Che la cybersecurity sia una questione di rilevanza strategica per la sicurezza nazionale di ogni Paese moderno, sia in UE che nel resto del mondo, è ormai acclarato.

D’altra parte, l’aumento costante degli attacchi informatici che, facendo leva sulla digitalizzazione globale, mirano in modo sempre più trasversale a tutti i settori e a tutti i livelli della struttura sociale ed economica, pone la necessità di rispondere in modo più efficace alle crescenti minacce.

Per questo, con alcuni regolamenti e direttive adottati il 14 Dicembre 2022, il Parlamento e il Consiglio della UE hanno introdotto importanti novità nella normativa riguardante la gestione della sicurezza informatica e della resilienza operativa nell’Unione. Si tratta dei seguenti:

• Reg. (UE) 2022/2554 – Regolamento DORA
• Dir. (UE) 2022/2555 – Direttiva NIS2
• Dir. (UE) 2022/2556 – Direttiva DORA
• Dir. (UE) 2022/2557 – Direttiva CER

Le varie norme affrontano aspetti diversi ma legati allo stesso obiettivo comune, volto a fronteggiare adeguatamente le minacce che possono compromettere la sicurezza delle informazioni o la continuità operativa in settori ritenuti critici per il funzionamento delle attività essenziali e la convivenza dei cittadini europei.

DORA – Digital Operational Resilience Act

Il tema affrontato da DORA riguarda in modo specifico la resilienza operativa digitale per il settore finanziario e assicurativo.

Quello della fornitura di servizi finanziari è infatti un settore nel quale l’uso delle tecnologie digitali ha conquistato un ruolo essenziale, al punto da acquisire un’importanza critica nell’esecuzione delle consuete funzioni quotidiane di qualsiasi entità finanziaria. Si pensi ad esempio ai pagamenti digitali sempre più diffusi, nonché alla compensazione e regolamento dei titoli, alla negoziazione elettronica, ai prestiti e ai finanziamenti, alla gestione dei crediti, fino alle normali operazioni di back-office.

Lo stesso vale per il settore assicurativo, che grazie all’ICT si è trasformato facendo emergere nuove figure come gli intermediari digitali, i quali operano completamente online dall’offerta dei servizi fino alla sottoscrizione di assicurazioni digitali.

La digitalizzazione spinta ha reso più marcate le interconnessioni e le dipendenze sia all’interno di questi settori che nei confronti di fornitori terzi di infrastrutture e servizi: gravi violazioni informatiche che si verifichino nel settore finanziario/assicurativo non si limitano a colpire entità isolate, bensì spianano anche la strada alla propagazione di vulnerabilità attraverso tutti i canali di trasmissione finanziaria e possono provocare conseguenze avverse per la stabilità del sistema finanziario dell’intera UE, dando luogo ad esempio a pressanti richieste di rimborsi e a una generale perdita di fiducia nei mercati finanziari.

Sebbene il settore finanziario dell’Unione fosse già regolamentato da un codice unico e disciplinato da un sistema europeo di vigilanza finanziaria, tuttavia le disposizioni sulla resilienza operativa digitale e sulla sicurezza informatica non erano ancora armonizzate in maniera completa o coerente, nonostante che la resilienza operativa rappresenti un elemento fondamentale della stabilità finanziaria e dell’integrità del mercato nell’era digitale.

Per questo motivo, con il Reg. (UE) 2022/2554 (regolamento DORA) l’Unione Europea ha voluto consolidare e aggiornare i requisiti in materia di rischi informatici nell’ambito dei requisiti in materia di rischi operativi, che precedentemente venivano trattati separatamente in vari atti giuridici dell’Unione: tramite il consolidamento e l’aggiornamento delle diverse norme sui rischi informatici, tutte le disposizioni in materia di rischio digitale nel settore finanziario sono state coerentemente riunite per la prima volta in un unico atto legislativo.

Non sorprende, dunque, che la normativa sia stata disciplinata a livello europeo attraverso un regolamento, che in quanto tale si applica direttamente a tutti gli Stati membri.

Le entità finanziarie rientravano tra i soggetti che la previgente direttiva NIS “Network and Information Security” del 2016 classificava come Operatori dei Servizi Essenziali (OSE), per l’identificazione dei quali veniva tuttavia lasciata una certa discrezionalità ai singoli Stati membri: la direttiva NIS2, uniformando i criteri per stabilire quali soggetti rientrino nel suo ambito di applicazione, ha confermato l’appartenenza delle entità finanziarie ai settori altamente critici.

