DIRETTIVA NIS 2. Obblighi in materia di sicurezza e notifica degli incidenti

Il primo comma dell’articolo 16 richiede che gli stati membri si attivino presso i fornitori di servizi essenziali affinchè adottino misure di sicurezza commisurati ai rischi alla sicurezza della rete e dei sistemi informativi. In particolare tenuto conto delle conoscenze più aggiornate, tali misure devono assicurare un livello di protezione della rete e dei sistemi informativi adeguato al rischio esistente e tenendo conto dei seguenti elementi:

1. la sicurezza dei sistemi e degli impianti;
2. trattamento degli incidenti;
3. gestione della continuità operativa;
4. monitoraggio, audit e test;
5. conformità con le norme internazionali.

In caso di data breach i fornitori di servizi digitali devono notificare senza indebito ritardo all'autorità competente o al CSIRT,  Computer Security Incident Response Team, qualsiasi incidente avente un impatto rilevante sulla fornitura di un servizio di cui all'allegato III che essi offrono all'interno dell'Unione. Le notifiche includono le informazioni che consentono all'autorità competente o al CSIRT di determinare la rilevanza di qualsiasi impatto transfrontaliero. La notifica non espone la parte che la effettua a una maggiore responsabilità.

La Direttiva fissa anche dei parametri per la valutazione dell’incidente:

1. il numero di utenti interessati dall'incidente, in particolare gli utenti che dipendono dal servizio per la fornitura dei propri servizi;
2. la durata dell'incidente;
3. la diffusione geografica relativamente all'area interessata dall'incidente;
4. la portata della perturbazione del funzionamento del servizio;
5. la portata dell'impatto sulle attività economiche e sociali.

Tali misure non si applicano agli FSD se sono micro o piccole imprese, secondo la definizione della raccomandazione 2003/361/CE della Commissione:

• micro impresa - meno di 10 occupati e un fatturato annuo oppure un totale di bilancio annuo non superiore a 2 milioni di euro;
• piccola impresa - meno di 50 occupati e un fatturato annuo oppure un totale di bilancio annuo non superiore a 10 milioni di euro;
• media impresa - meno di 250 occupati e un fatturato annuo non superiore a 50 milioni di euro oppure un totale bilancio annuo non superiore a 43 milioni di euro.

L’articolo 21 stabilisce che gli Stati membri definiscano le sanzioni da irrogare in caso di violazione delle disposizioni nazionali di attuazione della direttiva e adottano tutti i provvedimenti necessari per la loro applicazione. Le sanzioni previste sono effettive, proporzionate e dissuasive.

Natale Castelliti