European Cybersecurity Framework
Il ruolo della Direttiva NIS 2, soggetti obbligati e principi fondamentali.
Negli scorsi articoli, si sono illustrati i profili più significativi della proposta di Regolamento del Parlamento Europeo e del Consiglio relativo a requisiti orizzontali di Cybersicurezza per i prodotti con elementi digitali, il c.d. “Cyber Resilience Act” che, insieme alla c.d. direttiva NIS 2, di cui ci occuperemo di seguito, costituisce uno dei pilastri su cui poggerà l’ecosistema europeo di sicurezza cibernetica, quale risultante dalla Strategia Europea di sicurezza cibernetica di cui alla comunicazione congiunta della Commissione europea e degli alti rappresentanti dell’Unione per gli affari esteri e delle politiche di sicurezza del 16/12/2020.
In effetti, come si legge nel documento citato, le norme dell’UE sulla sicurezza dei sistemi di rete e di informazione (NIS) sono al centro del mercato unico della cybersicurezza e la Commissione, già nel 2020 si era proposta di riformarle nell’ambito di una direttiva riveduta sulla sicurezza delle reti e dell’informazione, per aumentare il livello di resilienza informatica di tutti i settori interessati, pubblici e privati, che svolgono una funzione importante per l’economia e la società, per ridurre le incoerenze nel mercato interno allineando l’ambito di applicazione, i requisiti di sicurezza e di segnalazione degli incidenti, la vigilanza e l’applicazione a livello nazionale insieme alle capacità delle autorità competenti.
Le novità arrivate a fine 2022
In tale contesto, lo scorso 14 dicembre 2022 è stata emanata la Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2).
Dal punto di vista di strettamente legale si può osservare in primo luogo che lo strumento legislativo prescelto per la disciplina del settore è ancora una volta quello della direttiva e non quello del regolamento che, come sappiamo ha, a differenza della prima, una maggiore efficacia vincolante, e in secondo luogo, come uno degli effetti della direttiva NIS 2 sia stato l’abrogazione delle disposizioni della direttiva NIS del 2016.
Esaminando ora il merito dei contenuti del provvedimento, per comprendere i differenti livelli di intensità degli obblighi di sicurezza su cui è configurata la direttiva, conviene prendere le mosse da quanto stabilito al ‘considerando nr. 18’ ove si precisa che, i soggetti che rientrano nell’ambito di applicazione della direttiva ai fini del rispetto delle misure di gestione dei rischi di cybersicurezza e degli obblighi di segnalazione dovrebbero essere classificati in due categorie, essenziali e importanti, in funzione della loro importanza per il settore o il tipo di servizi che forniscono, nonché delle loro dimensioni.
A tale riguardo, gli Stati membri, in sede di recepimento, dovranno tenere debitamente conto, se del caso, di tutte le valutazioni settoriali dei rischi e di tutti gli orientamenti pertinenti elaborati dalle autorità competenti in modo da far sì che i regimi di esecuzione e di vigilanza per tali due categorie di soggetti siano differenziati per garantire un giusto equilibrio tra i requisiti e gli obblighi basati sui rischi, da un lato, e gli oneri amministrativi derivanti dalla vigilanza della conformità, dall’altro.
Aumentano i soggetti obbligati
Dal punto di vista della disciplina relativa all’individuazione dei soggetti compresi nell’ambito di applicazione delle disposizioni della direttiva, quale contenuta all’art. 2, si deve constatare come, in forza del ricorso ai numerosi criteri alternativi a quello dimensionale indicato nel comma 1, si sia ampliato notevolmente il novero dei soggetti obbligati, ricomprendendo, in particolare gli allegati I e II soggetti in precedenza esclusi dai doveri di sicurezza rafforzata che caratterizzavano le norme della previgente direttiva NIS.
In relazione a quanto precede, si deve inoltre considerare il contenuto del comma 2 del citato articolo 2, ove si specifica che, la direttiva si applica anche ai soggetti, indipendentemente dalle loro dimensioni, delle tipologie di cui all’allegato I o II qualora, per esempio, una perturbazione del servizio fornito dal soggetto potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica, o il soggetto sia critico in ragione della sua particolare importanza a livello nazionale o regionale per quel particolare settore o tipo di servizio o per altri settori indipendenti nello Stato membro, o, qualora il soggetto sia un ente della pubblica amministrazione centrale (…) o a livello regionale (…) che, a seguito di una valutazione basata sul rischio, fornisce servizi la cui perturbazione potrebbe avere un impatto significativo su attività sociali o economiche critiche.
Da un punto di vista strategico, oltre che tecnico e organizzativo, la vera e propria pietra miliare relativa ai requisiti di cybersecurity che saranno imposti ai destinatari della direttiva, è rappresentata dalle disposizione di cui all’art 21 del testo rubricato ‘misure di gestione dei rischi di cybersicurezza’. La norma appena ricordata, in effetti, anche alla luce delle modifiche introdotte dai contenuti delle altre disposizioni legislative comunitarie, successive alla prima direttiva NIS che, lo ricordiamo, era del 2016, innova profondamente il paradigma di riferimento in merito ai requisiti di sicurezza necessari a garantire la conformità con le disposizioni normative.
Più chiarezza sulle misure da adottare
La scarna formulazione di principio, all’epoca contenuta negli artt. 14 e 16 dell’ormai abrogata direttiva NIS, ha lasciato il posto ad un’articolata indicazione di misure, di varia natura, la cui elencazione, pur non tassativa, in conseguenza della formulazione utilizzata dal legislatore, vale a dire “comprendono almeno”, appare costituire il minimo esigibile dall’operatore, al di sotto del quale, le disposizioni della direttiva non possono ritenersi applicate.
Trovano spazio, in tale ambito, sia misure specificamente tecniche, come quelle di cui alla lettera j), che prevede l’uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso, sia misure organizzative quali quelle di cui alle lettere a) ed f), rispettivamente: politiche di analisi dei rischi e di sicurezza dei sistemi informatici e, strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersicurezza.
Si ricorda infine, ma non per ultimo, che anche in questo caso, analogamente a quanto avveniva in passato, uno dei parametri di riferimento del dovere di sicurezza, continua a essere il c.d. ‘stato dell’arte’, da intendersi a stregua delle conoscenze più evolute in un dato momento, e in effetti il comma 2 dell’art. 21 che ci occupa prevede espressamente che “Tenuto conto delle conoscenze più aggiornate in materia e, se del caso, delle pertinenti norme europee e internazionali, nonché dei costi di attuazione, le misure di cui al primo comma assicurano un livello di sicurezza dei sistemi informatici e di rete adeguato ai rischi esistenti”.