Pertanto, benché le entità finanziarie siano sottoposte al regolamento DORA, che introduce requisiti più rigorosi in materia di gestione dei rischi informatici e segnalazione di incidenti informatici, restano tuttavia sottoposte anche alla direttiva NIS2 per ciò che riguarda gli aspetti che garantiscono la coerenza con le strategie di cybersicurezza adottate dagli Stati membri e permettono alle autorità di vigilanza finanziaria, nel quadro orizzontale di cybersicurezza dell’Unione, di venire a conoscenza degli incidenti informatici che colpiscono altri settori contemplati da tale direttiva. In effetti, il regolamento DORA costituisce una lex specialis della direttiva NIS2.

Il nuovo quadro normativo europeo applicabile alle entità finanziarie si completa con la Dir. (UE) 2022/2556 (direttiva DORA) che, attraverso l’adozione di apposite leggi nazionali che vadano a modificare ed aggiornare opportunamente le normative precedenti, vincola gli Stati membri al raggiungimento degli obiettivi di consolidamento e uniformità normativa introdotti dal regolamento DORA per quanto riguarda la resilienza operativa digitale del settore finanziario.

NIS2 – Network and Information Security

La direttiva (UE) 2016/1148 del 6 Luglio 2016 sulla sicurezza delle reti e dell’informazione (comunemente nota come direttiva NIS “Network and Information Security”) è stato il primo atto legislativo a livello europeo sulla sicurezza informatica, con l’obiettivo specifico di raggiungere un elevato livello comune di cybersicurezza in tutti gli Stati membri. Dalla sua entrata in vigore, sono stati compiuti progressi significativi nell’aumentare il livello di cyber-resilienza dell’Unione; tuttavia, nonostante i risultati ottenuti, tale direttiva ha mostrato alcune carenze che non le consentono di affrontare efficacemente le nuove sfide emergenti in materia di cybersicurezza.

La Dir. (UE) 2022/2555 (direttiva “NIS2”), che sostituisce la previgente direttiva NIS, è stata quindi introdotta per rispondere alle crescenti minacce poste dalla digitalizzazione e dall’aumento degli attacchi informatici, in modo da rafforzare i requisiti di sicurezza, affrontare il problema della sicurezza delle catene di approvvigionamento, semplificare gli obblighi di segnalazione e introdurre misure di vigilanza più rigorose e requisiti di applicazione più severi, comprese sanzioni armonizzate nell’intera UE.

Inoltre, la NIS2 ha ampliato l’ambito di applicazione della normativa ad un maggior numero di entità e settori, contribuendo ad aumentare il livello di sicurezza informatica in Europa nel lungo periodo. La nuova direttiva, infatti, identifica ben 18 diversi settori di attività, distinti in due gruppi, che rientrano nel suo campo di applicazione:

• Settori altamente critici:
  1. Energia – con i sottosettori: a) Energia elettrica; b) Teleriscaldamento e teleraffrescamento; c) Petrolio; d) Gas; e) Idrogeno
  2. Trasporti – con i sottosettori: a) Trasporto aereo; b) Trasporto ferroviario; c) Trasporto per vie d’acqua; d) Trasporto su strada
  3. Settore bancario
  4. Infrastrutture dei mercati finanziari
  5. Settore sanitario
  6. Acqua potabile
  7. Acque reflue
  8. Infrastrutture digitali
  9. Gestione dei servizi ICT B2B
  10. Pubblica amministrazione
  11. Spazio
• Settori critici:
  1. Servizi postali e di corriere
  2. Gestione dei rifiuti
  3. Fabbricazione, produzione e distribuzione di sostanze chimiche
  4. Produzione, trasformazione e distribuzione di alimenti
  5. Fabbricazione – relativa ai sottosettori: a) dispositivi medici e dispositivi medico-diagnostici in vitro; b) computer e prodotti di elettronica e ottica; c) apparecchiature elettriche; d) macchinari e apparecchiature altre; e) autoveicoli, rimorchi e semirimorchi; f) altri mezzi di trasporto
  6. Fornitori di servizi digitali
  7. Ricerca

I soggetti interessati dalla disciplina sono operatori pubblici o privati appartenenti ai 18 settori elencati e che, in base alla loro dimensione e alla particolare attività svolta nell’ambito del settore di appartenenza, vengono distinti in due tipologie: soggetti essenziali e soggetti importanti. Naturalmente, ai soggetti essenziali si applicano misure di vigilanza ed esecuzione più stringenti, oltre che sanzioni più elevate, rispetto ai soggetti importanti.

