Cibersicurezza comune nell’Unione: nella Direttiva 2022/2555 le regole per i Soggetti essenziali e importanti

Antonio Mazzuca

3 anni fa

In Gazzetta europea la DIRETTIVA (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 che stabilisce misure per un livello comune elevato di cibersicurezza nell’Unione. Ciò non impedisce agli Stati membri di adottare o mantenere disposizioni con un livello più elevato di cibersicurezza, a condizione che tali disposizioni siano coerenti con gli obblighi degli Stati membri stabiliti dal diritto dell’Unione.

Cosa prevede la direttiva? A chi si applica e da quando? E quali obblighi comuni sono regolamentati?

Nell'articolo

Toggle

La DIRETTIVA (UE) 2022/2555, sulla Cibersicurezza comune in Europa

La Direttiva mira a garantire un livello comune elevato di cibersicurezza nell’Unione e così migliorare il funzionamento del mercato interno.

Cibersicurezza. I soggetti europei

Indica all’art. 1 le regole e le misure comuni da seguire per la cibersicurezza ed individua (art.2) i soggetti obbligati (privati e pubblici, con esclusioni specifiche da parte degli stati). Definisce poi (art.3) i cd. “Soggetti essenziali e importanti” (privati e pubblici) che siano operatori di servizi essenziali e rimanda al 17 aprile 2025 il termine ultimo per la loro completa definizione da parte degli Stati.

Gli strumenti a disposizione

Nel Capo II si trovano le norme sui QUADRI COORDINATI IN MATERIA DI CIBERSICUREZZA e vi figura il richiamo alla “Strategia nazionale per la cibersicurezza” (art.7) e alle Autorità competenti e punti di contatto unici (art.8) oltre ai riferimenti ai Quadri nazionali di gestione delle crisi informatiche (art.9). L’art. 10 prevede la costituzione di un Team di risposta agli incidenti di sicurezza informatica (CSIRT) definendone requisiti e compiti (art.11) e la loro funzione di divulgazione coordinata delle vulnerabilità (art. 12). Si fa quindi riferimento (art.12) alla “banca dati europea delle vulnerabilità” elaborata e manutenuta da ENISA.

Collaborazione europea e internazionale per la Cibersicurezza

Le autorità competenti, il punto di contatto unico e i CSIRT dello stesso Stato membro dovranno collaborare (art.13) per ricevere le notifiche degli incidenti significativi (articolo 23), e degli incidenti, delle minacce informatiche e dei quasi incidenti (near miss regolati all’articolo 30).

Nel CAPO III è regolata la COOPERAZIONE A LIVELLO DELL’UNIONE E INTERNAZIONALE che comprende rappresentanti degli Stati membri, della Commissione e dell’ENISA (art.14) oltre ad una rete dei CSIRT nazionali (art.15). Si istituisce anche EU-CyCLONe una rete che ha il fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di cibersicurezza su vasta scala e di garantire il regolare scambio di informazioni pertinenti tra gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione.

Si impone poi ad ENISA (art.18) di diffondere ogni due anni una relazione sullo stato della cibersicurezza nell’Unione e la presenta al Parlamento europeo ed il meccanismo della “revisione fra pari” da definire entro il 17 gennaio 2025.

Come gestire il rischio di cibersicurezza e segnalazione

Nel CAPO IV tutte le MISURE DI GESTIONE DEL RISCHIO DI CIBERSICUREZZA E OBBLIGHI DI SEGNALAZIONE che sono attività di governance (art.20). Si tratta di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, e per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi (art.21). Ma ci sono anche obblighi per i “soggetti essenziali”, di segnalazione (art.23) di eventuali incidenti che hanno un impatto significativo sulla fornitura dei loro servizi, certificando (art.24) prodotti TIC, servizi TIC e processi TIC, nell’ambito dei sistemi europei di certificazione della cibersicurezza.

DIRETTIVA (UE) 2022/2555: Cibersicurezza, gli obblighi comuni

La DIRETTIVA (UE) 2022/2555 stabilisce (art.1):

obblighi che impongono agli Stati membri di adottare strategie nazionali in materia di cibersicurezza e di designare o creare autorità nazionali competenti, autorità di gestione delle crisi informatiche, punti di contatto unici in materia di sicurezza (punti di contatto unici) e team di risposta agli incidenti di sicurezza informatica (CSIRT) (Capo V);
misure in materia di gestione dei rischi di cibersicurezza e obblighi di segnalazione per i soggetti di un tipo di cui all’allegato I o II nonché per soggetti identificati come critici ai sensi della direttiva (UE) 2022/2557 (Capo IV);
norme e obblighi in materia di condivisione delle informazioni sulla cibersicurezza (Capo VI);
obblighi in materia di vigilanza ed esecuzione per gli Stati membri (Capo VII).

