Sicurezza delle reti e dei sistemi informativi

PUNTI CHIAVE

La cibersicurezza riguarda le attività necessarie per proteggere le reti e i sistemi informatici, gli utenti di tali sistemi e altre persone colpite da minacce informatiche.

Settori critici

La direttiva si applica principalmente agli organismi di medie e grandi dimensioni che operano nei seguenti settori ad alta criticità, come definiti nell’allegato I:

• energia;
  • energia elettrica, compresi i sistemi di produzione, distribuzione e trasmissione e i punti di ricarica;
  • teleriscaldamento e teleraffreddamento;
  • petrolio, compresi oleodotti di produzione, deposito e trasmissione;
  • gas, compresi i sistemi di fornitura, distribuzione, trasmissione e lo stoccaggio;
  • idrogeno;
• trasporto aereo, ferroviario, per vie d’acqua e su strada;
• infrastrutture bancarie e dei mercati finanziari quali enti creditizi, gestori delle sedi di negoziazione e controparti centrali;
• settore sanitario, compresi prestatori di assistenza sanitaria, soggetti che fabbricano prodotti farmaceutici di base e dispositivi medici critici e laboratori di riferimento dell’Unione;
• acqua potabile;
• acque reflue;
• infrastruttura digitale, compresi fornitori di servizi di data center, servizi di cloud computing, reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
• servizi gestiti dalle TIC (business-to-business);
• spazio;
• amministrazione pubblica a livello centrale e regionale, esclusi il potere giudiziario, i parlamenti e le banche centrali; la direttiva non si applica agli enti pubblici che svolgono attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’applicazione della legge.

Si applica inoltre ad altri settori critici, come definiti nell’allegato II:

• servizi postali e di corriere;
• gestione dei rifiuti;
• fabbricazione, produzione e distribuzione di prodotti chimici;
• produzione, trasformazione e distribuzione di alimenti;
• fabbricazione, in particolare di dispositivi medici, computer, prodotti di elettronica e ottica, determinate apparecchiature elettriche e macchinari, veicoli a motori e altri mezzi di trasporto;
• fornitori di servizi digitali di mercati online, motori di ricerca e reti sociali;
• organizzazioni di ricerca.

Strategia nazionale per la cibersicurezza

Ogni Stato membro deve adottare una strategia nazionale per raggiungere e mantenere un elevato livello di cibersicurezza nei settori critici, tra cui:

• un quadro di governance che chiarisca i ruoli e le responsabilità dei pertinenti portatori di interessi a livello nazionale;
• politiche relative alla sicurezza delle catene di approvvigionamento;
• politiche di gestione delle vulnerabilità;
• politiche di promozione e sviluppo dell’istruzione e della formazione sulla cibersicurezza;
• misure per migliorare la consapevolezza in materia di cibersicurezza tra la cittadinanza.

Gli Stati membri devono redigere un elenco di enti essenziali e importanti, insieme agli enti che forniscono servizi di registrazione dei nomi di dominio, entro il 17 aprile 2025. Devono riesaminare e, se del caso, aggiornare tale elenco regolarmente e, successivamente, almeno ogni due anni. La Commissione europea ha adottato degli orientamenti relativi alle informazioni che devono essere raccolte al momento della stesura di tali elenchi, nonché un modello per la loro compilazione.

La Commissione ha inoltre pubblicato orientamenti che chiariscono le norme sulla relazione tra la direttiva (UE) 2022/2555 e gli atti giuridici settoriali dell’Unione, attuali e futuri, che affrontano le misure di gestione del rischio per la cibersicurezza o gli obblighi di segnalazione degli incidenti. L’appendice agli orientamenti fornisce un elenco non esaustivo degli atti giuridici settoriali che la Commissione ritiene rientrino nell’ambito di applicazione dell’articolo 4 della direttiva (UE) 2022/2555.

Team di risposta agli incidenti di sicurezza informatica

I team di risposta agli incidenti di sicurezza informatica (CSIRT) forniscono assistenza tecnica ai soggetti, attraverso:

• il monitoraggio e l’analisi delle minacce informatiche, delle vulnerabilità e degli incidenti a livello nazionale;
• l’emissione di preallarmi, allerte e bollettini e la divulgazione di informazioni ai soggetti interessati e agli altri portatori di interessi pertinenti, in merito a minacce informatiche, vulnerabilità e incidenti, se possibile in tempo prossimo al reale;
• la risposta agli incidenti e l’assistenza, se del caso;
• la raccolta e l’analisi di dati forensi, fornendo un’analisi dinamica dei rischi e degli incidenti, nonché una consapevolezza situazionale riguardo alla cibersicurezza;
• l’effettuazione, su richiesta, di una scansione proattiva dei sistemi informatici e di rete per rilevare le vulnerabilità con un impatto potenzialmente significativo.

Rete di CSIRT

La direttiva stabilisce una rete di CSIRT nazionali al fine di promuovere una cooperazione operativa rapida ed efficace.

