Cosa comporta la nuova direttiva europea sulla cybersicurezza nel 2024
A cura di Annita Larissa Sciacovelli
Il conflitto russo-ucraino ha portato sotto le luci dei riflettori i nuovi rischi per la cybersicurezza al cui contenimento si sono ampiamente dedicati euro-tecnocrati e giuristi a Bruxelles.
Nel dicembre 2022 l’Unione Europea (UE) ha adottato una serie di atti normativi, per obiettivi e per strumenti, necessari per far fronte a uno scenario di minacce (anche ibride) in continuo mutamento e che richiedono una vigilanza e un adattamento costanti.
Infatti, l’evoluzione dell’ecosistema digitale e la necessità di realizzare un alto e comune livello di sicurezza delle reti e dei sistemi informatici nei 27 Paesi europei, specie nei settori produttivi critici, ha spinto l’UE ad imporre un cambiamento di mindset per garantire il corretto funzionamento del Mercato Unico digitale.
Tra le preoccupazioni dell’Unione vi è il timore che gli attacchi, o meglio gli incidenti informatici, si traducano in costi economici e reputazionali molto rilevanti per le aziende. Questi costi potrebbero essere tali da essere riversati a carico del consumatore finale, oppure da incidere così gravemente sui conti delle aziende da costringerle a un ridimensionamento del personale o financo, in caso di perdite ingenti, a dichiarare il fallimento.
Da qui l’esigenza dell’Unione di ampliare il novero delle aziende tenute a rispettare le regole sulla cybersicurezza e, quindi, l’introduzione nella Direttiva NIS2 (UE 2022/2555) di nuove categorie di operatori dei servizi essenziali (OSE) e fornitori di servizi digitali (DSP), accanto agli operatori di servizi importanti. Tale direttiva, già entrata in vigore, dovrà essere resa esecutiva in Italia entro il 18 ottobre 2024, grazie ai decreti legislativi che il Parlamento adotterà a breve.
Le aziende che rientrano nel perimetro della NIS2 sono individuate sulla base del size-cap (di dimensioni medie, ex art. 2, par. 1, dell’allegato alla raccomandazione 2003/361/CE) e del settore produttivo (essenziale o importante). Ciò non esclude le imprese di piccole dimensioni se i loro servizi presentano particolari rischi per la sicurezza.
Si tratta di una incombenza impegnativa per le aziende che saranno inserite nel perimetro della Direttiva NIS2 ma che, come insegna l’esperienza oltreoceano, rappresenta l’unica soluzione per effettuare un controllo effettivo ed efficace delle loro criticità, maturità e postura nella cybersecurity.
Infatti, un recente rapporto del Parlamento europeo del 2023 evidenzia come l’esperienza liberista degli Stati Uniti, circa l’adesione volontaria delle aziende a schemi di postura e maturità della cybersecurity, non abbia portato a risultati soddisfacenti né in termini di investimenti né di sicurezza, specie riguardo alla gestione degli incidenti. Infatti, anche l’odierna strategia della cybersecurity della Casa Bianca è favorevole a introdurre regole e parametri obbligatori.
L’evoluzione delle minacce cibernetiche ha portato quindi l’UE a sostituire il primo strumento legislativo a livello dell’UE sulla cybersicurezza, la direttiva NIS (UE 2016/1148), redigendo una nuova versione basata su tre pilastri incardinati su: una policy di prevenzione degli incidenti informatici, un sistema di notifica degli incidenti e l’irrogazione di sanzioni.
Riguardo al primo punto, relativo alla policy di prevenzione degli incidenti informatici, è stato ampliato il novero dei settori che ricadono nell’ambito di applicazione della NIS 2 fra cui il settore dell’energia (che include nuove categorie di operatori come i partecipanti al mercato designati e gli operatori di punti di ricarica), i trasporti, le infrastrutture digitali (inclusi i cloud, i data center, gli ICT Service management e i digital providers), le banche, i mercati finanziari, la sanità (che include le attività di ricerca e produzione dei farmaci, di dispositivi medici e di dispositivi medico-diagnostici in vitro), la gestione dell’acqua potabile e delle acque reflue, la gestione dei rifiuti, le poste e di corriere, la pubblica amministrazione, lo spazio, il settore manifatturiero, quello chimico e quello dell’approvvigionamento alimentare, inclusa la produzione e la distribuzione, e le organizzazioni di ricerca.
Sugli stessi Operatori ricadranno obblighi importanti tra i quali, ex art. 20 della NIS2, quelli relativi agli organi di gestione stessi ai quali spetta l’approvazione di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi della sicurezza delle reti e dei sistemi informativi per prevenire o ridurre al minimo l’impatto degli incidenti anche sui destinatari dei loro servizi.
Agli organi di governo dell’azienda spetta anche la supervisione dell’attuazione di tali misure ed essi potranno essere chiamati a rispondere delle violazioni delle norme testé indicate. L’obiettivo principale è quello di far sì che gli Operatori si dotino di sistemi di risk assessment e risk management - anche con riferimento alle aziende che fanno parte della catena di approvvigionamento (supply chain) - onde mitigare gli incidenti e garantire la business continuity. L’idea è quella di imporre una policy di gestione della cybersicurezza estesa anche agli anelli più deboli della catena produttiva e commerciale, tramite l’assunzione di responsabilità debitamente indicate in sede contrattuale, affinché l’outsourcing della produzione non si traduca nell’outsourcing del rischio.
