La Direttiva NIS (Network and Information Security)

Nel 2016 il Parlamento Europeo e il Consiglio dell’Unione Europea hanno adottato la Direttiva sulla sicurezza delle reti e dei sistemi informativi (ossia la Direttiva NIS)109. Questo provvedimento nasce in considerazione del fatto che in un contesto come quello attuale caratterizzato dalla crescita costante di attacchi informatici a banche e ad altri soggetti finanziari, occorre tutelare la sicurezza delle loro reti e dei loro sistemi informativi, in modo che essi rimangano integri anche dopo una violazione di sicurezza. Tale Direttiva, che gli Stati membri dell’UE sono chiamati a recepire nei propri ordinamenti entro Maggio 2018, è considerata il provvedimento regolamentare più importante nell’ambito della cyber resilience all’interno dell’Unione: in particolare, l’obiettivo del provvedimento è quello di contribuire a rafforzare la sicurezza del cyberspace europeo, attraverso la predisposizione di una serie di istruzioni utili agli operatori dei mercati finanziari per gestire al meglio il cyber risk e per poter rilevare gli incidenti informatici ritenuti più significativi in termini di impatto potenziale.

Le disposizioni contenute nella NIS si basano su precedenti iniziative adottate nell’Eurosistema e mirano ad incentivare la cooperazione tra le autorità competenti

109 _{Parlamento Europeo e Consiglio dell’Unione Europea, “Direttiva (UE) 2016/1148 recante misure per}

104

nazionali, favorendo così lo scambio di informazioni tra settore pubblico e privato. Inoltre, la Direttiva vuole puntare alla diffusione di un’adeguata cultura sulla gestione del rischio informatico, incrementando la consapevolezza degli operatori del settore finanziario riguardo ai pericoli legati alla tecnologia.

La Direttiva NIS si applica agli operatori di servizi essenziali e ai fornitori di servizi digitali, e i suoi punti chiave sono i seguenti110:

1) Strategia nazionale in materia di sicurezza della rete e dei sistemi informativi → secondo quanto disposto dall’art.7, la Direttiva obbliga tutti gli Stati membri dell’Unione Europea ad adottare una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi, all’interno della quale devono essere definiti gli obiettivi strategici e gli interventi regolamentari idonei a realizzare e mantenere un elevato livello di sicurezza delle reti e dei sistemi informativi. Il paragrafo 1 dell’art.7 definisce nel dettaglio il contenuto della strategia, stabilendo che essa deve includere:

a) gli obiettivi e le priorità della strategia;

b) la governance, con una chiara definizione di ruoli e responsabilità degli attori coinvolti nell’implementazione della strategia;

c) l’individuazione delle misure di preparazione, response e recovery;

d) la predisposizione di programmi di educazione relativi alla strategia in materia di sicurezza delle reti e dei sistemi informativi, allo scopo di diffondere una cultura della security e sensibilizzare gli operatori ad un tema di attualità come quello della sicurezza informatica;

e) un’indicazione di piani di ricerca e sviluppo relativi alla strategia; f) un piano di valutazione del cyber risk;

g) un elenco dei vari attori coinvolti nell’attuazione della strategia.

2) Autorità nazionali competenti e punto di contatto unico → l’art.8 della NIS prevede l’obbligo per gli Stati membri di nominare autorità nazionali competenti e punti di contatto unici con compiti connessi alla sicurezza della rete e dei sistemi informativi111.

110 _{L’allegato 2 della Direttiva elenca le tipologie di soggetti che rientrano nella categoria degli operatori}

di servizi essenziali, tra cui figurano anche gli enti creditizi definiti dall’art.4 punto 1 del Regolamento (UE) n°575/2013 del Parlamento Europeo e del Consiglio.

Ciò significa che il settore bancario rientra a tutti gli effetti tra gli ambiti di applicazione della Direttiva NIS.

111 _{Lo stesso articolo precisa che gli Stati membri possono affidare tali compiti anche alle autorità già}

105

La norma chiarisce i compiti attribuiti alle autorità competenti e ai punti di contatto unici: in particolare, mentre le autorità competenti controllano l’applicazione della Direttiva a livello nazionale, i punti di contatto unici hanno la responsabilità di assicurare la cooperazione tra le autorità competenti di Stati membri diversi.

