In tema di sicurezza informatica l’UE ha varato un nuovo progetto di legge che prevede requisiti più severi al fine di tutelare le imprese, le amministrazioni e gli Stati dagli attacchi hacker sempre più frequenti.
In merito, già nel 2016, il Parlamento Europeo e il Consiglio Europeo si erano occupati delle minacce informatiche emanando la c.d. “Direttiva NIS”.
Il nuovo progetto di legge, la c.d. “Direttiva NIS2”, che abroga la precedente direttiva, si focalizza essenzialmente sull’innalzamento dei livelli di sicurezza informatica, stabilendo obblighi in ordine alla gestione del rischio, alle attività di segnalazione e di condivisione delle informazioni.
Il testo è stato adottato dalla Commissione per l’industria del Parlamento Europeo lo scorso giovedì, con 70 voti favorevoli, 3 contrari e 1 astenuto.
La digitalizzazione del mercato unico
La proposta rientra in un pacchetto di misure volte ad aumentare ulteriormente la capacità di resilienza e di reazione alle minacce provenienti dal cyberspazio.
Il disegno di legge trova fondamento giuridico nell’art. 114 del TFUE, il cui obiettivo è quello di garantire il funzionamento del mercato interno attraverso il rafforzamento delle misure volte ad uniformare le normative nazionali.
Con particolare riguardo al principio di sussidiarietà e di proporzionalità con la presente proposta si intende ovviare alle carenze e ai limiti intrinseci di alcune disposizioni in termini di portata e intensità dell’intervento dell’Unione Europea.
Peraltro, con la crisi da Covid-19 l’utilizzo di strumenti informatici è notevolmente incrementato, tanto da rendere l’UE dipendente dagli stessi. Pertanto, l’intervento europeo è giustificato principalmente dalla natura transfrontaliera delle minacce alla sicurezza informatica; dagli interventi dell’Unione volti a migliorare le strategie nazionali; e, da ultimo, dalla volontà ed esigenza di garantire un’efficace protezione dei dati personali e della vita privata. Su tale ultimo punto, già nello scorso Marzo si era espresso il Garante europeo per la protezione dei dati, con Parere2021/C 183/03 favorevole.
Le disposizioni presenti nella “Direttiva NIS2” sono volte, oltre che a soddisfare obiettivi specifici, anche a migliorare, su richiesta degli Stati membri e delle imprese, il quadro attuale.
La Direttiva si pone in linea con le priorità della Commissione di costruire un’Europa digitale e un’economia che supporti le future sfide al servizio dei cittadini. Pertanto, la proposta modernizza il quadro giuridico esistente, proprio in conformità alla crescente digitalizzazione del mercato interno e della rapida espansione delle minacce alla sicurezza informatica.
Il superamento dei limiti nell’applicazione della NIS1
Pur avendo la NIS1 il merito di aver contribuito al cambio di approccio istituzionale e giuridico da parte degli Stati membri in tema di cybersicurezza, tuttavia, nel suo recepimento ha portato alla luce molteplici limiti. Tra questi:
- – Un basso livello di cyberesilienza delle imprese presenti sul territorio europeo;
- – I diversi livelli di sicurezza sviluppati tra gli Stati membri e tra i diversi settori;
- – e, infine, l’assenza di una risposta comune per fronteggiare la crisi.
La Direttiva NIS2 determina in modo più rigoroso l’ambito di applicazione di quella precedente estendendolo ad un insieme più vasto di economie presenti ed operanti sul territorio europeo. La proposta, come già ribadito, presenta dei requisiti più severi e un quadro più definito di vigilanza e controllo volti a migliorare l’approccio di gestione del rischio e definizione delle politiche a livello degli Stati membri. In tale contesto, il problema che si presenta maggiormente attiene all’insufficiente preparazione degli Stati in termini di cybersicurezza e dunque, all’incidenza tanto sui costi, quanto sull’efficienza.
Infatti, per i “soggetti essenziali” l’aumento di tale preparazione comporterebbe la riduzione della perdita di entrate dovute a fattori, quali lo spionaggio industriale.
Per gli Stati membri, si ridurrebbero maggiormente sia il rischio di aumento del bilancio dovuto agli interventi ad hoc delle minacce e sia i costi sostenuti per le emergenze legate agli attacchi informatici.
Infine, per i cittadini il saper affrontare il problema delle minacce provenienti dal cyberspazio si tradurrebbe in una riduzione delle perdite di reddito.
