Con lo sviluppo delle transazioni a distanza e del telelavoro, il contesto è più che mai propizio alle minacce informatiche. Nel suo « Panorama de la menace informatique » (edizione 2022), l’Anssi rileva un aumento del 37 % del numero di intrusioni avvenute nei sistemi di informazione nel 2021, rispetto al 2020. Visto l’aumento dei rischi, la Commissione europea si è impegnata a rivedere la direttiva NIS del 2016, il primo testo normativo sulla cibersicurezza, per allargare il campo delle organizzazioni coinvolte e per armonizzare sempre più il quadro normativo per gli stati membri. Questa revisione, approvata nel giugno 2022, è la direttiva NIS2.
NIS1, un testo fondamentale in materie di cibersicurezza e di norme
Poiché fa parte dello scenario della cibersicurezza fin dalla sua entrata in vigore nel 2018 e si ha la tendenza a dimenticare quanto è stata innovativa la direttiva NIS (Network and Information System Security). Si tratta del primo tentativo di rafforzare il livello globale di cibersicurezza tra i 27 e di determinare una base di garanzie destinate a sviluppare un ecosistema di fiducia. Questo mettendo l’accento sugli Operatori dei Servizi Essenziali: quelle aziende che, secondo la definizione dell’Anssi «forniscono un servizio essenziale la cui interruzione avrebbe un impatto significativo sull’andamento dell’economia o della società».
In altri termini, NIS ha stabilito una norma comune di difesa contro le minacce informatiche all’interno dell’Unione Europea. Trasposta nel diritto nazionale degli Stati membri, la direttiva ha permesso la comparsa di strumenti normativi e la crescita incontestabile del livello di sicurezza per gli attori essenziali del mercato.
Tuttavia, vista la trasformazione della minaccia, l’evoluzione del testo è stata inevitabile, in particolare per ampliare il campo di applicazione e preparare le aziende alle sfide attuali e future della cibersicurezza. È questa constatazione che ha portato la Commissione a proporre una revisione della direttiva, sotto il nome di NIS2.
NIS2, una base legislativa meglio adattata alle nuove sfide informatiche
La revisione della NIS deriva dalla volontà di aggiornare le misure di regolamentazione previste dalla prima versione del testo, basandosi sulle conoscenze acquisite e integrando le nuove sfide di cibersicurezza in un contesto di interconnessione sempre più avanzato.
Questo è il motivo per cui il campo di applicazione della direttiva NIS2 è stato esteso a più di 150.000 entità (contro un centinaio soltanto per la NIS1), al fine di coprire settori come i servizi di accesso al Web, la prestazioni dei datacenter, la grande distribuzione, la ricerca, i servizi postali o la gestione dei rifiuti. In precedenza le misure si focalizzavano sui settori delle telecomunicazioni, dell’alimentazione, dei trasporti, della sanità, dell’energia, del trattamento dell’acqua e dei servizi finanziari.
Nell’ambito delle novità, la NIS2 estende anche l’obbligo di dichiarazione di incidente, quando i sinistri (attacchi informatici, perdita di dati, ecc.) presentano rischi operativi o finanziari importanti. Infine, sono previste sanzioni per le entità che non rispettano le misure organizzative e tecniche, con un’ammenda che può arrivare al 2% del fatturato mondiale attuale dell’azienda in questione.
Un quadro normativo più rigido per una cooperazione più stretta
Costringendo molte imprese a integrare misure di cibersicurezza, la nuova direttiva NIS2 mira a rafforzare il quadro normativo stabilito in occasione della NIS1 per tenere conto dello sviluppo del mercato interno e della diversificazione della minaccia. L’obiettivo è di aumentare la ciber-resilienza all’interno dell’Unione Europea, garantendo che gli attori critici siano consapevoli dei rischi e che siano applicate le misure necessarie per far fronte alle minacce informatiche.
E non è tutto. Perché, oltre alla questione «normativa», la NIS2 mira anche a consolidare le azioni di collaborazione all’interno dell’Unione. Questa è l’ambizione della rete CyCLONe (Cyber Crisis Liaison Organisation Network) che riunisce a livello operativo le agenzie dei paesi UE incaricate della gestione della crisi. Questa rete è stata creata nel 2020 al fine di contribuire all’attuazione di un piano d’azione in caso di attacco informatico o di crisi transfrontaliera e di permettere alle aziende di condividere meglio le informazioni relative alle minacce.
La direttiva NIS2 è quindi un nuovo passo avanti nella definizione di un quadro normativo armonizzato per tutti i paesi europei in materia di cibersicurezza. Questo progresso legislativo rimane confinato però alle grandi strutture. In altre parole le microimprese e le PMI non sono integrate nel processo, sebbene siano le più vulnerabili di fronte alle minacce informatiche (in Europa un’impresa su due delle viti di un ransomware è una microimpresa o una PMI, secondo il « Baromètre Anozr Way »). Spetta quindi agli organismi nazionali sensibilizzare le piccole strutture nei confronti dei rischi informatici e delle buone pratiche da adottare per premunirsi.