Divulgazione coordinata delle vulnerabilità

Gli Stati membri devono:

• designare uno dei loro CSIRT per coordinare la divulgazione delle vulnerabilità individuate nei prodotti o servizi TIC; e
• fare in modo che le persone negli Stati membri siano in grado di segnalare vulnerabilità in forma anonima, qualora lo richiedano.

L’Agenzia dell’Unione europea per la cibersicurezza (ENISA) istituirà e manterrà una banca dati europea delle vulnerabilità.

Gruppo di cooperazione

La direttiva istituisce un gruppo di cooperazione per sostenere e facilitare la cooperazione strategica e lo scambio di informazioni. È composto da rappresentanti degli Stati membri, della Commissione e dell’ENISA. Se del caso, il gruppo di cooperazione può invitare il Parlamento europeo e i rappresentanti dei portatori di interessi pertinenti a partecipare ai lavori.

Rete europea delle organizzazioni di collegamento per le crisi informatiche

La rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe) comprende rappresentanti delle autorità di gestione delle crisi informatiche degli Stati membri, insieme alla Commissione nei casi in cui un incidente di cibersicurezza su vasta scala potenziale o in corso abbia o possa avere un impatto significativo sui settori contemplati dalla direttiva. Negli altri casi, la Commissione partecipa alle attività della rete in qualità di osservatrice.

La rete sostiene la gestione coordinata degli incidenti di cibersicurezza su vasta scala a livello operativo e garantisce lo scambio regolare di informazioni tra gli Stati membri e le istituzioni, gli organi, gli uffici e le agenzie dell’Unione.

La rete è inoltre incaricata di:

• coordinare la gestione degli incidenti e delle crisi di cibersicurezza su vasta scala e sostenere il processo decisionale a livello politico;
• aumentare il livello di preparazione;
• sviluppare una conoscenza situazionale condivisa;
• valutare le conseguenze e l’impatto dei pertinenti incidenti e delle pertinenti crisi di cibersicurezza su vasta scala e proporre possibili misure di attenuazione.

Misure di gestione dei rischi per la cibersicurezza

I soggetti devono adottare misure tecniche, operative e organizzative appropriate per la gestione dei rischi legati alla cibersicurezza. Il catalogo delle misure comprende, tra l’altro, le politiche di sicurezza dell’analisi dei rischi e del sistema informatico, la gestione degli incidenti, la continuità operativa, la gestione delle crisi e il conseguente recupero, la sicurezza della catena di approvvigionamento, la gestione e la divulgazione della vulnerabilità, le pratiche igieniche di base, le politiche e le procedure relative all’uso della crittografia (e della cifratura, se del caso), la sicurezza delle risorse umane e l’utilizzo di soluzioni di autenticazione a più fattori o di autenticazione continua. Tali misure devono basarsi su un approccio multirischio.

Gli organi di gestione devono approvare tali misure e sovrintenderne l’attuazione e possono essere ritenuti responsabili per le infrazioni.

Segnalazione

I soggetti devono notificare al loro CSIRT o all’autorità competente qualsiasi incidente che:

• ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
• si è ripercosso o è in grado di ripercuotersi su altre persone causando perdite materiali o immateriali considerevoli.

Inoltre, l’ENISA produrrà, congiuntamente alla Commissione e al gruppo di cooperazione, una relazione biennale sullo stato della cibersicurezza nell’Unione, che sarà anche presentata al Parlamento.

Vigilanza ed esecuzione

La direttiva prevede misure e sanzioni per garantire l’esecuzione.

Revisioni tra pari

Vengono introdotte revisioni tra pari per trarre insegnamenti dalle esperienze condivise, rafforzare la fiducia reciproca e conseguire un livello comune elevato di cibersicurezza, migliorare le capacità e le politiche in materia di cibersicurezza degli Stati membri necessarie per l’attuazione della presente direttiva. Tali revisioni comportano visite in loco o virtuali e scambi di informazioni a distanza. La partecipazione a tali revisioni tra pari è volontaria.

Atto di esecuzione

Il regolamento di esecuzione (UE) 2024/2690 stabilisce le norme per l’applicazione della direttiva (UE) 2022/2555 per quanto riguarda i requisiti tecnici e metodologici delle misure di gestione del rischio per la cibersicurezza e specifica inoltre i casi in cui un incidente è considerato significativo per quanto riguarda:

• fornitori di servizi di sistema per nomi di dominio;
• registri dei nomi di dominio di primo livello;
• fornitori di servizi di cloud computing;
• fornitori di servizi di data center;
• fornitori di reti di distribuzione dei contenuti;
• fornitori di servizi gestiti;
• fornitori di servizi di sicurezza gestiti;
• fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network; e
• prestatori di servizi fiduciari.

Abrogazione

La direttiva (UE) 2022/2555 ha abrogato la direttiva (UE) 2016/1148 (si veda la sintesi) a partire dal 18 ottobre 2024, e il regolamento di esecuzione (UE) 2024/2690 ha abrogato il regolamento di esecuzione (UE) 2018/151, che ha stabilito le norme per l’applicazione della direttiva (UE) 2016/1148.