Infatti, secondo quanto reca la relazione al testo della Direttiva NIS2 “L’aumento dei livelli di cibersicurezza negli Stati membri e la capacità delle società e delle autorità di rispondere rapidamente a un incidente e di mitigarne l’impatto, determineranno con tutta probabilità un aumento della fiducia globale dei cittadini nell’economia digitale, con un possibile impatto positivo sulla crescita e sugli investimenti”.
Esame più dettagliato della Direttiva NIS2.
L’obiettivo della proposta di legge è quello di aumentare il libello di cyberesilienza di un vasto gruppo di imprese operanti sul territorio dell’Unione Europea in tutti i settori, ridurre le incongruenze in ordine alla resilienza nei settori di mercato già considerati nella direttiva e, da ultimo, migliorare il livello di preparazione e consapevolezza al fine di dare una risposta comune alle minacce del cyberspazio.
Il valore aggiunto dell’intervento europeo in tema di cybersicurezza è rappresentato dalla volontà di ovviare alle carenze presenti nella Direttiva NIS1 e dunque, andando oltre le misure stabilite da quest’ultima, tenta di uniformare dal punto di vista normativo la cyberesilienza di tutti gli Stati membri.
I requisiti includono una comune risposta alle minacce transfrontaliere del cyberspazio, la sicurezza della catena di approvvigionamento, la crittografia e la divulgazione delle vulnerabilità.
Gli articoli 1 e 2 specificano l’oggetto e l’ambito di applicazione della direttiva.
Quanto all’oggetto:
- – Si stabiliscono gli obblighi per gli Stati membri di adottare una strategia nazionale per la cybersicurezza, designare autorità nazionali competenti, punti di contatto unici e CSIRT;
- – Si prevede che gli Stati membri impongano obblighi di gestione e segnalazione dei rischi di cybersicurezza per i soggetti indicati come soggetti essenziali nell’allegato I e come soggetti importanti nell’allegato II;
- – Si dispone che gli Stati membri prevedano obblighi anche in materia di condivisione delle informazioni sulla cybersicurezza.
Quanto all’ambito di applicazione:
- – Si applica a taluni soggetti essenziali pubblici o privati che operano nei settori di energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione e spazio.
- – Si applica ad alcuni soggetti importanti che operano nei settori dei servizi postali e di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di prodotti chimici, produzione, trasformazione e distribuzione di alimenti, settore della fabbricazione e fornitori di servizi digitali.
- – Non si applica alle microimprese e le piccole imprese, ad eccezione dei fornitori di reti di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico, dei prestatori di servizi fiduciari, dei registri dei nomi di dominio di primo livello e della pubblica amministrazione, nonché di alcuni altri soggetti, come l’unico fornitore di un servizio in uno Stato membro.
Gli articoli dal 5 all’11 si occupano dei quadri nazionali di cybersicurezza imponendo agli Stati membri di adottare una strategia nazionale ad hoc e delle normative adeguate a mantenere un elevato livello di sicurezza informatica.
Gli articoli dal 12 al 16 si occupano di istituire un gruppo volto a sostenere e facilitare la cooperazione strategica e lo scambio di informazione tra gli Stati membri.
Negli articoli dal 17 al 23 si impone agli Stati nazionali di prevedere che gli organi designati alla gestione dei soggetti, cui si applicano le norme della direttiva, approvino le misure volte a fronteggiare e gestire i rischi di minacce informatiche.
Le norme previste negli articoli 24 e 25 stabiliscono che i “soggetti essenziali” siano sottoposti alla giurisdizione dello Stato in cui operano prestando i propri servizi. Si prevede, altresì, che alcuni soggetti siano, invece, sottoposti alla giurisdizione dello Stato europeo in cui hanno stabilimento principale.
Gli articoli 26 e 27 stabiliscono norme che consentano ai soggetti di partecipare alla condivisione di informazioni in materia di cybersicurezza.
Gli articoli dal 28 al 34 prevedono che le autorità competenti siano tenute ad esercitare la vigilanza sui soggetti che rientrano nell’ambito di applicazione della Direttiva NIS2.
Una nota informativa del Parlamento Europeo evidenzia che gli attacchi informatici, oltre a rappresentare una delle forme di criminalità in più rapida crescita a livello mondiale, si stanno anche evolvendo in ordine ai costi e alla sofisticatezza.