie imprese secondo la definizione di cui alla Raccomandazione CE 2003/361/CE e che rientrano negli Allegati 1 e 2 del Decreto.

Sulla base di quanto previsto dalla Direttiva, il Decreto individua all'art. 3 i soggetti essenziali individuando nella classificazione i potenziali rischi delle categorie. Nei soggetti essenziali rientrano gli Enti la cui operatività è necessaria per la stabilità e la sicurezza del sistema nazionale. In questa categoria rientrano anche i fornitori di reti pubbliche di comunicazione elettronica e servizi di comunicazione accessibili al pubblico e i prestatori di servizi fiduciari qualificati e dai gestori di registri dei nomi di dominio, la cui attività è indispensabile per la sicurezza delle comunicazioni digitali e per l'integrità dell'infrastruttura internet. Ulteriormente, rientrano nei soggetti essenziali le pubbliche Amministrazioni. A prescindere dalla classificazione, tutti i soggetti destinatari dalla Direttiva dal 1° gennaio fino al 28 febbraio di ogni anno successivo all'entrata in vigore del Decreto, devono registrarsi sulla piattaforma digitale predisposta dall'Agenzia Nazionale per la Cybersicurezza, individuata come Autorità competente dal Decreto, con l'inserimento di taluni dati obbligatori disciplinati dall'art. 7.

Misure di gestione del rischio

Gli artt. 23 e 24 del Decreto disciplinano le misure di gestione del rischio per la sicurezza informatica e la notifica degli incidenti informatici per i soggetti essenziali e importanti, conformemente agli obblighi imposti dal Capo IV. Gli organi di amministrazione e direttivi saranno tenuti ad approvare le modalità di implementazione delle misure per la gestione dei rischi in materia di sicurezza informatica, secondo quanto stabilito dall'art. 24. Tali soggetti hanno la responsabilità di garantire che le misure adottate siano adeguate e proporzionate ai rischi esistenti, tenendo conto delle più recenti conoscenze tecniche.

I soggetti obbligati sono tenuti ad adottare misure tecniche e organizzative con un approccio basato sul rischio che tengano conto delle direttive impartite dall'ACN sulla base della categoria di appartenenza del soggetto.

Sulla base di quanto previsto dall'art. 24, le misure descritte nel c. 1 si basano su un approccio multi-rischio che mira a proteggere i sistemi informativi e di rete, così come il loro ambiente fisico, da eventuali incidenti. Tra le altre misure è prevista l'implementazione di politiche per l'analisi dei rischi e la sicurezza dei sistemi informativi e di rete incluso una gestione strutturata degli incidenti, con procedure e strumenti specifici per le notifiche, come indicato negli artt. 25 e 26. Secondo lo Schema di Decreto è essenziale garantire la continuità operativa, che comprende la gestione dei backup, il ripristino in caso di disastri e la gestione delle crisi. Centrale nella gestione della sicurezza è la gestione della catena di approvvigionamento che coinvolge anche la sicurezza nei rapporti con i fornitori di beni o servizi. In questo contesto, le misure devono essere rivolte alla fase di acquisizione, sviluppo e nella manutenzione dei sistemi informativi e di rete e includere la gestione e alla divulgazione delle vulnerabilità. Prima di acquisire nuovi software o hardware, occorrerà svolgere valutazioni dettagliate dei fornitori per assicurarvi che rispettino gli standard di sicurezza richiesti. La sicurezza nell'acquisizione si sviluppa specificamente sul processo di selezione e acquisizione di prodotti e servizi IT, mentre la gestione dei rischi lungo la catena di approvvigionamento pretende che l'azienda consideri i rischi di sicurezza in ogni fase della catena di approvvigionamento, dalla produzione e l'assemblaggio dei componenti alla distribuzione e alla consegna dei prodotti finiti. L'Ente sarà poi tenuto alla corretta gestione del processo di analisi dei rischi si realizza tramite il rispetto di una procedura dinamica e circolare che tenga in considerazione più aspetti dall'identificazione del rischio al corretto monitoraggio. Per ogni asset critico identificato, l'azienda dovrebbe valutare le vulnerabilità esistenti che potrebbero essere sfruttate da minacce esterne o interne. Per questa fase e per valutare l'impatto degli asset ritenuti critici potrebbe tornare utile la valutazione d'impatto sul business per determinare l'effetto potenziale d'interruzioni o compromessi. La valutazione aiuta a quantificare l'impatto finanziario, operativo e di altro tipo di un'interruzione su specifici asset IT. L'azienda dovrà poi stabilire un processo iterativo di gestione dei rischi che includa la continua valutazione delle minacce emergenti, l'aggiornamento delle valutazioni delle vulnerabilità e la rivalutazione periodica dell'impatto sugli asset critici per assicurare che le misure di mitigazione rimangano allineate con il panorama delle minacce in evoluzione.

Misure di sicurezza

Un'altra componente chiave è l'adozione di pratiche di igiene di base e la formazione continua in materia di sicurezza informatica. Inoltre, sono stabilite politiche e procedure per l'uso della crittografia e, dove opportuno, della cifratura. Il personale rappresenta un giocoforza di base quando si parla di sicurezza informatica, la formazione e la sensibilizzazione del rischio. Stabilire un processo costante di formazione rappresenta una misura proattiva al costante aggiornamento del personale e sulle migliori pratiche da adottare nell'organizzazione.

Obblighi di comunicazione

Sarà centrale la fase di valutazione del disastro per gli obblighi di comunicazione individuati dagli artt. 25 e seguenti del Decreto. La gestione degli incidenti prevede, infatti, un obbligo di notifica al CSIRT entro 24 ore dal momento in cui sono venuti a conoscenza dell'incidente significativo. Successivamente, sempre senza ingiustificato ritardo e comunque entro 72 ore dal momento in cui sono venuti a conoscenza dell'incidente, i soggetti devono inviare una notifica più dettagliata. La notifica deve aggiornare le informazioni fornite nella pre-notifica e includere una valutazione iniziale dell'evento, che comprenda la sua gravità e il suo impatto. Inoltre, ove disponibili, devono essere forniti gli indicatori di compromissione, ovvero gli elementi che indicano la violazione o il problema tecnico che ha portato all'incidente.

L'ANC dovrà poi definire obblighi proporzionati per i soggetti coinvolti che dovranno tener conto del livello di esposizione ai rischi, delle dimensioni delle organizzazioni e della probabilità e gravità degli incidenti che potrebbero verificarsi, valutando anche gli impatti sociali ed economici. Sempre l'ACN definirà i termini, le modalità, le specifiche e i tempi graduali per l'implementazione dei nuovi obblighi per le imprese. Occorrerà attendere la sua versione definitiva per comprendere pienamente come sarà applicata la proporzionalità indicata. Le organizzazioni dovranno quindi valutare attentamente le nuove disposizioni e pianificare l'integrazione delle misure di sicurezza necessarie in modo efficiente e conforme alle indicazioni che verranno definite con l'approvazione del Decreto di recepimento.