Avv. Giuseppe Croari – Dott.ssa Ilenia Lanari
Entro il prossimo 17 ottobre 2024, gli Stati membri dell’Unione europea dovranno recepire la Direttiva UE n. 2022/2555, meglio nota come Direttiva NIS2, con la quale, sulla scia della precedente normativa, il legislatore europeo mira a prevedere e garantire un elevato livello di cybersicurezza in tutta l’Unione.
Per perseguire questo obiettivo, la direttiva impone nuove disposizioni e nuovi obblighi per tutti quei settori ritenuti essenziali dal punto di vista economico e sociale.
Le principali novità della NIS2: Chi si deve adeguare?
Tra le principali novità della Direttiva c’è sicuramente quella relativa all’ambito di applicazione: infatti, l’art. 2 amplia il numero di settori ed organizzazioni coinvolte rispetto alla precedente normativa del 2016. Oltre ai settori tradizionalmente considerati critici, quali quello dell’energia e dei trasporti, vengono inclusi settori come i fornitori di servizi cloud, le piattaforme digitali, i servizi postali e il settore alimentare. Questa estensione riflette la crescente importanza delle infrastrutture digitali anche in ambiti non tradizionalmente associati alla sicurezza informatica.
Quali sono gli obblighi per le imprese?
Altra novità è quella legata ai nuovi obblighi imposti alle imprese coinvolte dalla NIS2: queste entità, infatti, dovranno adottare misure di sicurezza più rigorose, volte alla gestione del rischio informatico, quali l'implementazione di politiche di analisi dei rischi e di sicurezza dei sistemi informatici, la gestione delle vulnerabilità, la continuità operativa (gestione del backup, ripristino) e la sicurezza della catena di approvvigionamento (art. 21 della Direttiva).
La direttiva pone altresì l’accento sulla cooperazione transfrontaliera tra gli Stati membri prevedendo la creazione di nuovi meccanismi per facilitare la condivisione delle informazioni e il coordinamento delle risposte agli incidenti informatici su scala europea, attraverso la rete "CSIRT" (Computer Security Incident Response Teams) e la creazione di una struttura centrale di coordinamento.
Ultimi, ma non meno importanti, i nuovi e più stringenti obblighi di notifica previsti per le imprese. Le stesse sono infatti tenute a segnalare tempestivamente qualsiasi incidente informatico che abbia un impatto significativo sulla fornitura dei loro servizi, fissando delle tempistiche ben precise: un primo rapporto entro 24 ore dall’individuazione di un incidente e uno successivo e più dettagliato entro 72 ore. Questo è fondamentale per garantire una risposta rapida e coordinata a livello europeo in caso di attacco cibernetico.
Direttiva NIS2 e GDPR
Al fine di creare un efficace ecosistema di cybersecurity, è chiaro che la Direttiva NIS2 deve integrarsi con tutte le altre normative in tema di sicurezza informatica e resilienza già in vigore e un’importante connessione in tal senso si ha proprio con la disciplina del Regolamento UE 2016/679 (GDPR), il quale viene più volte menzionato nella direttiva stessa, già a partire dai Considerando (in particolare, il Considerando 14 stabilisce che: “A qualsiasi trattamento di dati personali ai sensi della presente direttiva si applica il diritto dell'Unione in materia di protezione dei dati personali e della vita privata. La presente direttiva non pregiudica in particolare il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio e la direttiva 2002/58/CE del Parlamento europeo e del Consiglio. La presente direttiva non dovrebbe pertanto pregiudicare, tra l'altro, i compiti e i poteri delle autorità competenti di monitorare il rispetto del diritto dell'Unione in vigore in materia di protezione dei dati personali e della vita privata.”).
Tra i vari punti di incontro vi sono sicuramente quelli relativi alla notifica degli incidenti informatici o dei data breach (ne avevamo già parlato qui) alle autorità competenti, alla valutazione dei rischi e alla predisposizione di misure di sicurezza nonché alla cooperazione e allo scambio di informazioni tra gli Stati membri.
È chiaro però che permane una differenza fondamentale: infatti, mentre il GDPR si concentra sulla protezione dei dati personali, venendo in rilievo nel momento in cui vi è un rischio per i diritti e le libertà fondamentali, la Direttiva NIS2 mira a garantire un generale livello di sicurezza delle reti informatiche, focalizzando la propria attenzione sull’interruzione di pubblico servizio che un attacco potrebbe comportare.
Quali sono dunque le implicazioni per le imprese?
La Direttiva NIS2 è stata studiata principalmente per proteggere le cosiddette “infrastrutture critiche”, ovvero tutte quelle imprese attive nei settori dell’energia, bancario, sanitario, ecc., ma la stessa avrà ripercussione su tutte le aziende attive in Europa.
Infatti, se tra gli obiettivi perseguiti vi è quello di garantire la resilienza operativa della supply chain (catena di approvvigionamento), appare evidente che laddove un’impresa fornitrice o subappaltatrice di un’entità sottoposta alla NIS2 non si conformi agli standard da essa previsti, la stessa sarà costretta a sostituirla in favore di altro fornitore o subappaltatore allineato ai requisiti dettati dalla Direttiva.
Pertanto, molte imprese, a seguito del recepimento della direttiva, saranno portate a dotarsi o a migliorare i propri sistemi di cybersecurity per non minare i loro rapporti commerciali.
Se hai bisogno di supporto sul tema della Direttiva NIS2 ti segnaliamo il webinar organizzato dallo Studio Legale FCLEX, su questa pagina troverai tutte le informazioni dettagliate sulla NIS2 e potrai iscriverti al webinar.