Direttiva Nis 2, più campi di applicazione
Direttiva Cer, più resilienza per 11 settori
Nis 2, le novità nel dettaglio
Il 10 novembre il Parlamento europeo, a larga maggioranza, ha approvato la Direttiva Nis2 (Network and information system security). Ad oggi, in Italia, la normativa di riferimento nazionale in materia di sicurezza dei dati è rappresentata dalla Legge 4 agosto 2021, n. 109 recante “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”. Tale normativa ha recepito a livello nazionale la direttiva Nis 2016/1148 “Sulla sicurezza delle reti e dei sistemi informativi”, con cui la Commissione europea ha posto le basi necessarie per normare e disciplinare gli aspetti essenziali della sicurezza informatica.
La direttiva Nis mette l’accento sugli Operatori dei servizi essenziali (Ose): quelle aziende che, secondo la definizione dell’Anssi “forniscono un servizio essenziale la cui interruzione avrebbe un impatto significativo sull’andamento dell’economia o della società”.
Vista la trasformazione della minaccia, l’evoluzione del testo è stata inevitabile, in particolare per ampliare il campo di applicazione e preparare le aziende alle sfide attuali e future della cyber sicurezza. È questa constatazione che ha portato la Commissione a proporre una revisione della direttiva, sotto il nome di Nis 2.
Tra i capisaldi della direttiva Nis 2 ci sono:
- rideterminazione e ampliamento dell’ambito di applicazione delle norme in materia di sicurezza dei dati;
- potenziamento degli organi e delle attività di supervisione a livello comunitario, con l’obiettivo di migliorare la collaborazione per contrastare la minaccia informatica globale, grazie alla condivisione delle esperienze tra gli stati membri;
- razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria degli incidenti informatici;
- estensione dei concetti di gestione del rischio e di valutazione delle vulnerabilità a tutta la supply chain, coinvolgendo tutti o un maggior numero di stakeholder coinvolti.
Cer, che cosa cambia
La nuova normativa stabilisce l’obbligo per gli Stati membri di:
- adottare misure volte a garantire la fornitura, nel mercato interno, dei servizi essenziali per la società e individuare i soggetti critici;
- rafforzare la loro resilienza e la loro capacità operativa;
- fissare regole sulla vigilanza e sull’applicazione delle norme nei confronti dei tali enti.
Ogni Paese Ue è chiamato ad adottare una sua strategia nazionale, ha l’onere di indicare una o più autorità competenti responsabili della corretta applicazione e del rispetto della direttiva a livello nazionale e dovrà designare, all’interno dell’autorità competente, un unico punto di contatto per assicurare la cooperazione transfrontaliera con le autorità competenti degli altri Stati membri.Gli Stati membri devono assicurarsi che i soggetti critici adottino misure tecniche e organizzative per garantire la loro resilienza, ivi comprese quelle di prevenzione degli incidenti; protezione fisica delle aree sensibili; mitigazione delle conseguenze degli incidenti; recupero dagli incidenti; gestione della sicurezza dei dipendenti; aumento della consapevolezza tra il personale.
Una novità introdotta dalla direttiva è la creazione del Gruppo per la resilienza delle infrastrutture critiche, che ha il compito di supportare la Commissione nella cooperazione strategica e nello scambio di informazioni nonché la funzione di valutare le varie strategie e di coadiuvare gli Stati nell’individuazione delle infrastrutture critiche.
Infine, la direttiva prevede apposite misure affinché le autorità competenti dei vari Paesi possano valutare l’applicazione della normativa da parte delle entità critiche attraverso ispezioni in loco e audit.
