Il 27 dicembre 2022 è stata pubblicata sulla Gazzetta Ufficiale dell’Unione Europea la Direttiva UE 2022/2555, nota comeDirettiva NIS 2, con l’obiettivo di migliorare la capacità di prevenzione, risposta e resilienza agli incidenti di cybersecurity di operatori definiti come “Essenziali” e “Importanti”, che forniscono beni e/o servizi di specifica rilevanza per la collettività.
Con riferimento ai sistemi funzionali ad erogare la fornitura, in sostanza la normativa obbliga tali operatori ad introdurre misure tecniche, operative ed organizzative adeguate e proporzionate ai rischi esistenti, e prevede sanzioni: pecuniarie (7-10 milioni di euro o 1,4%-2% del fatturato annuo) e interdittive. Queste ultime appaiono particolarmente rilevanti in quanto comprendono sia il divieto temporaneo a qualsiasi persona che svolga funzioni dirigenziali a livello di amministratore delegato o rappresentante legale di svolgere funzioni dirigenziali che la sospensione temporanea di un certificato o un’autorizzazione relativi a una parte o alla totalità dei servizi o delle attività pertinenti svolti dal soggetto stesso.
Sanzioni che manifestano chiaramente la volontà del legislatore europeo di responsabilizzare in modo concreto chi gestisce servizi essenziali e importanti evidenziando come la cyber sicurezza non sia un tema individuale per enti ed aziende ma sociale, culturale ed economico a livello internazionale e particolare riferimento al perimetro europeo. Trattandosi di norma che ha una forte incidenza sul tema della cybersicurezza è necessario notare come si basi su un concetto di accountability estremamente vicino a quanto previsto dal Regolamento Europeo per la protezione dei dati personali.
Per arrivare ad applicare correttamente il testo emanato dal legislatore europeo, sarà pertanto necessario effettuare un assessment iniziale che consenta di valutare quanto preesistente sotto il profilo della tutela delle informazioni e dei dati, dei processi e dei procedimenti, della governance e della formazione dei soggetti che potrebbero creare rischi ad enti ed aziende.
La norma infatti impone la segnalazione di un incidente occorso alle informazioni ritenute strategiche per l’erogazione dei servizi essenziali e importanti, entro 24 ore dalla scoperta dell’evento.
Il termine è piuttosto esiguo considerando che la struttura ICT dovrà intraprendere contemporaneamente azioni volte anche ad arginare o ridurre l’impatto dell’attacco stesso. Un aspetto fondamentale di cui tenere alta considerazione nella fase di valutazione di impatto per l’adeguamento alla norma è quello relativo alla contrattualistica ovvero al tema della supply chain. In questo caso si assiste ad un richiamo alle prescrizioni già esistenti in materia di privacy che vedono il titolare adempiente dover valutare quali garanzie contrattuali dovranno essere assunte verso quei soggetti fornitori di servizi o beni che possano incidere sulla cyber sicurezza e quindi in modo diretto sull’adeguamento richiesto dal legislatore.
Rispetto alla formazione non si tratterà più solo di formare i soggetti destinatari degli adempimenti procedurali e di sicurezza imposti dalla norma, ma di produrre prove effettive inerenti il percorso formativo dei vertici, affinché si assista all’adozione in modo consapevole della norma e dei principi che stanno all’origine dell’emanazione.
L’entrata in vigore della NIS2 è prevista per ottobre 2024: le aziende e gli enti destinatari avranno quindi a disposizione un anno e mezzo per effettuare un assessment idoneo, individuare gli strumenti in materia di sicurezza informatica e gli adeguamenti documentali e procedurali opportuni per rispondere adeguatamente alle prescrizioni e formare il personale.
Cybersicurezza, tutela dei dati e tutela delle informazioni appaiono quanto mai sempre più centrali e crea decisamente opportunità di tutela dei patrimoni su cui si basano le economie nazionali, sarà ovviamente necessaria una preparazione non solo per gli adempimenti, ma anche per chi dovrà accompagnare in questo processo e creare o armonizzare gli elementi funzionali all’adeguamento, affinché sia reale e non solo dichiarato.