La Direttiva NIS 2 rappresenta un punto cardine all’interno del quadro normativo europeo in materia di cybersecurity, puntando a rafforzare la resilienza e la sicurezza dei soggetti essenziali e importanti nell’Unione Europea. Per valutarne l’efficacia, è fondamentale comprendere come questa interagisce con le altre normative europee di settore, in un’ottica di compliance integrata.
La compliance integrata rappresenta un approccio sinergico alla conformità normativa, che mira a gestire e ottimizzare l’adozione di più regolamentazioni interconnesse all’interno di un’unica strategia aziendale. In ambito cybersecurity, significa adottare misure, procedure e controlli che soddisfino contemporaneamente i requisiti previsti da normative diverse, evitando duplicazioni e migliorando l’efficienza organizzativa.
Nel contesto della Direttiva NIS 2, la compliance integrata assume particolare rilievo, dato il fitto intreccio con altri regolamenti, come il GDPR, il Regolamento DORA, il Cybersecurity Act e l’AI Act.
I rapporti tra la NIS 2 e il GDPR
La NIS 2 e il Regolamento UE 2016/679 (GDPR) interagiscono su diversi livelli, condividendo l’obiettivo comune di proteggere sistemi informativi e dati personali.
- Notifica degli incidenti: Entrambe le normative richiedono la segnalazione di incidenti di sicurezza, ma con focus differenti:
- Il GDPR si concentra sulle violazioni di dati personali (data breach), imponendo la notifica all’autorità di controllo e, in alcuni casi, agli interessati.
- La NIS 2 impone la notifica di incidenti significativi che impattano la sicurezza delle reti e dei sistemi informativi alle autorità competenti.
- Valutazione del rischio e misure di sicurezza:
- Il GDPR pone enfasi sui rischi per i diritti e le libertà delle persone fisiche.
- La NIS 2, invece, si concentra sui rischi per la sicurezza dei sistemi e delle reti che possono compromettere servizi essenziali.
- Cooperazione tra autorità: La NIS 2, all’articolo 31 paragrafo 3, stabilisce la cooperazione tra le autorità competenti per la cybersecurity e quelle di controllo del GDPR nei casi di violazioni che coinvolgono dati personali.
L’integrazione di queste due normative richiede alle organizzazioni di adottare un approccio coordinato e olistico per garantire sia la protezione dei dati personali che la resilienza delle infrastrutture digitali.
NIS 2 e Regolamento DORA
Il Regolamento DORA (UE 2022/2554) introduce obblighi specifici per la resilienza operativa digitale nel settore finanziario, con focus sulle tecnologie dell’informazione e della comunicazione (TIC).
Il DORA si applica esclusivamente a soggetti del settore finanziario, come:
- Banche
- Società di gestione
- Imprese di investimento
- Fornitori di servizi per le cripto-attività
- Intermediari assicurativi
In questo contesto, il DORA rappresenta una lex specialis rispetto alla NIS 2. Pertanto, i soggetti che rientrano nel campo di applicazione del DORA sono esonerati dalla conformità alla NIS 2, poiché le misure previste dal DORA sono considerate almeno equivalenti a quelle della Direttiva NIS 2. Questo è sancito dalla Commissione Europea attraverso specifici orientamenti che regolano la priorità di applicazione tra i due atti normativi.
Le organizzazioni finanziarie, quindi, devono concentrarsi sulla compliance al DORA, che include:
- Gestione dei rischi legati alle TIC
- Reporting obbligatorio sugli incidenti informatici
- Test di resilienza operativa
- Monitoraggio e controllo dei fornitori terzi di servizi TIC
NIS 2 e il Cybersecurity Act
Il Cybersecurity Act (Regolamento UE 2019/881) completa il quadro normativo europeo in materia di sicurezza informatica, introducendo un sistema europeo di certificazione della sicurezza informatica e rafforzando il ruolo dell’ENISA (Agenzia dell’UE per la cybersecurity).
I principali punti di contatto tra la NIS 2 e il Cybersecurity Act sono:
- Complementarità degli obiettivi: La NIS 2 mira a garantire la cyber resilienza delle reti e dei sistemi informativi, mentre il Cybersecurity Act si focalizza sulla certificazione di prodotti, servizi e processi ICT. Insieme, offrono un quadro completo per la sicurezza informatica nell’UE.
- Ruolo chiave dell’ENISA: L’ENISA supporta l’attuazione della NIS 2, facilitando la cooperazione tra gli Stati membri e promuovendo lo scambio di informazioni sulla sicurezza informatica.
- Certificazione e resilienza: La NIS 2 incentiva l’adozione di misure tecniche e organizzative, mentre il Cybersecurity Act fornisce un quadro di riferimento per la certificazione volontaria delle soluzioni ICT, promuovendo la fiducia nei prodotti e servizi digitali.
NIS 2 e l’AI Act
Il Regolamento sull’Intelligenza Artificiale (AI Act), attualmente in fase di adozione definitiva, rappresenta un quadro normativo volto a garantire lo sviluppo e l’uso sicuro dell’intelligenza artificiale nell’UE. Sebbene la NIS 2 e l’AI Act abbiano focus differenti, emergono alcune aree di intersezione:
- Resilienza e sicurezza: L’AI Act stabilisce requisiti di sicurezza per i sistemi di intelligenza artificiale, in particolare per quelli ad alto rischio. La NIS 2, dal canto suo, mira a garantire la sicurezza delle reti e dei sistemi informativi che potrebbero ospitare o interagire con tali sistemi AI.
- Gestione dei rischi: Entrambe le normative richiedono un approccio basato sulla valutazione del rischio. L’AI Act introduce obblighi per la valutazione dei rischi derivanti dai sistemi di IA, mentre la NIS 2 richiede di valutare i rischi legati alla sicurezza informatica.
- Notifica degli incidenti: Eventuali incidenti significativi legati a sistemi AI che compromettono la sicurezza delle reti o dei sistemi informativi potrebbero ricadere anche negli obblighi di notifica previsti dalla NIS 2.
L’integrazione tra NIS 2 e AI Act rappresenta un elemento chiave per garantire che l’intelligenza artificiale venga sviluppata e utilizzata all’interno di un contesto digitale resiliente e sicuro.
Conclusioni
La Direttiva NIS 2 si inserisce all’interno di un ecosistema normativo europeo già complesso, promuovendo un approccio integrato alla cybersecurity. La compliance integrata diventa quindi un elemento essenziale per le organizzazioni soggette a più normative, come GDPR, DORA, Cybersecurity Act e AI Act.
La chiave per l’efficacia della NIS 2 risiede nella capacità di armonizzare le diverse normative, adottando strategie coordinate e misure di sicurezza che rispondano ai molteplici requisiti normativi. Le organizzazioni dovranno quindi porre attenzione non solo al recepimento della NIS 2 nei singoli Stati membri, ma anche all’integrazione con gli altri strumenti legislativi, al fine di costruire un ambiente digitale resiliente, sicuro e conforme.