L’Europa attende l’evoluzione della sicurezza informatica. Il 3 maggio 2022 il Consiglio e il Parlamento europeo hanno approvato la cosiddetta direttiva NIS 2 (direttiva sulle misure per un livello comune elevato di sicurezza informatica in tutta l’Unione). NIS 2 abroga la direttiva NIS attualmente in vigore.
Cosa cambierà? NIS 2 amplia la gamma di entità che dovranno rispettare le regole di sicurezza informatica. NIS 2 si applicherà a numerose se non alla maggior parte delle società TNT. NIS 2 riconosce due tipi di settori: essenziale e importante. La maggior parte delle società TNT apparterranno al settore essenziale come entità del settore delle infrastrutture digitali. Tali entità sono fornitori di punti di scambio Internet, fornitori di servizi DNS, servizi di cloud computing e data center, fornitori di reti di distribuzione di contenuti, fornitori di servizi fiduciari secondo eIDAS e fornitori di reti e servizi di comunicazione elettronica pubblica. Oltre alle infrastrutture digitali, altri settori essenziali sono la salute, l’energia, i trasporti, le banche, la pubblica amministrazione e lo spazio. Oltre alle entità di settore essenziali, ci saranno anche società TNT classificate come entità di settore importanti, ovvero servizi postali o fornitori digitali. I fornitori digitali sono fornitori di mercati online, motori di ricerca e piattaforme di social network. La differenza tra i settori è, secondo il considerando della direttiva, il livello di criticità o il tipo di servizio nonché il livello di dipendenza di altri settori o servizi.
Le micro e piccole entità sono escluse dall’applicazione della direttiva a meno che non siano esplicitamente menzionate dalla direttiva. Queste società PMI di solito svolgono un ruolo chiave per l’economia e la società, ad esempio fornitori di reti e servizi pubblici di comunicazione elettronica.
È ovvio che NIS 2 influenzerà in modo significativo una vasta gamma di soggetti. Questa estensione è stata il punto cruciale di una discussione condotta nel processo di adeguamento della direttiva. I nuovi obblighi comporteranno un onere aggiuntivo, in primis, finanziario per molti soggetti. Tuttavia, le nuove entità dovrebbero essere già abituate ad alcune misure del GDPR, che non fa distinzione tra settori e dimensioni delle entità.
Gli obblighi degli enti essenziali e importanti differiscono esplicitamente solo nella vigilanza. NIS 2 distingue tra vigilanza ex ante ed ex post. La vigilanza sui soggetti essenziali può aver luogo in anticipo, mentre la vigilanza sui soggetti importanti è effettuata dopo che un’autorità di vigilanza ha fornito un’evidenza o un’indicazione che l’entità non rispetta le regole. Le entità essenziali saranno soggette a una supervisione e un’applicazione più rigorose, come ispezioni in loco e supervisione fuori sede, incl. controlli casuali e verifiche periodiche.
Sia le entità essenziali che quelle importanti devono adottare misure tecniche e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza informatica. Le misure attuate devono tenere conto dei rischi per i sistemi della singola entità. NIS 2 si basa sul presupposto che ogni azienda abbia familiarità con i propri sistemi e il loro livello di rischio. NIS 2 richiede un risultato consistente nel garantire un livello di sicurezza adeguato ai rischi ma lascia, con poche eccezioni, alle entità la valutazione delle misure da adottare per raggiungere il risultato. D’altro canto, la misura non dovrebbe imporre un onere finanziario e amministrativo sproporzionato. NIS 2 sottolinea un approccio basato sul rischio. Le entità devono adeguare di conseguenza la gestione del rischio di sicurezza informatica.
Contrariamente alla direttiva NIS attualmente in vigore, NIS 2 determina quali misure devono essere adottate almeno da entrambi i tipi di entità. Queste misure sono, ad esempio, analisi del rischio, politiche di sicurezza del sistema informativo, gestione degli incidenti, continuità operativa e gestione delle crisi, sicurezza della catena di approvvigionamento, sviluppo e manutenzione, compresa la gestione e divulgazione delle vulnerabilità, politiche e procedure per valutare l’efficacia delle misure di gestione del rischio di sicurezza informatica, e l’uso della crittografia e della crittografia.
La direttiva non fa differenza tra gli enti essenziali e quelli importanti nel loro obbligo di attuare misure appropriate: tuttavia, le misure adottate dall’ente essenziale dovrebbero, per loro natura, tenere conto dell’importanza che NIS 2 attribuisce a questo settore. Le entità essenziali dovrebbero certamente andare oltre le misure obbligatorie stabilite da NIS 2. In futuro, la Commissione potrebbe ampliare l’elenco delle misure obbligatorie tenendo conto di nuove minacce informatiche, sviluppo tecnologico o specialità del settore.
.