F&N 114

Fieldbus & Networks FEBBRAIO 2023 FIELDBUS & NETWORKS 15 primi figurano energia, trasporti, banche e mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione di servizi ICT, Pubblica Amministrazione, spazio; fra i secondi si trovano fornitori di servizi postali, compresi i servizi di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, manifatture, fornitori di servizi digitali, ricerca. In particolare, la nuova Direttiva mira a superare le carenze della differenziazione tra gli ope- ratori di servizi essenziali e i fornitori di servizi digitali, ritenuta obsoleta, in quanto non riflette l’effettiva importanza dei settori o dei servizi per le attività sociali ed economiche nel mercato interno. Oltre all’estensione dei soggetti per comparto, il testo opera un’armonizzazione dei parametri per l’individuazione dei soggetti sottoposti agli obblighi della NIS2 tramite l’introduzione di un criterio relativo alle dimensioni aziendali (Racco- mandazione 2003/361/CE, artt.1 e 2) che fissa i criteri per individuare medie e grandi imprese. Tutte le aziende a partire dalle medie, operanti nei settori citati, sono oggetto di applicazione della Direttiva stessa. A ogni modo le disposizioni potrebbero essere applicate anche alle imprese di piccole dimensioni, qualora ritenute essenziali per la vita economico-sociale di uno Stato membro. Per quanto concerne la PA, le disposizioni producono effetti sull’interezza dell’amministrazione centrale dello Stato e sulle amministrazioni regionali i cui servizi sono ritenuti fondamentali in attività sociali o economiche critiche. Discrezionalmente i singoli Stati nazionali possono estendere l’applicazione della Direttiva anche alle amministrazioni locali e agli istituti di ricerca, spe- cialmente se svolgono attività di ricerca considerate ‘critiche’. La NIS2 non è invece applicabile alle articolazioni statali che hanno compiti di sicurezza nazionale e pubblica, della difesa e del perseguimento dei reati. Nell’opera di omogeneizzazione e unificazione degli standard è lasciata fa- coltà ai singoli Stati membri, secondo il criterio di ‘armonizzazione minima’, di mantenere oppure optare per dei livelli più elevati di cybersecurity, fermo restando la coerenza con gli obblighi stabiliti dalla normativa dell’Unione. Di fatto, la norma prevede che ogni Stato membro adotti una strategia nazionale per la cybersecurity entro 3 mesi dall’adozione della normativa, che preveda: • gli obiettivi e le priorità della strategia per la cybersecurity dello Stato membro, che riguardano in particolare i settori ad ‘alta criticità’ e ‘critici’; • un quadro di governance che chiarisca i ruoli e le responsabilità dei pertinenti portatori di interessi a livello nazionale; • un quadro strategico per il rafforzamento del coordinamento tra le au- torità competenti a norma della presente Direttiva e le autorità compe- tenti a norma della Direttiva (UE); • un piano, comprendente le misure necessarie, per aumentare il livello generale di consapevolezza dei cittadini in materia di cybersecurity. L’Enisa e la Commissione fungono anche da punto di collegamento con il punto di contatto unico nazionale designato tra le autorità competenti e i re- sponsabili della cybersecurity e dei compiti di vigilanza di ogni Stato membro. Per quanto concerne gli obblighi di notifica e segnalazione, l’art.23 evidenzia che ciascuno Stato membro provvederà affinché i soggetti altamente critici e critici notifichino gli incidenti significativi, senza indebito ritardo, al proprio Csirt o, se opportuno, alla propria autorità competente e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente. Inoltre, viene intro- dotto il termine delle 72 ore entro le quali inviare una notifica dell’incidente che, se opportuno, aggiorni le informazioni della prima segnalazione e indi- chi una valutazione iniziale dell’incidente, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, degli indicatori di compromissione. La nuova normativa applica delle modifiche anche alle condizioni generali per l’imposizione delle sanzioni amministrative pecuniarie ai soggetti inte- ressati. Infine, secondo quanto previsto dall’art.41, entro 21 mesi dalla data di entrata in vigore della Direttiva, gli Stati membri sono obbligati ad adot- tare e pubblicare le misure necessarie per conformarsi alla norma. La Direttiva CER Il Consiglio ha anche approvato il testo della Direttiva CER (Critical Entities Resilience), che sostituisce la Direttiva 114/08 sull’identificazione e designa- zione delle Infrastrutture Critiche Europee. La CER va di pari passo con la Direttiva NIS2, riconciliando di fatto il concetto di sicurezza fisica o cinetica, con quello della sicurezza logica o cyber. La NIS2 si occupa infatti della sicurezza cyber delle entità critiche e altamente critiche, mentre la CER della loro resilienza rispetto a minacce cinetiche sia naturali che antropiche, volontarie o involontarie, ivi comprese le minacce di stampo terroristico. I settori delle potenziali entità critiche sono gli stessi della categoria ‘alta- mente critici’ della NIS2 e cioè: energia, trasporti, banche e mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali (inclusa la gestione di servici ICT), Pubblica Amministrazione, spazio, ai quali si aggiunge la pro- duzione, trasformazione e distribuzione di alimenti, che rientra nella categoria ‘critica’ della NIS2. Questa Direttiva ‘risk based’ fornisce indicazioni sull’identificazione delle entità critiche soprattutto di livello europeo e sulla costituzione di missioni di supporto con la presenza di esperti dello Stato di appartenenza e degli Stati membri dell’Unione interessati dal servizio erogato dall’entità, nonché di esperti della Commissione per la verifica della messa in opera da parte dell’entità critica delle misure identificate per la garanzia della resilienza. Definisce le misure minime per raggiungere un grado di resilienza e stabilisce procedure comuni per il reporting e la cooperazione tra Stati. Il concetto di infrastruttura diventa materiale, mentre quello di entità è im- materiale. L’entità è pubblica o privata, fornisce un servizio essenziale ed è costituita anche da infrastrutture. Ogni Stato membro adotterà una strategia per la resilienza che conterrà un framework di descrizione delle attività e delle responsabilità, quindi la descrizione della catena di comando e controllo, e le misure adottate per la resilienza del Sistema Paese. La Direttiva CER va di pari passo con la NIS2 per creare un quadro normativo europeo il più possibile omogeneo e condiviso fra gli Stati membri dell’Unione Fonte: Shutterstock