• Federica Di Lorenzo

Direttiva NIS: caratteristiche, punti principali ed evoluzioni

Il 25 luglio, l’Agenzia delle Entrate ha subito un attacco malware, rivendicato da Lockbit, attraverso il quale sono stati sottratti 78 gigabyte di dati sensibili. Attacchi di questo genere non sono rari e la sicurezza delle reti e dei sistemi informatici è divenuta un argomento all’ordine del giorno. Pertanto, il Parlamento e il Consiglio europeo si sono espressi attraverso la direttiva NIS nel 2016, entrata poi in vigore - con obbligo - nel maggio 2018. Quali sono i punti salienti per comprendere cosa prevede questa direttiva e quanto sono importanti i suoi tre pilastri: approccio coordinato, partnership pubblico - privato e maggiore consapevolezza.

Cos’è la direttiva NIS: i settori di riferimento e i suoi destinatari

Il 6 luglio 2016, il Parlamento ed il Consiglio Europeo hanno adottato la Direttiva n.1148, relativa all’istituzione del NIS. Tale acronimo significa Network and Information Security, e la direttiva è entrata in vigore in Italia nel maggio 2018, attraverso il decreto legislativo attuativo n°65. Questa nasce come conseguenza di un aumento esponenziale degli attacchi informatici a enti pubblici e privati, dimostrandosi un provvedimento importante per la cybersecurity e la cyber resilience. L’obiettivo principale è quello di rafforzare il cyber space europeo, grazie a una migliore gestione dei rischi. I settori coinvolti, espressamente descritti, riguardano campi che spaziano dall’energia ai trasporti, dalle banche ai mercati finanziari, dalla sanità alla fornitura e distribuzione di acqua potabile, fino a coinvolgere infrastrutture digitali, motori di ricerca, servizi cloud e piattaforme di commercio elettronico. Sono altresì interessati settori come quello governativo, di difesa interna ed esterna, spazio e aerospazio, ma anche nanotecnologie, biotecnologie, etc. La direttiva prevede l’attuazione di specifiche misure tecniche e organizzative di adeguamento dei sistemi e delle reti, un aggiornamento continuo in base ai vari sviluppi nel campo della valutazione dei rischi e soprattutto l’azione preventiva al fine di ridurre l’impatto di una minaccia o di un attacco riuscito.

L’obiettivo ultimo è quello di incentivare la cooperazione tra le autorità competenti attraverso lo scambio di informazioni, così da garantire la diffusione di una adeguata cultura informatica. I punti salienti riguardano la gestione dei rischi di sicurezza, la protezione contro i cyber attacchi, l’individuazione di incidenti cyber ed infine la riduzione dell’impatto degli stessi. Da una prima analisi degli obiettivi principali della direttiva si evince che due sono i pilastri fondamentali: l’analisi del rischio e la valutazione della lista di controllo delle misure di sicurezza. Rispettando tali criteri tutte le decisioni prese, ad esempio a livello aziendale, sono sorrette da evidenze migliori che permettono ai soggetti interessati di poter meglio fronteggiare possibili data breach, utilizzando in maniera più precisa le risorse a disposizione per la sicurezza aziendale e per la formazione dei dipendenti.


A chi si rivolge la Direttiva?

La direttiva identifica destinatari specifici come gli Operatori dei servizi essenziali (OES), come possono esserlo ad esempio le banche, ovvero aziende che operano in particolari settori utili per il mantenimento di una attività sociale e/o economica fondamentale come sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali, nonché motori di ricerca, servizi cloud e piattaforme di commercio elettronico. Altri destinatari sono i Fornitori dei servizi digitali (FSD), persone giuridiche che forniscono servizi di e-commerce, cloud computing e motori di ricerca. Proprio con riferimento ai FSD, essi sono i primi a dover adottare misure idonee per prevenire il rischio, garantendo un adeguato livello di sicurezza. Gli obblighi che la direttiva impone a questi due attori sono diversi: progettazione delle misure adeguate e prevenzione rispetto agli incidenti che possono violare la sicurezza delle reti, contenimento dei danni e notifica degli incidenti. Tra le Autorità Nazionali competenti troviamo il DIS – Dipartimento per le informazioni della Sicurezza, il quale svolge funzioni di collegamento e coordinamento verso l’Unione Europea e i suoi Stati Membri e il CSIRT (Computer Security Incident Response Team), organo istituito presso ogni Stato membro che in Italia è posto alle dipendenze della Presidenza del Consiglio dei Ministri e nasce dalla fusione del Computer Emergency Response Team (CERT) Nazionale e del CERT-PA, con compiti di natura tecnica legati ai temi della prevenzione e mitigazione del rischio e di ricezione delle notifiche da parte degli Operatori e dai Fornitori dei servizi digitali, nel pieno rispetto dei parametri previsti dalla direttiva riguardo la valutazione dei rischi relativi a un determinato evento.


