In questa intervista, discuteremo della Direttiva NIS2 con un approfondimento sui requisiti applicabili ai servizi in cloud.
Buongiorno, oggi siamo lieti di avere nuovamente con noi l’avv. Valentina Apruzzi, esperto di informatica giuridica e consulente in materia di protezione dei dati personali. Oggi discuteremo della Direttiva NIS2, con un focus sui requisiti applicabili ai servizi in cloud.
Buongiorno, grazie per l’invito. Sono sempre felice di poter fornire un nuovo contributo al Vostro blog tematico.
Cominciamo con una panoramica generale. La direttiva NIS2 è una revisione del Regolamento NIS originale e mira a migliorare la sicurezza dei servizi digitali nell’Unione Europea. Potrebbe spiegarci brevemente qual è il suo scopo e come potrebbe applicarsi ai servizi in cloud?
Certamente. La Direttiva (UE) 2022/2555 (NIS2 “Network and Information Systems 2”, è stata adottata per aumentare la sicurezza dei servizi digitali e delle infrastrutture critiche. La Direttiva va a sostituire la NIS 1 recepita nel 2018 e si applica a una vasta gamma di operatori di servizi digitali, inclusi quelli basati su sistemi cloud. Il suo obiettivo è garantire che questi operatori adottino misure di sicurezza adeguate per proteggere il trattamento dei dati e prevenire incidenti che potrebbero avere un impatto significativo sulla continuità dei servizi. L’introduzione è finalizzata a rispondere alle crescenti minacce poste dalla digitalizzazione e all’ondata di attacchi informatici e contestualmente rafforzare la sicurezza in azienda e nelle catene di approvvigionamento, semplificare gli obblighi di comunicazione e introdurre norme più rigorose misure di vigilanza e requisiti di applicazione più severi, armonizzando le sanzioni in tutta l’UE.
A chi si applica?
Si applica alle categorie di soggetti indicate negli allegati I e II della Direttiva (https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32022L2555&qid=1699003835546 ). Segnalo che il legislatore ha arricchito il ventaglio dei destinatari della precedente direttiva, includendo nel campo di applicazione della Direttiva NIS 2 anche ulteriori soggetti attivi in settori definiti “ad alta criticità”, ovvero quelli delle acque reflue, della gestione dei servizi ICT (business-to-business), della pubblica amministrazione e dello spazio. Inoltre, ha previsto anche la tipologia dei c.d. “altri settori critici”, includendovi i fornitore dei servizi postali e i corrieri, la gestione dei rifiuti; la fabbricazione, la produzione e la distribuzione di sostanze chimiche; produzione, trasformazione e distribuzione di alimenti, di dispositivi medici e medico-diagnostici in vitro; di computer e prodotti di elettronica e ottica; di apparecchiature elettriche; di macchinari e apparecchiature n.c.a.; di autoveicoli, rimorchi e altri mezzi di trasporto, i fornitori di servizi digitali e le organizzazioni di ricerca. Spetta alle autorità dei singoli stati membri fornire, entro aprile 2025, l’elenco dei soggetti “critici” e di quelli “essenziali”.
Concentriamoci ora sui servizi in cloud. Quali sono i principali requisiti del NIS2 che un fornitore di servizi cloud dovrebbe tenere in considerazione?
Quando parliamo di modelli di cloud computing includiamo, tra gli altri, il servizio a livello di infrastruttura (IaaS), il servizio a livello di piattaforma (PaaS), il servizio a livello di software (SaaS) e il servizio a livello di rete (NaaS). La gamma di fornitori e fruitori, in ambito pubblico e privato, è amplissima. Ai fornitori di servizi cloud viene chiesto di adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio, come previsto dall’articolo 21 della Direttiva. Questo include la prevenzione degli incidenti, la gestione degli incidenti in caso di violazioni di sicurezza e la notifica tempestiva alle autorità competenti. Entro il 17 ottobre 2024 la Commissione Ue chiarirà quali sono i requisiti tecnici e metodologici atti a proteggere da incidenti.
Quali sfide potrebbero incontrare i fornitori di servizi cloud nel conformarsi a questi requisiti?
Una delle sfide principali riguarda la natura stessa dei servizi cloud, che coinvolgono spesso la gestione di grandi quantità di dati personali e la condivisione di risorse tra diversi utenti. I fornitori devono garantire che le misure di sicurezza siano adeguate a proteggere sia i dati che i servizi stessi. Inoltre, la cooperazione tra fornitori di servizi cloud e utenti finali è cruciale per garantire una sicurezza completa.
Come può un fornitore di servizi cloud dimostrare la conformità ai requisiti del NIS2?
La dimostrazione della conformità comporta la documentazione delle misure adottate e dei processi implementati per garantire la sicurezza dei servizi digitali. Misure e procedure adottate dovranno essere verificate periodicamente e aggiornate con tempestività. Inoltre, i fornitori di servizi cloud dovrebbero essere pronti a partecipare a attività di audit e revisione da parte delle autorità competenti e procedere senza remore alle segnalazioni degli incidenti, fornendo le informazioni minime indispensabili per identificare il perimetro dell’incidente e limitare le ripercussioni. È fondamentale mantenere un dialogo aperto e trasparente con le autorità nazionali e comunitarie.
Da DPO spero che il livello di conformità alla Direttiva, o meglio agli atti esecutivi della stessa, possa costituire un nuovo terreno di competizione tra gli operatori del settore e perché no, anche tra gli stati membri. Valutare i servizi non solo per efficienza e prezzi ma soprattutto per maturità del sistema di sicurezza sarebbe una grande vittoria per il legislatore europeo, ma soprattutto per la sicurezza dei cittadini.
Infine, qual è il ruolo delle autorità di regolamentazione e di vigilanza nel garantire la conformità dei fornitori di servizi cloud al NIS2?
Le autorità di regolamentazione e di vigilanza svolgono un ruolo cruciale nel monitorare e garantire la conformità alla Direttiva. Devono essere in grado di condurre audit e verifiche, assicurandosi che i fornitori di servizi cloud adottino misure adeguate e imporre sistemi di certificazione sulla cybersecurity per gli operatori del settore. In caso di violazioni, le autorità possono anche intervenire e imporre sanzioni proporzionate alla gravità dell’incidente e alla mancanza di conformità.
