Cerca
Close this search box.
Flag
Logo, Leisure Activities, Person
Flag

Migliorare la resilienza e la sicurezza informatica: L’UE rafforza le sue difese con le direttive NIS 2 e CER

Architecture, Building, Office Building

Le nuove direttive europee NIS 2 e CER mirano a raggiungere un elevato livello comune di sicurezza informatica in tutta l’UE e a garantire la continuità dei servizi essenziali. Il tempo stringe: entro il 17 ottobre 2024, gli Stati membri devono adottare e pubblicare le misure necessarie per conformarsi alla direttiva NIS 2. Tali misure dovranno essere applicate a partire dal giorno successivo, il 18 ottobre 2024.

Nonostante il valore di mercato del settore della cybersecurity sia stimato in oltre 130 miliardi di euro e un tasso di crescita annuale del 17%, l’Europa rimane “cybervulnerabile”. I rapporti, tra cui quello di Waterfall Securities, indicano un aumento drammatico degli attacchi informatici, prevedendo che nei prossimi cinque anni potrebbero essere colpite fino a 15.000 aziende.

La sfida non riguarda solo la vulnerabilità, ma anche l’impatto economico. Il costo annuale della criminalità informatica è stato stimato in 5,5 trilioni di euro entro la fine del 2020, con il 60% di questi crimini motivati esclusivamente da un guadagno economico. La minaccia è destinata a crescere in termine di numeri e sofisticazione. Si stima che entro il 2025, 41 miliardi di dispositivi saranno connessi all’IoT, rendendo necessario un cyberspazio aperto e sicuro che promuova una maggiore fiducia tra i cittadini globali.

Inoltre, i conflitti militari, come quello in corso in Ucraina, hanno galvanizzato hacktivisti, criminali informatici e altri gruppi oscuri con interessi statali. Prima dell’invasione dell’Ucraina, la Russia aveva lanciato campagne di disinformazione e di depistaggio per influenzare l’opinione pubblica. Secondo la valutazione del Consiglio europeo, nel giugno 2022 la Russia aveva disattivato il 15% dell’infrastruttura Internet ucraina.

Manca una risposta comune

Nonostante le minacce in corso, prevale la sensazione che l’UE non abbia ancora implementato una risposta congiunta efficace in materia di sicurezza informatica. La Commissione europea ha individuato diversi problemi, tra cui l’inadeguata resilienza informatica delle aziende all’interno dell’UE e la diversa percezione delle minacce tra gli Stati membri, che portano a una risposta disarticolata e non coordinata.

Le direttive NIS 2 e CER sono state concepite per migliorare la sicurezza informatica e fisica nell’UE, con l’obiettivo di rafforzare la resilienza delle entità critiche. Si prevede che queste due direttive, strettamente correlate, avranno un impatto significativo, introducendo misure di supervisione e conformità più severe. Esse sottolineano un maggiore coordinamento nella gestione degli incidenti e delle crisi di sicurezza, migliorano il protocollo per la notifica delle vulnerabilità e stabiliscono un quadro sanzionatorio più severo.

NIS 2, un nuovo orizzonte per la sicurezza informatica europea

La direttiva NIS 2, acronimo di Network and Information Security 2, mira a rafforzare i requisiti di sicurezza tra le varie entità. Impone misure per proteggere le catene di approvvigionamento e le relazioni con i fornitori e standardizza i processi per la segnalazione e la condivisione delle informazioni sugli incidenti. Inoltre, introduce la Rete europea di supporto alle crisi (EU-CYCLONe).

La Direttiva aggiorna la precedente normativa sulla sicurezza delle reti e dei sistemi informativi, eliminando la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali. Introduce una nuova categorizzazione dei soggetti “strategici” in due gruppi – soggetti essenziali e soggetti importanti – in base all’importanza del settore e al tipo di servizio. Ogni categoria è soggetta a regimi di vigilanza distinti.

Nell’ambito della NIS 2, i settori strategici sono classificati in “settori ad alta criticità” e “altri settori critici”:

Quelli ad “alta criticità” sono i seguenti:

  • energia (elettricità, teleriscaldamento e raffreddamento, petrolio, gas e idrogeno).
  • trasporto (aereo, ferroviario, fluviale e stradale)
  • bancario
  • infrastrutture dei mercati finanziari
  • salute, compresa la produzione di prodotti farmaceutici e vaccini
  • acqua potabile-acque reflue
  • infrastrutture digitali (punti di scambio Internet; fornitori di servizi DNS; record di nomi TLD…)
  • gestione dei servizi ICT (fornitori di servizi gestiti e fornitori di servizi di sicurezza gestiti)
  • amministrazione pubblica
  • spazio

E questo è l’elenco degli “Altri settori critici”:

  • servizi postali e di corriere
  • gestione dei rifiuti
  • prodotti chimici
  • produzione alimentare
  • produzione di dispositivi medici
  • computer ed elettronica
  • macchinari e attrezzature
  • veicoli a motore, rimorchi e semirimorchi e altre attrezzature per il trasporto
  • fornitori digitali (mercati online, motori di ricerca online e piattaforme di servizi di social media)
  • organizzazioni di ricerca.

Le entità essenziali, come definite dagli Stati membri dell’UE, includono quelle dei settori “ad alta criticità” insieme a fornitori di servizi fiduciari qualificati, registri di nomi di dominio, fornitori di servizi DNS, fornitori di reti pubbliche di comunicazione elettronica ed enti della pubblica amministrazione.