Nel valutare la proporzionalità di tali misure, che rappresentano un elenco minimo di elementi di sicurezza di base e che devono essere debitamente documentate ai fini della accountability, si tiene conto del grado di esposizione dell’Operatore ai rischi, delle sue dimensioni e della probabilità che si verifichino incidenti e della loro gravità, compreso il loro impatto sociale ed economico (art. 21).
Il secondo pilatro della NIS2 è il sistema di notifica degli incidenti sui servizi forniti di cui devono essere informati il Computer Security Incident Response Team (CSIRT) e le Autorità competenti NIS, ossia i vari Ministeri competenti (art. 23).
Una volta verificatosi l’incidente, sull’Operatore ricade l’obbligo di notifica senza indebito ritardo sempreché si tratti di un incidente significativo, sarebbe a dire che abbia causato o sia in grado di causare una “grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato, o se “si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli” e se abbia effetti transnazionali.
Di regola, la notifica consta di una segnalazione rapida entro 24 ore dall’incidente, ed entro le 72 ore si deve procedere ad un aggiornamento con la valutazione della gravità e dell’impatto, nonché, ove disponibili, fornire gli indicatori di compromissione. Su richiesta di un CSIRT deve essere fornita una relazione intermedia sui pertinenti aggiornamenti della situazione. Entro un mese poi deve essere consegnata una relazione finale che indichi: una descrizione dettagliata dell’incidente, comprensiva della sua gravità e del suo impatto; il tipo di minaccia o la causa di fondo che ha probabilmente innescato l’incidente (che, però, viene raramente cercata e individuata); quali sono le misure di attenuazione adottate e in corso.
Le sanzioni pecuniarie amministrative, previste dall’art. 34, sono irrogate nel caso di mancato adempimento degli obblighi previsti. Per gli Operatori essenziali esse sono pari a un massimo di almeno dieci milioni di euro o a un massimo di almeno il 2 % del totale del fatturato mondiale annuo; mentre per gli Operatori importanti tali sanzioni sono pari a un massimo di sette milioni di euro o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo.
Vale la pena di segnalare che la NIS2 ha introdotto anche altri obblighi a carico degli Operatori relativi, ad es., all’implementazione di misure di sicurezza obbligatorie o all’attuazione delle raccomandazioni di un audit.
Riguardo al terzo pilastro, quello relativo al controllo effettuato dagli Stati, esso si incentra su due regimi di vigilanza: uno ex ante ed ex post per gli Operatori essenziali, e uno solo ex post per gli Operatori importanti. Si tratta di due regimi di vigilanza che impongono al board dell’azienda interessata di dimostrare l’effettiva adozione delle misure di sicurezza e di segnalazione degli incidenti, pena la accountability del top management dell’azienda. Tale vigilanza può essere attivata anche dalle autorità statali, o da altri Operatori o dai cittadini stessi o su segnalazione dei media. L’art. 32 della NIS2 specifica poi in cosa consiste l’attività di vigilanza ad opera delle autorità statali relativa alle ispezioni in loco e alla vigilanza anche a distanza, all’audit sulla sicurezza periodici e mirati, effettuati da organismi indipendenti o dall’autorità competente, a scansioni di sicurezza, e a informazioni documentate sulle politiche di cyber security.
Va da sé l’importanza della zero trust architecture all’interno della azienda anche per controllare gli accessi interni, atteso che le minacce possono essere costituite anche da impiegati infedeli. A tal fine, è consigliabile segmentare le reti interne per evitare che i non addetti a lavori accedano a informazioni riservate, quali quelle relative alle banche dati dei clienti o al settore IP dell’azienda.
In conclusione, l’attuale forte dipendenza della società dalle infrastrutture digitali comporta che la sicurezza cibernetica delle aziende rappresenti per l’UE e per il Sistema Paese una sfida essenziale e imprescindibile. Tale sfida riguarda sì le vulnerabilità dei sistemi ma ancor più l’errore umano che resta una delle principali criticità aziendali. Peraltro, chi lavora con le aziende sa bene che la gestione dei rischi rappresenta un puzzle quotidiano che interessa i CDA e la governance delle stesse. In tale puzzle spesso manca il giusto riconoscimento del ruolo del CISO.
Non a caso, a partire dal 18 ottobre 2024 sarà fondamentale adottare le misure organizzative imposte dalla direttiva NIS 2 relative specificamente alla nomina di un responsabile della sicurezza informatica; alla definizione dei ruoli e delle responsabilità del personale coinvolto nella gestione degli incidenti e alla definizione delle procedure da seguire.
Tali scelte consentiranno il monitoraggio costantemente dei livelli di sicurezza informatica e l’aggiornamento delle risposte alle vulnerabilità, sia interne che esterne. Ovviamente, occorre evitare la sovrapposizione di ruoli e delle attività di analisi del rischio da parte delle molteplici figure professionali interessate (Auditor, DPO, Responsabili IT) favorendo un approccio integrato.
Occorrerà comunque attendere quanto sarà indicato dall’Agenzia dell’Unione europea per la cybersecurity nella seconda metà del 2024 circa l’individuazione di modelli e orientamenti di best practice sul tema.