Home

Internal

Global

Contatto

Rödl & Partner ha prestato la propria consulenza per il perfezionamento dell'acquisizione del Gruppo italiano FGV da parte di Hettich |

In tutto il mondo

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.

Direttiva NIS2: nuovi adempimenti cyber in arrivo

Ultimo aggiornamento del 23.01.2023 | Tempo di lettura ca. 8 minuti

In data 27 Dicembre 2022 è approdato nella Gazzetta Ufficiale dell’Unione Europea la Direttiva (UE) 2022/2555 (di seguito, “Direttiva NIS2) che, introducendo una serie di nuovi obblighi in materia di cybersecurity, succede alla Direttiva (UE) 2016/1148 (di seguito, “Direttiva NIS1”).

La nuova normativa, che insieme al Digital Operational Resilience Act (di seguito, “Regolamento DORA”) e alla Direttiva (UE) 2022/2557 (di seguito, “Direttiva CER”) compone il nuovo cyber framework europeo, mira a realizzare due importanti obiettivi, ovvero:

l’aumento del livello di resilienza informatica degli attori, pubblici e privati, coinvolti nel proprio campo applicativo e
il miglioramento del livello collettivo di consapevolezza delle minacce informatiche odierne, al fine di sviluppare una miglior capacità di prevenzione, gestione e risposta.

A differenza di quanto previsto in passato, la Direttiva NIS2 introduce una serie di novità di non poco conto.

In primo luogo, viene eliminata la classificazione – introdotta dalla Direttiva NIS1 – tra “operatori di servizi essenziali” (i c.d. “OES”) e “fornitori di servizi digitali”(i c.d. “DSP”).

In secondo luogo, viene introdotta – quale criterio di individuazione dei soggetti destinatari degli obblighi previsti – la distinzione tra “soggetti essenziali” e “soggetti importanti”, con contestuale applicazione della la regola del massimale dimensionale (c.d. “Size-cap”) come canone di accertamento della dimensione medio-grande delle imprese coinvolte.

La classificazione appena indicata prevede che:

i soggetti essenziali siano i soggetti, pubblici e privati, che perseguono la propria attività di business nei settori dell’energia; del trasporto; dell’attività bancaria; delle infrastrutture inerenti i mercati finanziari; della salute; dell’acqua potabile e delle acque reflue; delle infrastrutture digitali (gestione servizi ICT business to business); della pubblica amministrazione e del contesto spazio,
i soggetti importanti siano i soggetti, pubblici e privati, che perseguono la propria attività di business nei settori dei servizi postali e di corriere, della gestione dei rifiuti, della fabbricazione, produzione e distribuzione di prodotti chimici, della produzione, trasformazione e distribuzione alimentare, della fabbricazione di dispositivi medici e medico-diagnostici in vitro, della fabbricazione di computer e prodotti elettronici e ottici, della fabbricazione di apparecchiature elettriche, della fabbricazione di macchinari e apparecchiature n.c.a., della fabbricazione di autoveicoli, rimorchi e semirimorchi, della fabbricazione di altri specifici mezzi di trasporto, del contesto manifatturiero, dei servizi digitali (come sono, ad esempio, i fornitori di mercati online, i motori di ricerca online, le piattaforme di servizi di social networking e il Cloud computing) e della ricerca.

Al di fuori della distinzione appena illustrata, la Direttiva NIS2 non si applica ai soggetti che svolgono attività nei settori della difesa o sicurezza nazionale, della pubblica sicurezza e della legislazione, ivi compresi la magistratura, i parlamenti nazionali e le banche centrali.

A dispetto di tutto quando sino ad ora considerato, tuttavia, la novità che verosimilmente merita maggior attenzione consiste nell’approccio di rischio introdotto sottoforma di obbligo verso le imprese interessate, le quali sono chiamate d implementare un adeguato processo di risk assessment per la gestione degli eventi cyber potenzialmente malevoli, sia interni che esterni.

La gestione del rischio, peraltro, richiede alle imprese di tenere conto anche delle misure di gestione del rischio implementate dai propri fornitori e, a livello di governance, di monitorare in maniera adeguata la propria supply chain, prevedendo verifiche costanti e puntuali sulle singole terze parti contrattualizzate.

A seguire, e a fronte dei risultati prodotti dall’attività di valutazione dei rischi, la Direttiva NIS2 indica una serie di misure tecniche e organizzative che le società qualificabili come “essenziali” e “importanti” sono chiamate ad applicare. Nello specifico, si parla di:

politiche relative all’analisi dei rischi e di sicurezza dei sistemi informatici;
gestione degli incidenti;
gestione della continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e la gestione delle crisi;
sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi legati alla cybersecurity;
pratiche di igiene informatica di base e di formazione in materia di cybersecurity;
politiche e le procedure relative all’uso della crittografia e, se del caso, della cifratura;
sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
uso di soluzioni di autenticazione a più fattori (cd. multi factor authentication) o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti.

Tali misure devono essere approvate dagli organi direttivi delle imprese coinvolte, i quali sono chiamati altresì a partecipare a sessioni di formazione specifiche in materia di cybersecurity. Queste figure sovrintendono l’attuazione delle prescrizioni menzionate e sono responsabili della violazione di tali obblighi.

Tale riferimento, è bene precisare, diverrà effettivo laddove mantenuto nell’iter di recepimento della Direttiva NIS2.

La Direttiva NIS2 prevede anche nuovi stringenti obblighi di notifica in caso di incidente informatico. In tal senso, a differenza di quanto previsto dalla Direttiva NIS1, la nuova normativa impone alle società interessate di notificare al Computer Security Incident Response Team (di seguito, “CSIRT”) – istituito presso l’Agenzia per la Cybersicurezza Nazionale (di seguito, “ACN”) – tutti gli incidenti idonei a provocare impatti di natura “significativa”, intendendosi con tale definizione:

un incidente che ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per i soggetti interessati;
un incidente che si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche, causando perdite materiali o immateriali considerevoli.

