L’obiettivo è ridurre il più possibile l’impatto del rischio sull’erogazione dei servizi essenziali per i cittadini, elevando i livelli di sicurezza e condividendo prontamente le informazioni sugli attacchi subiti. L’avvocato Mele spiega perché il recepimento da parte del legislatore sarà un passaggio decisivo
Il 27 dicembre sulla Gazzetta ufficiale dell’Unione europea sono state pubblicate quattro normative su temi digitali: un regolamento (noto come Dora) per incrementare le misure di sicurezza a favore della resilienza e della sicurezza informatica del settore finanziario; una direttiva a esso collegata che serve ad armonizzare il quadro normativo; la direttiva (nota come NIS 2), che ha introdotto nuovi obblighi in materia per le aziende in materia di sicurezza dei dati e maggiori responsabilità per i soggetti interessati; la direttiva (nota come Cer) relativa alla resilienza dei soggetti critici. Con queste normative il legislatore europeo sta costruendo l’impianto normativo della strategia in materia di cybersicurezza presentata nel dicembre 2020 dalla Commissione europea e dal Servizio europeo per l’azione esterna per rafforzare la resilienza dell’Europa a fronte delle minacce informatiche e garantire che tutti i cittadini e le imprese possano beneficiare pienamente di servizi e strumenti digitali affidabili e attendibili.
IL REGOLAMENTO DORA
Il regolamento Dora, spiega una nota del Consiglio dell’Unione europea, stabilisce requisiti uniformi per la sicurezza delle reti e dei sistemi informativi delle imprese e delle organizzazioni che operano nel settore finanziario nonché di terze parti critiche che forniscono loro servizi relativi alle tecnologie dell’informazione e della comunicazione, come piattaforme cloud o servizi di analisi dei dati. Crea un quadro normativo sulla resilienza operativa digitale in base al quale tutte le imprese devono garantire di poter resistere e reagire a tutti i tipi di perturbazioni e minacce connesse alle tecnologie dell’informazione e della comunicazione, nonché di riprendersi da tali perturbazioni e minacce. Tali requisiti sono omogenei in tutti gli Stati membri dell’Unione europea. L’obiettivo principale è prevenire e attenuare le minacce informatiche. Con la pubblicazione sulla Gazzetta ufficiale dell’Unione europea, ciascuno Stato membro è chiamato ad approvare una legge per gli aspetti per cui è richiesto il recepimento nazionale. Al tempo stesso, le competenti autorità europee di vigilanza, quali l’Autorità bancaria europea, l’Autorità europea degli strumenti finanziari e dei mercati e l’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali elaboreranno norme tecniche che tutti gli istituti di servizi finanziari dovranno rispettare, che si tratti di servizi bancari, assicurativi o di gestione degli attivi. Le autorità nazionali competenti si assumeranno il compito di vigilare sulla conformità e faranno rispettare il regolamento se necessario.
LA DIRETTIVA NIS 2
La direttiva Nis 2, che aggiorna la Nis che fu il primo atto legislativo a livello europeo in materia di sicurezza informatica, stabilisce le misure di gestione dei rischi e gli obblighi di cybersicurezza, le sanzioni per garantirne l’applicazione e gli obblighi di comunicazione in tutti i settori individuati. La pandemia e le nostre attività, dal telelavoro al delivery, sono state d’insegnamento: oltre ai settori finanziario e delle telecomunicazioni sono stati inseriti logistico e alimentare. Oltre ai settori altamente critici già compresi nella prima Nis, cioè trasporti, banche, infrastrutture del mercato finanziario, salute, acque, infrastruttura digitale, compaiono anche i settori delle acque reflue, la gestione dei servizi Ict, Pubblica amministrazione e Spazio. Inoltre, sono considerati settori critici anche i fornitori digitali (mercati online, motori di ricerca online, piattaforme di servizi di social networking), i gestori di rifiuti, le aree di fabbricazione, produzione e distribuzione di prodotti chimici, quelle di produzione, trasformazione e distribuzione di alimenti, l’area manifatturiera, i servizi postali e i corrieri e le organizzazioni di ricerca. Gli Stati membri avranno 21 mesi di tempo dall’entrata in vigore della direttiva per recepirne le disposizioni nei rispettivi diritti nazionali.
