SPS_2023

18 speciale anteprima SPS ITALIA 2023 Cybersecurity: l’Europa si difende Con 577 voti favorevoli i deputati al Parlamento europeo hanno recentemente approvato il nuovo quadro comune in ambito di cybersecurity, la normativa NIS2, che andrà a sostituire la NIS1 del 2016, recepita in Italia senza sostan- ziali modifiche con il D.Lgs. n.65/2018. Il relatore del testo, Bart Groothuis, ha dichiarato che “il ransomware e le altre minacce informatiche hanno predato l’Europaper troppo tempo.Dobbiamoagireper rendere lenostre imprese,i no- stri Governi e la nostra società più resistenti alle operazioni informatiche ostili”. Cybersecurity: da NIS1 a NIS2 La NIS1 (Direttiva UE 2016/1148) ha rappresentato il primo strumento nor- mativo con lo scopo di costruire un elevato livello di cybersecurity tra i diversi Stati membri dell’Unione Europea. Sebbene la Direttiva NIS si sia rivelata uno strumento funzionale al progressivo innalzamentodellemisure di cyber- resilienza,la sua attuazione è stata eterogenea,dato il livellodi discrezionalità conferito agli Stati membri. La NIS2 arricchisce e amplia la portata della precedente Direttiva, allargandone qualitativamente e quantitativamente il perimetrodi azione e introducendo una serie di attività e vincoli in capo ai de- stinatari, soprattutto in tema di risposta agli incidenti, sicurezza della catena di approvvigionamento, crittografia, divulgazione delle vulnerabilità software e certificazione di prodotto per la cybersecurity. Come ambiti applicativi la Direttiva individua due categorie: settori altamente critici e settori critici. Nei primi figurano energia, trasporti, banche e mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione di servizi ICT, Pubblica Amministrazione, spazio; fra i secondi si trovano fornitori di servizi postali, compresi i servizi di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribu- zione di alimenti,manifatture,fornitori di servizi digitali,ricerca.Inparticolare, la nuova Direttiva mira a superare le carenze della differenziazione tra gli operatori di servizi essenziali e i fornitori di servizi digitali,ritenuta obsoleta,in quanto non riflette l’effettiva importanza dei settori o dei servizi per le attività sociali ed economiche nel mercato interno. Oltre all’estensione dei soggetti per comparto, il testo opera un’armonizza- zione dei parametri per l’individuazione dei soggetti sottoposti agli obbli- ghi della NIS2 tramite l’introduzione di un criterio relativo alle dimensioni aziendali (Raccomandazione 2003/361/CE, artt.1 e 2) che fissa i criteri per individuare medie e grandi imprese. Tutte le aziende a partire dalle medie, operanti nei settori citati, sono oggetto di applicazione della Direttiva stessa. Aognimodo ledisposizioni potrebberoessereapplicateanchealle impresedi piccole dimensioni, qualora ritenute essenziali per la vita economico-sociale di uno Statomembro. Per quanto concerne la PA, le disposizioni producono effetti sull’interezza dell’amministrazione centrale dello Stato e sulle amministrazioni regionali i cui servizi sono ritenuti fondamentali in attività sociali o economiche critiche. Discrezionalmente i singoli Stati nazionali possono estendere l’applicazione della Direttiva anche alle amministrazioni locali e agli istituti di ricerca, spe- cialmente se svolgono attività di ricerca considerate ‘critiche’. La NIS2 non è invece applicabile alle articolazioni statali che hanno compiti di sicurezza nazionale e pubblica, della difesa e del perseguimento dei reati. Nell’opera di omogeneizzazione e unificazione degli standard è lasciata fa- coltà ai singoli Stati membri, secondo il criterio di ‘armonizzazione minima’, di mantenere oppure optare per dei livelli più elevati di cybersecurity, fermo restando la coerenza con gli obblighi stabiliti dalla normativa dell’Unione. Di fatto, la norma prevede che ogni Stato membro adotti una strategia nazionale per la cybersecurity entro 3 mesi dall’adozione della norma- tiva, che preveda: • gli obiettivi e leprioritàdella strategiaper la cybersecuritydelloStatomem- bro, che riguardano in particolare i settori ad‘alta criticità’e‘critici’; • un quadro di governance che chiarisca i ruoli e le responsabilità dei perti- nenti portatori di interessi a livello nazionale; • unquadro strategicoper il rafforzamentodel coordinamento tra le autorità Luisa Franchina Dal 2023 cambia l’approccio alla sicurezza delle infrastrutture critiche in Europa grazie alle due nuove Direttive NIS2 e CER: vediamo cosa prevedono Secondo l’Enisa Threat Landscape report 2022, a partire dall’inizio del 2022 gli attacchi informatici sono in continuo aumento Fonte foto shutterstock