A differenza del passato – dove la notifica doveva avvenire “senza indebito ritardo” (cfr. Direttiva NIS1) – la Direttiva NIS2 prevede un processo di segnalazione più circoscritto, completo e tempestivo. In tal senso, sono previsti:

un preallarme entro il termine di 24 ore dalla conoscenza dell’incidente (invio del cd. “early warning”);
una notifica entro il termine di 72 ore dalla conoscenza dell’incidente, che aggiorni – se necessario – le informazioni del preallarme;
una relazione finale entro un mese dalla trasmissione della notifica, a completamento del processo di segnalazione, che comprenda: una descrizione dettagliata dell’incidente (comprensiva di gravità e impatto), l’indicazione della tipologia di minaccia o la causa che verosimilmente ha dato seguito all’incidente, le misure di remediation adottate e – laddove opportuno – l’impatto a livello transfrontaliero dell’incidente.

Laddove appropriata, peraltro, la notifica deve avvenire anche a beneficio dei destinatari del servizio impattato dall’attacco informatico, attraverso l’indicazione delle misure che detti destinatari sono in grado di adottare per reagire alle conseguenze malevoli dell’evento.

La Direttiva NIS2 prevede poi, a favore delle Autorità competenti, una serie di poteri di vigilanza di carattere pregnante. Si fa riferimento, ad esempio:

allo svolgimento di audit sulla sicurezza (sia mirati che periodici);
ad ispezioni in loco presso la sede delle aziende;
a scansioni di sicurezza e richieste di accesso a dati e informazioni, ivi comprese le evidenze delle politiche di cybersecurity adottate).

Dal punto di vista sanzionatorio, la Direttiva NIS2 conferisce infine agli Stati membri la facoltà di stabilire norme sulle sanzioni nella loro legislazione nazionale di attuazione.

Tali sanzioni devono essere “effettive, proporzionate e dissuasive” e, a seconda che l’entità sia “essenziale” o “importante”, le sanzioni pecuniarie per inadempienza della gestione dei rischi cyber e degli obblighi di notifica possono arrivare sino a:

10 milioni di EUR o un massimo di almeno il 2 per cento del totale del fatturato mondiale annuo di impresa;
7 milioni di EUR o un massimo di almeno l'1,4 per cento del totale del fatturato mondiale annuo di impresa.

Quando accertata la violazione delle prescrizioni illustrate, la Direttiva NIS2 prevede altresì che le Autorità competenti abbiano la facoltà di sospendere l’attività aziendale dell’impresa.

Concludendo, tenuto conto anche della stretta correlazione tra la Direttiva NIS 2, il Regolamento DORA e la Direttiva CER, i soggetti pubblici e privati interessati dall’entrata in vigore di tale framework regolatorio sono chiamati a verificare, in primis, l’applicabilità della Direttiva NIS2, del Regolamento DORA e della Direttiva CER al proprio contesto operativo per poi, in caso di esito positivo, aggiornare i propri processi e le proprie procedure interne, sia da un punto di vista organizzativo che informatico, prevedendo:

l’adozione di un approccio di risk assessment che contempli:

una fase di individuazione degli eventi cyber potenzialmente disastrosi, che rappresentino il contesto oggetto di valutazione;
una fase di valutazione degli stessi eventi cyber per determinare il livello di rischio, attraverso l’individuazione delle probabilità di accadimento dell’evento e la gravità di impatto sulle attività di business;
una fase di predisposizione delle misure di prevenzione e protezione;
una fase di implementazione delle misure di prevenzione e protezione individuate;
una fase di monitoraggio periodico e revisione delle misure adottate, tenendo conto dei mutamenti organizzativi e operativi rinvenibili con il trascorre del tempo;

l’adozione di misure tecniche ed organizzative adeguate, tra cui:

sessioni di formazione del personale, sia a livello apicale che operativo, idonee ad accrescere la consapevolezza digitale, l’igiene informatica e le politiche interne di cybersecurity;
se non già presenti, politiche di crittografia e relativi processi di implementazione delle tecniche crittografiche necessarie per garantire la disponibilità, l’integrità e la confidenzialità delle informazioni trattate;
misure di backup e di Business Continuity, per assicurare il ripristino dei sistemi in caso di evento malevolo;
una procedura di gestione del rischio cyber;
processi di Vulnerability Assessment e Penetration Tests, al fine di monitorare i punti deboli dell’infrastruttura e verificare la resilienza delle misure implementate;
soluzioni di autenticazione strong al sistema informatico aziendale, come può essere ad esempio il multi factor authenticaion;
un processo di revisione e aggiornamento della governance aziendale, dei processi interni e delle procedure adottate alla luce degli adempimenti connessi alla gestione dei rischi cyber;

un costante monitoraggio e una verifica della produzione normativa dei prossimi mesi, in particolare per quel che concerne le disposizioni di recepimento della Direttiva NIS2 e della Direttiva CER da parte del legislatore nazionale;
un processo di valutazione e monitoraggio, da un punto di vista cyber, dei fornitori dei servizi di business, prevedendo se del caso il rafforzamento delle misure contrattuali di ciascun rapporto in essere e/o futuro al fine di contemplare un livello di sicurezza adeguato e efficiente.

Le novità normative saranno efficaci a partire dal 18 ottobre 2024, termine ultimo conferito agli Stati membri per recepire all’interno dei propri ordinamenti – con apposita norma di legge – la Direttiva NIS2.