I punti chiave della direttiva

La norma definisce con chiarezza i compiti delle autorità competenti, attraverso i seguenti punti principali:

  • Sviluppo di una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi (art 7): la direttiva obbliga tutti gli Stati membri ad adottare una strategia nazionale di sicurezza, con obiettivi strategici ben definiti. L’articolo in esame, infatti, definisce dettagliatamente il contenuto della strategia composta da governance, individuazione delle giuste misure, predisposizione di programmi informativi e di sensibilizzazione, misure di response and recovery, piano di valutazione del cyber risk, etc.

  • Nomina di autorità nazionali competenti (art. 8): prevede la nomina obbligatoria di autorità nazionali competenti con compiti connessi alla sicurezza della rete e dei sistemi informatici, o possono l’affidamento di tali compiti ad autorità che già rivestono questo incarico. Inoltre vengono identificati i punti di contatto unico, ovvero quelle autorità che garantiscono la cooperazione transfrontaliera degli enti competenti italiani con le autorità degli altri Stati Membri, con il compito di trasmettere una relazione alla Commissione UE per verificare l’applicazione della direttiva NIS e di trasmettere al Gruppo di cooperazione una relazione contenente tutte le informazioni necessarie relative alla natura degli incidenti e delle azioni intraprese dagli OSE e FSD.

  • Istituzione di un gruppo di cooperazione, (art. 11), composto da Stati Membri, Enisa (European Network and Information Security Agency, la quale collabora con le organizzazioni e imprese europee per rafforzare la fiducia dell’economia digitale, garantire la sicurezza digitale dei cittadini UE e promuovere la resilienza delle infrastrutture UE) e Commissione col fine di sostenere la cooperazione e lo scambio di informazioni.

  • Istituzione della rete CSIRT nazionale (art. 12), costituita da gruppi di intervento il cui scopo è di rafforzare la fiducia tra gli Stati. I compiti svolti dalla rete spaziano in vari settori, come: lo scambio di informazioni sulle attività della stessa, la previsione di attività coordinate in caso di incidente informatico, l’assistenza reciproca tra gli Stati Membri e la discussione ed analisi delle diverse forme di cooperazione.

  • Previsione di obblighi in materia di sicurezza e notifica degli incidenti (art 14): gli operatori di servizi essenziali si preoccuperanno di informare, tramite notifica e senza ritardo, le autorità competenti circa gli incidenti rilevanti e impattanti.

Da quanto emerge dalla lettura della Direttiva, in caso di incidenti significativi le maggiori responsabilità ricadono sugli Operatori dei servizi essenziali; questa decisione è perfettamente in linea con altre iniziative, come il Regolamento Europeo sulla Protezione dei dati personali (GDPR), che pone al centro proprio l’accountability prevedendo anche in questo caso un obbligo di notifica, con la differenza che quest’ultimo si applica a società, imprese e professionisti che operano nella raccolta informazioni e trattamento dei dati personali, mentre la direttiva NIS convoglia in sé diverse tipologie di vulnerabilità della rete e dei sistemi informatici.


NIS 2.0: un necessario upgrade?

La proposta di revisione della Direttiva NIS era stata avanzata dalla Commissione UE nel dicembre 2020, di fronte alla nascita della digital transformation e alla sua accelerazione causata dal periodo pandemico, il quale ha reso il mondo sempre più iperconnesso e ha rivelato le varie debolezze dei settori digitali, soprattutto in termini di sicurezza. Tale aggiornamento, spinto dal Garante della Privacy, è rivolto ad un ulteriore potenziamento dei livelli e dei sistemi di sicurezza, soprattutto riguardo la supply chain, prevedendo una maggiore accountability dei vertici in caso di condotte non in linea con i protocolli, e una semplificazione degli obblighi di notifica - già menzionati - attraverso delle misure di vigilanza molto più rigorose da parte degli organi preposti, introducendo sistemi sanzionatori molto severi. Le linee guida avranno un impatto maggiore in termini di consapevolezza, imponendo alle aziende di raggiungere obiettivi di sicurezza adeguati al livello di importanza che esse assumono. Aggiornare la Direttiva è un elemento essenziale soprattutto per il ruolo nello scacchiere geopolitico dell’Unione Europea. Lo spazio cibernetico è considerato come un vero e proprio dominio di scontro, connotato soprattutto dai requisiti di ubiquità, velocità di trasmissione dei dati e assenza di confini sia geografici che politici. Il divario che si vuole sanare è proprio quello relativo ad un'applicazione disomogenea della prima versione della stessa e a un basso livello di consapevolezza e capacità nella gestione di una crisi. D’altronde, trasferire gran parte delle attività lavorative in ambienti digitali senza una particolare attenzione all’utilizzo di adeguate cautele e misure di sicurezza ha aumentato il rischio di subire attacchi cibernetici. Per tale motivo, le prime novità introdotte riguarderanno soprattutto la gestione del rischio e una approfondita implementazione della protezione dei dati personali, creando un approccio olistico e sinergico tra le organizzazioni sia pubbliche che private.