LA DIRETTIVA CER
La direttiva Cer contempla i soggetti critici in una serie di settori, tra cui energia, trasporti, acque potabili, acque reflue e spazio. Alcune disposizioni della direttiva riguarderanno anche determinate amministrazioni pubbliche centrali. Gli Stati membri dovranno dotarsi di una strategia nazionale per rafforzare la resilienza dei soggetti critici, effettuare una valutazione dei rischi almeno ogni quattro anni e individuare i soggetti critici che forniscono servizi essenziali. I soggetti critici dovranno individuare i rischi rilevanti che potrebbero perturbare in modo significativo la fornitura di servizi essenziali, adottare misure adeguate per garantire la propria resilienza e notificare gli eventi perturbatori alle autorità competenti. La direttiva stabilisce inoltre norme per l’individuazione dei soggetti critici di particolare rilevanza europea. Un soggetto critico è considerato di particolare rilevanza europea se fornisce un servizio essenziale a sei o più Stati membri. In questo caso, gli Stati membri possono invitare la Commissione a organizzare una missione di consulenza o la Commissione stessa può proporre, con l’accordo dello Stato membro interessato, di valutare le misure predisposte dal soggetto interessato per adempiere agli obblighi derivanti dalla direttiva.
LA RACCOMANDAZIONE
A inizio dicembre, il Consiglio dell’Unione europea ha adottato, oltre alla direttiva Cer, una raccomandazione per il rafforzamento della resilienza delle infrastrutture critiche al fine di rispondere ai recenti atti di sabotaggio contro il gasdotto Nord Stream e ai nuovi rischi derivati dall’aggressione della Russia nei confronti dell’Ucraina. La raccomandazione mira ad accelerare i lavori preparatori per l’attuazione degli obiettivi stabiliti nella direttiva sui soggetti critici e nella direttiva Nis 2 e a rafforzare la capacità dell’Unione europea di proteggere le sue infrastrutture critiche. Comprende una serie di azioni che interessano settori chiave quali l’energia, le infrastrutture digitali, i trasporti e lo spazio. La raccomandazione riguarda tre settori prioritari: la preparazione, la risposta e la cooperazione internazionale. Invita gli Stati membri ad aggiornare le loro valutazioni dei rischi per tenere conto delle attuali minacce e li incoraggia a effettuare prove di stress sui soggetti che gestiscono infrastrutture critiche, in via prioritaria nel settore dell’energia. Invita inoltre gli Stati membri a elaborare, in cooperazione con la Commissione, un programma per una risposta coordinata alle perturbazioni delle infrastrutture critiche con significativa rilevanza transfrontaliera. L’Unione europea sosterrà i Paesi partner nel potenziamento della loro resilienza e rafforzerà la cooperazione con la Nato in questo settore.
IL COMMENTO DELL’AVVOCATO MELE
“È quantomai fondamentale che le aziende e le pubbliche amministrazioni prendano subito sul serio l’applicazione di queste normative così strutturate e invasive sul piano dei processi interni”, commenta l’avvocato Stefano Mele, partner e responsabile del dipartimento cybersecurity law dello Studio legale Gianni & Origoni. “Tuttavia, mi sembra altrettanto centrale che si chieda anzitutto uno sforzo al legislatore italiano, sotto la direzione dell’Autorità delegata, il sottosegretario Alfredo Mantovano, e grazie all’attività dell’Agenzia per la cybersicurezza nazionale guidata da Roberto Baldoni, affinché in fase di recepimento si provveda fin da subito ad armonizzare queste normative con quanto già previsto, per esempio, dal Perimetro di sicurezza nazionale cibernetica. Ciò, soprattutto, per non duplicare e penalizzare l’enorme sforzo fatto finora dalle società e dalle pubbliche amministrazioni in Perimetro e da quei soggetti che hanno già provveduto ad adeguarsi alla precedenti normative europee”.
Tale richiesta, prosegue l’avvocato, appare “quantomai auspicabile soprattutto se pensiamo che, in fin dei conti, tutto il complesso normativo delineato finora dal legislatore europeo e da quello italiano tende essenzialmente al raggiungimento di un unico obiettivo: quello di ridurre il più possibile l’impatto del rischio cyber sull’erogazione dei servizi essenziali per i cittadini, elevando i livelli di sicurezza cibernetica e condividendo prontamente le informazioni sugli attacchi subiti. Tasselli, questi, posti a fondamento della strategia di sicurezza cibernetica europea e, quindi, anche di quella italiana. Rischiare di ‘far affogare’ le società e le pubbliche amministrazioni in un mare di richieste serrate sul piano della compliance normativa, disallineando o peggio ancora duplicando inutilmente le richieste, potrebbe causare un effetto boomerang, scollando i board delle principali aziende nazionali e i vertici del settore pubblico dal grande valore che questa rivoluzione normativa sta portando, ovvero quello di far sentire ciascuno dei soggetti coinvolti come un tassello fondamentale della nostra sicurezza nazionale”, conclude.