Il Considerando 122 della Direttiva NIS 2 stabilisce una chiara differenziazione tra i soggetti essenziali e quelli importanti, imponendo regimi di vigilanza distinti per ciascuno.

I soggetti essenziali, che rivestono un ruolo cruciale nella sicurezza nazionale e nella stabilità economica, sono sottoposti a un regime di vigilanza completo. Questo include controlli preventivi (ex ante) e successivi (ex post) per garantire che siano sempre conformi agli standard di cyber security.

I soggetti importanti, invece, sono sottoposti a un regime di vigilanza leggero, solo ex post. Questi soggetti non dovrebbero quindi essere tenuti a documentare sistematicamente il rispetto delle misure di gestione dei rischi di cibersicurezza e le autorità competenti dovrebbero attuare un approccio ex post, reattivo alla vigilanza.

Compiti di vigilanza e poteri delle autorità competenti

L’art. 32 della NIS 2 definisce un’intera gamma di compiti di vigilanza e di poteri di esecuzione che le autorità competenti devono esercitare nei confronti rispettivamente dei soggetti importanti e dei soggetti essenziali.

In questo modo, detto articolo implementa il quadro di vigilanza introdotto dal Considerando 122 che, come già accennato, prevede un regime differenziato di controlli: più rigorosi per i soggetti essenziali, più leggeri per quelli importanti.

Così, gli Stati membri, nell’ambito del recepimento della Direttiva, sono chiamati a garantire che le autorità competenti esercitino adeguati poteri di vigilanza e controllo. In particolare, tali autorità devono:

1. disporre dei poteri necessari per effettuare una supervisione sui soggetti importanti, assicurando che questi rispettino tutte le norme e i requisiti previsti a loro carico dalla Direttiva;
2. essere dotate di poteri di esecuzione più stringenti nei confronti dei soggetti essenziali, al fine di garantire la sicurezza e la resilienza delle infrastrutture critiche.

In tale scenario, il paragrafo 2 dell’art. 32 sancisce che le autorità competenti, nell’esercizio dei rispettivi compiti di vigilanza nei confronti dei soggetti importanti, abbiano il potere di sottoporre tali soggetti come minimo a:

1. ispezioni in loco e vigilanza a distanza, compresi controlli casuali, effettuati da professionisti formati;
2. audit sulla sicurezza periodici e mirati effettuati da un organismo indipendente o da un’autorità competente;
3. audit ad hoc, ivi incluso in casi giustificati da un incidente significativo o da una violazione della presente direttiva da parte del soggetto essenziale;
4. scansioni di sicurezza basate su criteri di valutazione dei rischi obiettivi, non discriminatori, equi e trasparenti, se necessario in cooperazione con il soggetto interessato;
5. richieste di informazioni necessarie a valutare le misure di gestione dei rischi di cibersicurezza adottate dal soggetto interessato, comprese le politiche di cibersicurezza documentate, nonché il rispetto dell’obbligo di trasmettere informazioni alle autorità competenti;
6. richieste di accesso a dati, documenti e altre informazioni necessari allo svolgimento dei compiti di vigilanza;
7. richieste di dati che dimostrino l’attuazione di politiche di cibersicurezza, quali i risultati di audit sulla sicurezza effettuati da un controllore qualificato e i relativi elementi di prova.

D’altra parte, il paragrafo 4 dello stesso articolo 32, prevede che le norme statali di recepimento della NIS 2 debbano garantire che le autorità competenti, nell’esercizio dei rispettivi poteri di esecuzione nei confronti dei soggetti essenziali, abbiano il potere come minimo di:

1. emettere avvertimenti riguardo alle violazioni della NIS 2;
2. adottare istruzioni vincolanti per prevenire o rimediare a incidenti, specificando e riferendo misure e termini per la loro attuazione;
3. imporre ai soggetti interessati di porre termine al comportamento che viola la NIS 2 e di astenersi dal ripeterlo;
4. assicurarsi che le misure di gestione del rischio di cibersicurezza siano conformi ai “controlli” fissati dall’articolo 21 della NIS 2 e di adempiere agli obblighi di segnalazione prescritti dall’art. 23 della stessa NIS 2;
5. informare le persone fisiche o giuridiche potenzialmente minacciate da una minaccia informatica, indicando anche le relative misure protettive o correttive;
6. attuare le raccomandazioni derivanti da audit sulla sicurezza entro termini ragionevoli;
7. designare un funzionario di sorveglianza con compiti definiti;
8. rendere pubbliche le violazioni della direttiva in una maniera specificata;
9. imporre sanzioni amministrative pecuniarie a norma dell’articolo 34, oltre ad altre misure indicate.

Misure reattive e proattive per i soggetti essenziali e importanti

Nel quadro di quanto prescritto dai citati paragrafi 2 e 4 dell’articolo 32 della NIS 2, sia i soggetti importanti che quelli essenziali, esposti ai controlli, ex post ed eventualmente anche ex ante, dovrebbero prepararsi, definendo e adottando una serie di misure sia di carattere proattivo che reattivo.

Per tale specifica finalità, presentiamo di seguito un insieme strutturato di misure che permettono ai soggetti essenziali di gestire efficacemente i controlli e le ispezioni delle autorità competenti. Queste strategie, progettate per garantire conformità e resilienza, sono comunque applicabili anche ai soggetti importanti.