Nel recepire la direttiva all’interno della propria normativa nazionale, ciascun Stato mebro può stabilire ulteriori criteri o categorie di settori per l’identificazione di soggetti interessati alla disciplina. In ogni caso, tra i soggetti che rientrano nel campo di applicazione della direttiva, indipendentemente dalla loro dimensione, sono inclusi tra gli altri:

• i soggetti critici di cui alla direttiva CER;
• i fornitori di servizi di registrazione di nomi a dominio.

Inoltre, i soggetti che appartengono ai gruppi 3 (settore bancario) e 4 (infastrutture dei mercati finanziari) dei settori altamente critici, rientrano tra gli operatori del mondo finanziario/assicurativo a cui si applicano i requisiti di sicurezza e resilienza informatica stabiliti dal regolamento DORA, in quanto lex specialis della direttiva NIS2.

La direttiva NIS2 introduce nuovi requisiti di gestione del rischio e di segnalazione degli incidenti a cui sono tenuti i soggetti interessati, richiedendo ai singoli Stati membri di provvedere affinché i soggetti essenziali e importanti adottino misure tecniche, operative ed organizzative adeguate per gestire i rischi di sicurezza informatica e per prevenire, o comunque ridurre al minimo, l’impatto di eventuali incidenti.

Tali misure devono essere basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti, e comprendono almeno gli elementi seguenti:

1. politiche di analisi dei rischi e di sicurezza dei sistemi informatici;
2. gestione degli incidenti;
3. continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
4. sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
5. sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
6. strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza;
7. pratiche di igiene informatica di base e formazione in materia di cibersicurezza;
8. politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
9. sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi (beni e risorse aziendali);
10. uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

Inoltre, i soggetti essenziali e importanti sono tenuti a notificare alle autorità nazionali competenti, senza indebito ritardo e comunque con un preallarme entro 24 ore, eventuali incidenti che hanno un impatto significativo sulla fornitura dei propri servizi. Gli incidenti significativi sono tali se:

1. hanno causato o sono in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
2. si possono ripercuotere (o già lo hanno fatto) su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

La direttiva NIS2 affronta la problematiche connesse alla gestione della sicurezza e della resilienza dal punto di vista prettamente informatico. Gli aspetti di sicurezza riguardanti in generale la gestione della resilienza operativa, che può essere minacciata anche da rischi di natura ambientale o umana, sono invece disciplinati dalla direttiva CER.

CER – Critical Entities Resilience

Alcuni soggetti, in quanto fornitori di “servizi fondamentali per il mantenimento di funzioni vitali della società, di attività economiche, della salute e della sicurezza pubbliche o dell’ambiente” (sinteticamente: servizi essenziali), svolgono un ruolo indispensabile in un’economia europea sempre più interdipendente. Si tratta di soggetti critici, per i quali l’UE ha definito un quadro normativo volto a rafforzarne la resilienza, attraverso norme minime armonizzate sul mercato interno, nonché ad assisterli mediante misure di sostegno e vigilanza coerenti e dedicate.

Con la Dir. (UE) 2022/2557 (direttiva “CER”), riguardante la resilienza dei soggetti critici, l’Unione Europea ha identificato i settori dei servizi essenziali, prescrivendo agli Stati membri l’individuazione dei soggetti critici appartenenti a tali settori (o ad ulteriori settori aggiuntivi ritenuti rilevanti dal singolo Stato membro) e l’adozione di misure specifiche volte a garantire che i servizi essenziali siano forniti senza impedimenti, sostenendo i soggetti critici nell’adempimento degli obblighi loro imposti.

