Le principali novità che dovrebbero figurare nella prossima Direttiva NIS 2

Se fino ad oggi l’esigenza di tutelare i principali servizi e infrastrutture dai potenziali attacchi informatici era già considerevolmente avvertita, la pandemia della Covid-19 ha ulteriormente alimentato questa esigenza.

Durante la pandemia si sono infatti moltiplicati gli attacchi informatici, con le strutture ospedaliere a fare da principale bersaglio. Le possibili conseguenze drammatiche di eventi di questo tipo non hanno tardato a verificarsi: ad esempio, una paziente in Germania è morta conseguentemente al blocco dei sistemi informatici della struttura in cui la donna era ricoverata, causato da un cyberattacco.

Si tratta di una conseguenza estrema e straordinaria, ma non è detto che situazioni del genere non possano diventare più frequenti in futuro a causa dell’aumento dei cyberattacchi.

Inoltre, si tratta del primo caso accertato di morte in conseguenza di un ransomware, ma è possibile che vi siano già stati dei precedenti non direttamente correlati all’evento informatico, di cui non si è percepito il collegamento.

La Direttiva del Parlamento Europeo NIS (Network and Information Security), emanata nel 2016, nasceva esattamente con l’intento di prevenire queste gravi situazioni, con l’obiettivo di proteggere quei settori strategici, la cui interruzione del servizio o il malfunzionamento avrebbe potuto paralizzare o rallentare il funzionamento della società e causare gravi danni economici o alla popolazione.

Non solo: oltre al funzionamento dei settori strategici, ad essere in pericolo in caso di attacchi informatici, specialmente quando si tratta di strutture ospedaliere come nell’esempio citato, sono anche i dati personali delle persone. Anche per questo motivo era stata emanata la Direttiva NIS.

La Direttiva perseguiva questi scopi fissando degli standard comuni per la sicurezza dei sistemi informatici nei settori energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione di acqua potabile e infrastrutture digitali, oltre a motori di ricerca, cloud e piattaforme online.

Inoltre, attraverso la Direttiva NIS è stato istituito il CSIRT, un organo per la cooperazione e la condivisione delle informazioni e delle procedure per il rafforzamento della sicurezza dei sistemi informatici.

Dopo pochi anni dall’entrata in vigore della Direttiva NIS, la Commissione Europea ha tuttavia riscontrato la necessità di implementare e aggiornare la norma, ipotizzando l’adozione di una Direttiva NIS 2, per far fronte al progressivo aumento della digitalizzazione (e quindi ad una maggiore esposizione ai pericoli) e soprattutto per la necessità di ulteriore incremento di protezione dei servizi essenziali per via dei numerosi tentativi di attacchi informatici messi in atto dopo lo scoppio della pandemia.

In aggiunta a queste esigenze, la Commissione ha ritenuto necessaria una revisione della Direttiva anche perché molti Stati non l’avevano adottata completamente; un aggiornamento era pertanto necessario per contrastare in modo più efficace i nuovi maggiori pericoli digitali.

L’iter di revisione della Direttiva è partito nell’estate del 2020, con l’interpello dei principali stakeholders dei settori destinatari della Direttiva, ai quali è stato chiesto di individuarne le principali criticità.

Gli interpellati rispondevano sottolineando la perdurante necessità di adeguare gli strumenti di sicurezza informatica agli obiettivi e gli standard fissati dalla Direttiva, confermando quindi la necessità di un rinnovamento. Soprattutto, la disparità tra gli Stati Membri nell’adozione della Direttiva ha significato delle distorsioni nel processo di uniformazione del mercato (ad esempio, l’Italia ha adottato la Direttiva limitatamente ai settori espressamente previsti, laddove era permessa anche l’inclusione di ulteriori settori).

Le necessità riscontrate tramite l’interpello si sono tradotte nelle seguenti proposte di revisione della Direttiva NIS:

1. Tra le proposte di revisione rientra in primis l’ampliamento dei settori destinatari della norma. Oltre ai settori “originali”, la proposta di ampliamento vorrebbe includere anche il settore di gestione di rifiuti, quello aerospaziale, il settore di produzione e distribuzione alimentare, la produzione e distribuzione di prodotti chimici, i servizi postali, il settore di produzione di dispositivi medici, di apparecchiature elettroniche, e il settore della Pubblica Amministrazione.
2. Con la Direttiva NIS 2 l’ambito di applicazione sarà definito in modo chiaro e obbligatorio per tutti gli stati membri. L’obiettivo in questo caso è quello di uniformare il sistema di sicurezza, estendendolo a determinati settori validi per ciascuno stato, imponendo l’adozione di una strategia nazionale di cybersecurity. Inoltre, non solo l’ambito di applicazione e i destinatari della norma saranno individuati dalla Direttiva stessa, ma anche le misure specifiche da adottare per realizzare gli obiettivi di attenuazione del rischio di attacchi informatici (o altri incidenti che impediscono la fruizione del servizio), come ad esempio l’obbligatorietà dell’utilizzo di strumenti di crittografia.
3. Per incentivare i destinatari ad adeguarsi pienamente alle disposizioni in termini di sicurezza informatica, la Direttiva NIS 2 propone un innalzamento delle sanzioni per coloro che non rispettano gli obblighi previsti. Le sanzioni, il cui importo sarà fissato autonomamente da ciascun stato, dovranno essere pari a 10 milioni di euro nella misura massima (o fino al 2% del fatturato annuo mondiale); un aumento considerevole, se si pensa che attualmente, il decreto di recepimento della Direttiva nel nostro ordinamento ha fissato le sanzioni in massimo 150.000 euro.
4. La Direttiva imporrà inoltre tempi molto più stretti per le segnalazioni degli eventi. Attualmente, non è indicato in modo esplicito un limite temporale entro il quale segnalare alle autorità competenti (in Italia il CSIRT italiano) l’incidente informatico: con la Direttiva NIS 2 questa situazione dovrebbe cambiare, imponendo un limite di 24h ore per la notifica dell’incidente. La finalità di un limite così stretto va ricercata nel potenziale effetto drammatico di un incidente informatico in questi settori, in modo da ripristinare il servizio e arginarne le conseguenze negative (es. furto di dati sensibili).

Queste sono le principali novità che dovrebbero figurare nella prossima Direttiva NIS 2, il cui iter di approvazione potrebbe essere tuttavia ancora abbastanza lungo.

Non è da escludere la possibilità che vengano proposte ulteriori implementazioni, magari anche di stanziamenti di fondi ad hoc per la realizzazione degli obiettivi, da sfruttare anche attraverso le risorse del Recovery Fund. Le circostanze attuali hanno comunque evidenziato la necessità di intervenire tempestivamente sulla sicurezza informatica. Oltre agli esempi citati infatti, da altre parti del mondo arrivano notizie di attacchi informatici o tentativi che, se riusciti, avrebbero potuto comportare conseguenze disastrose (es. tentativo di attacco hacker all’impianto di depurazione delle acque in Florida).

Se si pensa poi allo stato delle infrastrutture informatiche delle pubbliche amministrazioni italiane è evidente quanto lavoro ci sia da fare, e quanto sia necessaria una nuova Direttiva NIS, ancora più incisiva ed efficace nel salvaguardare l’integrità del sistema economico e i diritti dei cittadini non solo italiani, ma di tutta l’Europa.

(4 votes, average: 5,00 out of 5)
Loading...