Lo scorso dicembre è stata ufficializzata l’approvazione della direttiva NIS2, un corposo aggiornamento della precedente direttiva NIS1, adottata nel 2016 da Parlamento Europeo e Consiglio come uno dei primi atti dell’UE per fare fronte alle nuove necessità in termini di cybersicurezza.

La NIS1 (che sta per network and information systems) richiedeva agli Stati Membri di sviluppare una strategia nazionale per la cybersicurezza e identificare quei soggetti che trattavano servizi essenziali mediante l’uso di mezzi informatici. All’identificazione seguiva poi l’introduzione di nuove regole sulla cybersicurezza affinché questi soggetti le facessero proprie nei loro processi, in modo da rendere i servizi essenziali meno vulnerabili nei confronti di attacchi informatici. Dal 2016 in poi, data d’adozione della direttiva, si è però registrata un’implementazione scarsa e frammentata delle nuove indicazioni, tanto che in alcuni Stati europei alcune aziende erano identificate come fornitrici di servizi essenziali mentre in altri Stati – anche confinanti – non erano riconosciute come tali. Questa disomogeneità, sommata alla necessità di enti pubblici e aziende di difendersi in modo efficace dai crescenti attacchi informatici, ha portato la Commissione Europea a ricercare una soluzione per migliorare la precedente direttiva e rendere l’Europa più resiliente di fronte alle minacce informatiche.
Ed ecco che arriviamo alla NIS2, uno strumento che – all’interno del più ampio programma europeo del Decennio Digitale (2020-2030) – punta all’aggiornamento delle precedenti misure e all’introduzione di nuove indicazioni per contrastare le minacce cyber. Nella direttiva viene identificata una lista precisa di settori che saranno interessati e prevede che i soggetti di maggior rilievo operanti in questi settori saranno automaticamente considerati come essenziali e che, quindi, dovranno obbligatoriamente adattarsi alle nuove norme in termini di cybersicurezza.
I soggetti interessati saranno quindi con oltre 250 dipendenti e un fatturato annuale di oltre 50 milioni, operanti nei settori dell’energia, dei trasporti, della gestione dell’acqua, provider di servizi digitali di archiviazione di dati offline e in cloud ma non solo. Oltre a questi, già de facto considerati nella direttiva NIS1, saranno presi in considerazioni soggetti operanti in settori comunemente non associati al digitale come i servizi postali, la gestione dei rifiuti, l’alimentare e anche il settore dello spazio. È evidente quindi che, con la penetrazione del digitale in sempre più settori, siano sempre di più i soggetti interessati da attacchi informatici critici e necessitanti quindi di adottare le giuste misure di prevenzione e protezione.
Dovranno adottare le nuove indicazioni anche gli enti amministrativi, sia a livello centrale che regionale, mentre non saranno interessati i Parlamenti né le banche centrali. Resterà inoltre un certo livello di flessibilità e autonomia in capo agli Stati membri nel decidere quali altri settori considerare come essenziali e se includere enti locali e settore educativo nella lista degli enti interessati. Insomma, la copertura della nuova direttiva sarà sostanziale, con una stima che prevede fino a 10 volte più soggetti interessati dalla direttiva NIS2 di quanti lo fossero stati dalla precedente NIS1.
Capito chi sarà interessato dalle nuove regole, è il caso di vedere cosa comportano di fatto e quali benefici apportano. Prima di tutto gli enti affetti da attacchi significativi in termini di cybersicurezza (dove però per definire i “significativi” è lasciato spazio a futura legislazione) dovranno notificare il loro avvenimento entro un massimo di 24 ore dal momento in cui ne vengono a conoscenza, seguito da un report più approfondito entro 72 ore (includendo una prima valutazione ad opera dell’ente stesso sulle caratteristiche dell’attacco) e un report finale entro un mese dalla prima notifica.
Inoltre, la direttiva include un indice di misure di gestione del rischio che gli operatori dovrebbero mettere in atto e un chiaro elenco di aree in cui le misure dovrebbero essere adottate, tra cui l’analisi del rischio e le politiche di sicurezza dei sistemi informativi, la continuità operativa, la sicurezza della supply chain, l’uso della crittografia e altro ancora.
Ci si domanda se la nuova direttiva avrà un effetto migliore rispetto alla precedente, questo perché, come detto, il risultato non era stato molto omogeneo ed efficace. Questo forse anche a causa della eccessiva flessibilità della NIS1, che aveva lasciato agli Stati Membri troppo spazio di manovra anche su implementazioni che avrebbero dovuto essere più coordinate. Questo è stato in buona parte risolto nella NIS2 poiché essa stessa indica già in modo dettagliato la direzione da seguire, lasciando meno al caso e alle variabili condizioni nazionali. Inoltre sono state introdotte sanzioni molto onerose (a partire da 7 milioni di euro ma anche l’1,4% del PIL annuale) per quegli Stati che non si adoperassero per integrare e far rispettare le disposizioni della direttiva a livello nazionale nei (comunque larghi) tempi previsti. In più, a dimostrazione di quanto la materia è stata presa sul serio a livello europeo, saranno previste verifiche (online ma anche con ispettori in carne ed ossa sul posto) per assicurarsi che le misure di sicurezza e prevenzione siano state prese seriamente, con responsabilità che coinvolgeranno anche i più alti gradi (CEOs e co.) di gestione dell’ente o azienda in questione.
Tutto ciò potrebbe sembrare distante dalla vita quotidiana ma per capire l’importanza di queste nuove misure basta pensare alla quantità di dati sensibili che sempre di più sono in carico a vari enti e aziende, dai nostri dati sanitari alla tassazione, dai dati bancari per pagare gli abbonamenti a servizi digitali ai documenti archiviati in cloud su piattaforme di aziende come Google o Apple. E vanno considerati anche gli impianti di depurazione dell’acqua (si veda il caso statunitense salito alle cronache lo scorso anno), i sistemi di gestione dei trasporti ferroviari e altri settori ancora dove la digitalizzazione ha portato a molte migliorie ma anche nuovi rischi d’esposizione agli attacchi informatici. Come riportato anche da Forbes.com, gli attacchi cyber globali sono aumentati del 28% nel terzo trimestre del 2022 rispetto allo stesso periodo del 2021 con una media degli attacchi settimanali in crescita. È quindi chiaro come le nuove misure pensate a livello europeo siano una necessità e come sia assolutamente necessario per gli Stati e le aziende essere preparati a mettere in atto queste misure, non solo per non incorrere in sanzioni ma soprattutto per non mettere a rischio settori essenziali per l’economia e per la vita stessa di noi cittadini.