I settori interessati dalla direttiva CER coincidono in larga misura con i settori altamente critici della direttiva NIS2. In particolare, la direttiva CER individua i seguenti:

1. Energia – con i sottosettori: a) Energia elettrica; b) Teleriscaldamento e teleraffrescamento; c) Petrolio; d) Gas; e) Idrogeno
2. Trasporti – con i sottosettori: a) Trasporto aereo; b) Trasporto ferroviario; c) Trasporto per vie d’acqua; d) Trasporto su strada; e) Trasporto pubblico
3. Settore bancario
4. Infrastrutture dei mercati finanziari
5. Salute (inclusi i soggetti titolari di autorizzazione di distrubuzione di medicinali per uso umano)
6. Acqua potabile
7. Acque reflue
8. Infrastrutture digitali
9. Pubblica amministrazione
10. Spazio
11. Produzione e trasformazione (su larga scala) e distribuzione (all’ingrosso) di alimenti

Ogni Stato membro redige l’elenco dei soggetti critici situati sul proprio territorio, e provvede a notificare a ciascuno di essi l’appartenenza a tale elenco che, data la particolare rilevanza dei servizi essenziali nell’ambito della sicurezza nazionale, naturalmente non è di dominio pubblico.

Entro 9 mesi dalla ricezione della notifica, e successivamente quando necessario e comunque almeno ogni 4 anni, i soggetti critici effettuano una valutazione del rischio che tenga conto di tutti i rischi rilevanti, sia naturali che di origine umana, che possono compromettere l’erogazione dei servizi essenziali forniti.

Per fronteggiare tali rischi, i soggetti critici devono applicare un piano di resilienza che descriva le misure tecniche, di sicurezza e organizzative adeguate e proporzionate, adottate sulla base di quanto disposto dallo Stato membro di appartenenza in attuazione della direttiva CER. Dal canto suo, la direttiva identifica comunque un elenco di misure necessarie per:

1. evitare il verificarsi di incidenti, attraverso misure di riduzione del rischio di catastrofi e di adattamento ai cambiamenti climatici;
2. assicurare un’adeguata protezione fisica dei propri siti e delle infrastrutture critiche, prendendo in considerazione, ad esempio, recinzioni, barriere, strumenti e routine di controllo del perimetro, impianti di rilevamento e controllo degli accessi;
3. contrastare e resistere alle conseguenze degli incidenti e mitigarle, analizzando procedure e protocolli di gestione dei rischi e delle crisi e pratiche di allerta;
4. ripristinare le proprie capacità operative in caso di incidenti, adottando misure di continuità operativa e individuando di catene di approvvigionamento alternative al fine di ripristinare la fornitura del servizio essenziale;
5. assicurare un’adeguata gestione della sicurezza del personale, considerando anche la definizione di categorie di personale che svolgono funzioni critiche (incluso il personale di fornitori esterni di servizi), l’introduzione di autorizzazioni di accesso ai siti e alle infrastrutture critiche, così come alle informazioni sensibili, e definendo adeguati requisiti di formazione e qualifiche;
6. sensibilizzare il personale interessato in merito alle suddette misure, prevedendo opportuni corsi di formazione, materiale informativo ed esercitazioni.

Come si può notare, e come del resto indica il nome stesso della norma, la direttiva CER si concentra principalmente sulle misure che i soggetti critici devono adottare per assicurare la propria resilienza operativa (ovvero: la capacità di poter fronteggiare e riprendersi da eventuali incidenti, di qualsiasi natura, che possono compromettere l’erogazione dei servizi). Gli aspetti connessi in modo specifico ai rischi di natura cyber restano invece disciplinati dalla direttiva NIS2, all’osservanza della quale è evidentemente tenuto anche un qualsiasi soggetto critico della direttiva CER.

Esistono tuttavia delle eccezioni riguardanti alcuni particolari settori dei servizi essenziali, per i quali la gestione della resilienza operativa è disciplinata da altre norme; infatti:

• il regolamento DORA affronta in modo specifico il tema della resilienza operativa digitale per gli operatori dei servizi bancari/assicurativi/finanziari (settori 3 e 4 dei servizi essenziali);
• la direttiva NIS2 affronta, con un approccio multi-rischio, il tema della sicurezza e resilienza informatica anche per i fornitori di infrastrutture digitali (settore 8 dei servizi essenziali), per i quali, in ragione della natura stessa della propria attività, la gestione della resilienza informatica è di fatto equiparata a quella operativa.

Per questo motivo, i soggetti critici appartenenti ai settori 3, 4 e 8 dei servizi essenziali sono esclusi dal campo di applicazione della direttiva CER, fatta eccezione per quanto riguarda le valutazioni generali di rischio da parte dello Stato membro di appartenenza e le relative misure di sostegno adottate per tali categorie di soggetti critici.