Attenzione: per questi ultimi non è richiesta un’implementazione integrale delle misure proposte. Pertanto, queste possono essere adottate selettivamente mediante la tecnica dello “handpicking”,[1] consentendo così un adattamento flessibile alle specifiche esigenze e risorse disponibili.

Misure complementari per la procedura

A integrazione degli elementi precedenti va anche considerato che:

1. l’organo di governo dell’organizzazione deve conferire la delega al rappresentante legale per poter prendere decisioni per “garantire il rispetto di quanto richiesto dalla direttiva NIS 2” come previsto dall’art. 32 paragrafo 6);
2. tutti i controlli previsti devono mirare a verificare la capacità di reazione dell’organizzazione considerando che deve essere tutelata la riservatezza, integrità disponibilità ed autenticità dei dati;
3. le misure sopra identificate vanno richieste anche ai fornitori che risultano critici per garantire le prestazioni dell’organizzazione. Analogamente le misure potranno essere testate presso i fornitori pianificando audit e/o richiedendo documenti, ovvero applicando misure simili a quelle previste per le stesse organizzazioni;
4. l’organizzazione critica dovrebbe integrare la propria procedura relativa alla gestione delle “Non Conformità” (NC) per adottare, in tempi rapidi ed in modo efficace, le istruzioni vincolanti emesse dall’autorità come previsto dall’art. 32 al paragrafo 4, lettera b);
5. deve essere definita una modalità per rendere pubblici gli eventuali aspetti delle violazioni della NIS 2, da parte dell’organizzazione e su richiesta dell’autorità, secondo le modalità specificate da quest’ultima, come prescritto dall’art. 32, paragrafo 4, lettera h);
6. le procedure di cui sopra, unitamente ad attività di formazione mirata e ad eventuali simulazioni, devono essere strettamente finalizzate ad evitare che alcun ostacolo sia posto dall’organizzazione in sede di audit e/o monitoraggio da parte dell’autorità come previsto dall’art. 32, paragrafo 7, sottoparagrafo iv);
7. il codice di comportamento/codice etico deve vietare ai collaboratori dell’organizzazione di fornire informazioni false o inesatte relativamente alle misure adottate come indicato dall’art. 32, paragrafo 7, sottoparagrafo iv);
8. le misure poste in atto devono comunque essere rivalutate nel caso di innovazioni tecnologiche e/o ampliamento del perimetro delle attività aziendali destinatarie della Direttiva NIS 2 o, ancora, laddove l’azienda cambiasse il suo stato da essenziale ad importante o ancora rientrasse nel contesto della NIS 2 laddove prima ne fosse stata esclusa;
9. ulteriori e più dettagliate misure, sia di carattere reattivo che proattivo, potranno essere definite, in esito alle determinazioni del Legislatore Nazionale all’atto del recepimento della Direttiva NIS 2.

Funzione di salvaguardia per le certificazioni e la governance

L’applicazione efficace di tali misure serve anche a scongiurare quanto previsto dall’art. 32, paragrafo 5, secondo il quale, qualora dette misure non vengano adottate entro il termine stabilito, gli Stati membri devono prevedere che le proprie autorità competenti abbiano il potere di:

1. sospendere temporaneamente o chiedere a un organismo di certificazione o autorizzazione, oppure a un organo giurisdizionale, secondo il diritto nazionale, di sospendere temporaneamente un certificato o un’autorizzazione relativi a una parte o alla totalità dei servizi o delle attività pertinenti svolti dal soggetto essenziale;
2. chiedere che gli organismi o gli organi giurisdizionali pertinenti, secondo il diritto nazionale, vietino temporaneamente a qualsiasi persona che svolga funzioni dirigenziali a livello di amministratore delegato o rappresentante legale in tale soggetto essenziale di svolgere funzioni dirigenziali in tale soggetto.

Conclusioni

La direttiva NIS 2 è volta a garantire un livello comune elevato di cibersicurezza nell’Unione in modo da migliorare il funzionamento del mercato interno. Ciò perché la cibersicurezza è un fattore abilitante fondamentale per molti settori critici, affinché questi possano attuare con successo la trasformazione digitale e cogliere appieno i vantaggi economici, sociali e sostenibili della digitalizzazione.

Prepararsi a questa direttiva richiede un impegno reattivo, ma soprattutto proattivo da parte dei soggetti essenziali ed importanti per sviluppare e implementare procedure efficaci per gestire i controlli da parte delle autorità competenti.

Riteniamo che, ispirandosi alle linee di azione delineate in questo articolo, le organizzazioni possano assicurarsi di essere pronte a soddisfare i nuovi requisiti di sicurezza, contribuendo così a un ambiente digitale più sicuro e resiliente a tutela di tutte le parti interessate.

Siamo anche consapevoli dell’importanza di approfondire il tema della gestione delle ispezioni condotte dalle autorità competenti. È essenziale comprendere come prepararsi adeguatamente e quali comportamenti dovrebbero essere adottati durante tali ispezioni per ridurre al minimo i rischi connessi.

Tuttavia, queste indicazioni richiedono un’analisi dedicata e approfondita, che tratteremo in un prossimo articolo.

[1] Per “handpicking” intendiamo la selezione mirata e strategica di singole misure o pratiche da un insieme più ampio, adottando solo quelle più rilevanti o vantaggiose per le specifiche esigenze e risorse di un’organizzazione. Questa metodologia permette un’implementazione flessibile ed efficiente, ottimizzando l’applicazione delle risorse disponibili senza compromettere la conformità o la qualità.