3) Rete di CSIRT → l’art.12 della Direttiva NIS richiede la realizzazione di una rete costituita da gruppi di intervento per la sicurezza informatica in caso di incidente (denominata CSIRT), allo scopo di rafforzare la fiducia tra gli Stati membri e sviluppare una collaborazione efficiente ed efficace.

In particolare, il paragrafo 3 elenca i compiti svolti dalla rete: a) scambio di informazioni sulle attività del CSIRT;

b) scambio di informazioni relative all’incidente informatico e ai rischi associati (su richiesta del rappresentante di uno CSIRT di uno Stato membro);

c) scambio di informazioni non riservate su singoli incidenti;

d) su richiesta del rappresentante di uno CSIRT di uno Stato membro, prevedere la possibilità di un’attività coordinata in seguito alla rilevazione di un incidente nello Stato membro;

e) nel rispetto del principio dell’assistenza reciproca, la fornitura di aiuti agli Stati membri coinvolti in incidenti transfrontalieri, ossia di incidenti che superano i confini di due o più Stati membri dell’UE;

f) discutere, esaminare e individuare ulteriori forme di cooperazione operativa, g) aggiornare il gruppo su eventuali ulteriori attività e iniziative di collaborazione; h) discutere sulle esercitazioni in materia di sicurezza delle reti e dei sistemi informativi;

i) discutere, su richiesta di un singolo CSIRT di uno Stato membro, il know-how e le competenze di tale CSIRT;

j) formulare delle regole in modo da facilitare la comprensione e l’applicazione delle disposizioni contenute in tale articolo in materia di cooperazione operativa. 4) Obblighi in materia di sicurezza e notifica degli incidenti → l’art.14 della Direttiva prevede l’obbligo in capo agli operatori di servizi essenziali di notificare senza ritardo all’autorità competente o al CSIRT gli incidenti che abbiano un impatto significativo in termini di compromissione della continuità nella prestazione di tali servizi essenziali.

106

In più, lo stesso articolo richiede che gli Stati membri debbano adottare misure tecniche e organizzative adeguate per prevenire (nel caso in cui l’incidente non sia avvenuto) e minimizzare (in caso di inevitabilità nell’accadimento dell’incidente) l’impatto di incidenti riguardanti la sicurezza della rete e dei sistemi informativi utilizzati per la fornitura di servizi essenziali112.

Il paragrafo 4 dell’art.14 della Direttiva NIS specifica quali sono i criteri in base ai quali scatta l’obbligo di segnalazione degli incidenti di sicurezza informatica: a) il numero di utenti coinvolti nell’incidente;

b) la durata temporale dell’incidente; c) l’estensione geografica dell’incidente.

5) Gruppo di cooperazione → l’art. 11 della Direttiva NIS prevede l’istituzione di un gruppo di cooperazione costituito da rappresentanti degli Stati membri, dall’ENISA e dalla Commissione, con l’obiettivo di sostenere la cooperazione e lo scambio di informazioni tra Stati membri e di sviluppare la fiducia tra di essi. Da quanto emerge dalla lettura del provvedimento, la Direttiva NIS in sostanza prevede delle responsabilità ulteriori per gli operatori di servizi essenziali (come le banche) in caso di significativi incidenti informatici: si tratta di un principio in linea con le altre iniziative adottate in ambito europeo, come il Regolamento Europeo sulla Protezione dei dati personali (GDPR), che fa del principio dell’accountability (cioè della responsabilizzazione) uno dei suoi capi saldi, prevedendo anche qui un obbligo di notifica degli incidenti relativi a violazioni dei dati personali. Ciò che differenzia i due provvedimenti è che mentre il GDPR è circoscritto ad un particolare incidente di sicurezza informatica (ossia la violazione dei dati personali), la NIS si rivolge a tutte le tipologie di incidenti che possono danneggiare la sicurezza delle reti e dei sistemi informativi.