Inoltre, è inclusa qualsiasi entità degli “Altri settori critici” identificata come essenziale da uno Stato membro durante il recepimento della direttiva nella legislazione nazionale.

Al contrario, le “entità importanti” comprendono quelle sia di “Alta criticità” che di “Altri settori critici” che non sono designate come essenziali.

La Direttiva CER, Protezione dei servizi essenziali in Europa

La Direttiva CER sostituisce la Direttiva europea sulle infrastrutture critiche del 2008, concentrandosi sul miglioramento e sull’armonizzazione delle strategie e dei piani di resilienza degli Stati membri e delle organizzazioni. Essa prevede l’implementazione di misure specifiche per garantire la fornitura senza ostacoli di servizi essenziali, fondamentali per il mantenimento delle funzioni sociali e delle attività economiche vitali di ogni territorio.

Di conseguenza, la direttiva garantisce che le entità critiche siano attrezzate per prevenire, resistere, assorbire e recuperare da una serie di incidenti dirompenti, tra cui rischi naturali, incidenti, terrorismo, minacce interne ed emergenze sanitarie.

La direttiva CER comprende entità distinte in 11 settori altamente strategici, tra cui energia, trasporti, banche, infrastrutture dei mercati finanziari, salute, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione, spazio e cibo.

In cosa consistono le strategie di resilienza? Dovrebbero includere:

  • obiettivi strategici e priorità
  • un quadro di governance per raggiungere tali obiettivi
  • una descrizione delle misure necessarie per migliorare la resilienza complessiva delle entità critiche
  • un elenco delle principali autorità e degli stakeholder coinvolti nell’attuazione della strategia scelta.

La principale distinzione tra la NIS 2 e la direttiva CER risiede nel loro ambito di applicazione: mentre la NIS 2 si concentra specificamente sulla sicurezza informatica, la direttiva CER riconosce che le interruzioni significative colpiscono anche le infrastrutture fisiche come impianti, strade, ferrovie e sistemi di generazione di energia, che sono fondamentali per fornire servizi essenziali alla popolazione.

L’impatto di NIS2 e CER sulle imprese dell’UE

Le direttive NIS2 e CER sono pronte a stabilire un quadro critico per la sicurezza informatica e fisica in tutta l’Unione europea. Queste norme mirano a migliorare la gestione di incidenti e crisi di sicurezza su larga scala, tra cui disastri naturali, attacchi terroristici, minacce interne e sabotaggi.

I nuovi regolamenti ampliano il loro campo di applicazione per includere le piccole e medie organizzazioni (PMI). Gli Stati membri hanno la facoltà di applicare queste regole alle entità più piccole che, nonostante le loro dimensioni, presentano chiare vulnerabilità o sono parte integrante di catene di approvvigionamento critiche.

Pur essendo rivolte principalmente alle grandi aziende strategiche, le direttive impongono nuovi requisiti di cybersicurezza anche alle PMI all’interno delle catene di fornitura dei settori critici. Inoltre, anche i fornitori di servizi digitali, comprese le piattaforme online e i siti di e-commerce, devono aderire alle specifiche disposizioni delle direttive.

Le valutazioni del rischio devono diventare più rigorose ed efficaci, garantendo la continuità dei servizi. Le entità critiche sono tenute a notificare gli incidenti significativi sia a un team o a un’autorità di risposta designata sia ai destinatari dei loro servizi. Devono emettere avvisi tempestivi entro 24 ore, un report di follow-up dopo 72 ore e un report finale completo entro 30 giorni.

Ai sensi della direttiva CER, le autorità hanno il compito di valutare i rischi naturali e antropici per i servizi essenziali. Ciò include i rischi derivanti dalle interdipendenze tra i settori, il che è particolarmente critico per i gruppi transfrontalieri con filiali sia all’interno che all’esterno dell’UE, con ripercussioni sulla gestione della catena di approvvigionamento.

Le misure obbligatorie comprendono la protezione fisica delle strutture e delle infrastrutture critiche, come recinzioni, barriere e strumenti; la risposta e la mitigazione degli incidenti; la gestione della sicurezza dei dipendenti e la sensibilizzazione del personale sui protocolli di sicurezza.

Se un incidente interrompe in modo significativo la fornitura di servizi essenziali in sei o più Stati membri, le autorità devono informare la Commissione.

Inoltre, il management dell’azienda è responsabile dell’attuazione di queste misure e deve partecipare regolarmente a corsi di formazione sulla cybersecurity e sulla gestione dei rischi per la sicurezza fisica.

Prossime tappe e date chiave per il recepimento di entrambe le direttive

Per quanto riguarda la Direttiva NIS 2, gli Stati membri sono tenuti a notificare alla Commissione Europea i loro regimi sanzionatori applicabili entro gennaio 2025. Inoltre, entro aprile 2025, dovranno compilare e presentare un elenco di entità essenziali e importanti, comprese quelle che forniscono servizi di registrazione di nomi di dominio.

Sono state stabilite sanzioni significative per la non conformità. Le multe possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale per le entità essenziali, e fino a 7 milioni di euro o all’1,4% del fatturato per le grandi entità.

Ai sensi della Direttiva CER, gli Stati membri hanno tempo fino al 17 gennaio 2026 per sviluppare una strategia di resilienza completa, che includa i quadri di valutazione dei rischi e tutti i piani o documenti pertinenti esistenti. Devono identificare le entità interessate entro il 17 luglio 2026.

Successivamente, ed entro un anno, la Commissione presenterà una relazione al Parlamento europeo e al Consiglio, valutando in che misura ciascuno Stato membro abbia attuato le misure richieste.

Articoli collegati