Cibersicurezza, a chi si applica la Direttiva 2022/255?

La Direttiva si applica ai soggetti (art.2)

pubblici (gli Stati possono applicarla ad enti della pubblica amministrazione a livello locale e istituti di istruzione, in particolare ove svolgano attività di ricerca critiche); sono esclusi enti della pubblica amministrazione che svolgono le loro attività nei settori della sicurezza nazionale, della pubblica sicurezza o della difesa, del contrasto, comprese la prevenzione, le indagini, l’accertamento e il perseguimento dei reati.
privati (tipologie in allegato I o II) considerati “medie imprese” (ai sensi della raccomandazione 2003/361/CE), o che superano i massimali per le medie imprese e che prestano i loro servizi o svolgono le loro attività all’interno dell’Unione.
“critici”, indipendentemente dalle loro dimensioni, (ai sensi della direttiva (UE) 2022/2557)
che forniscono servizi di registrazione dei nomi di dominio.

La Direttiva non si applica a tutti quei soggetti che sono obbligati da atti giuridici settoriali dell’Unione (art.4) ad adottare misure di gestione dei rischi di cibersicurezza o di notificare gli incidenti significativi.

Cibersicurezza: da quando si applica la Direttiva 2022/2555

Entro il 17 ottobre 2024, gli Stati membri dovranno adottare e pubblicare le misure necessarie per conformarsi alla direttiva, le cui disposizioni si applicano a decorrere dal 18 ottobre 2024.

La Direttiva modifica (artt.42-44)

il regolamento (UE) n. 910/2014 (in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche);
la direttiva (UE) 2018/1972 (che istituisce il codice europeo delle comunicazioni elettroniche);
ed abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) sulla sicurezza delle reti e dei sistemi informativi nell’Unione.

Cibersicurezza e protezione dei dati: informazione e formazione per il professionista della Security

Come proteggersi da un attacco Hacker?
InSic suggerisce la consultazione del seguente Libro di EPC Editore:

Cybersecurity e cyberwarfare
Caria Giovanni Battista, Iaselli Michele
Libro
Edizione: gennaio 2023

L’opera che vede come curatori e in parte anche autori Michele Iaselli e Giovanni Caria con il coinvolgimento di esperti di sicurezza informatica e giuristi specializzati nel settore, ha come focus la cyberwar intesa come l’uso di computer e di reti per attaccare o difendersi nel cyberspazio e più nello specifico la cyberwarfare intesa come attacchi informatici condotti non contro singole aziende, ma contro intere nazioni.

Per formarsi in materia di CyberSecurity, consigliamo il Corso di Istituto informa:

Cyber Security e Cyber Strategy Aziendale
data di inizio 27/06/2023

Corso di formazione che esplora i concetti fondamentali in tema di cyber security anche alla luce dei recenti mutamenti normativi introdotti (es. Direttiva NIS, GDPR, ecc.), con particolare riferimento alle metodologie di valutazione dei rischi ed alle best practices internazionali.

Valido come Aggiornamento per “Professionista della security”, “DPO”, “HSE Manager” e “Auditor/Esperto 231” certificati da ICMQ/CERSA (8 crediti formativi)

InSic suggerisce le seguenti News in materia di normativa nazionale ed europea in materia di Cyberiscurezza.

Agenzia per la Cybersicurezza Nazionale: cos’è e come funziona – Aggiornamenti (DPCM 1 settembre 2022)

Il Consiglio dei Ministri approva un Decreto-Legge che istituisce l’Agenzia per la Cybersicurezza: ecco cosa farà e come opererà e qual è la Strategia Nazionale di Cybersicurezza da implementare.

Certificazione di Cybersicurezza: il Decreto di adeguamento alla normativa europea

Il D.Lgs. n. 123/22 adegua la normativa UE del Reg.n.2019/881 in materia di certificazione, vigilanza e controllo dei certificati: leggi l’analisi del Decreto su InSic!