Società e impresa

DOMINI DOPO LA DIRETTIVA UE NIS2

04/11/2024

di Pierfrancesco C. Fasano

Stampa la pagina
foto

NIS1 e la normativa Cybersecurity

La Direttiva NIS2 (Network and Information Systems Due) dell’UE (2022/2555), entrata in vigore il 17 gennaio 2023, è destinata ad avere implicazioni significative per i nomi a dominio in Europa e potenzialmente oltre. Aggiornamento della legislazione dell’UE sulla sicurezza informatica dei traumatici eventi del 2020, quando la pandemia Covid-19 ha creato una brusca accelerazione del digitale. In Italia, il primo passo è stato rappresentato dal Decreto Legislativo NIS (Direttiva UE n. 2016/1148 - D. Lgs. 18 maggio, n. 65), entrato in vigore dal 24 giugno 2018. Il quadro legislativo in materia di sicurezza informatica è stato successivamente ampliato dalla Legge 4 agosto 2021, n. 109 recante “disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”.

NIS2

Il Decreto NIS è stato ritenuto obsoleto a favore della nuova Direttiva NIS2, che mira a rafforzare la sicurezza e la resilienza della Rete Internet e dei sistemi informativi.

Il decreto legislativo n. 138 del 4 settembre 2024, che traspone tale direttiva UE, entra in vigore il prossimo 16 ottobre 2024: fissa misure per garantire un livello elevato di cybersecurity in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Ue, così da migliorare il funzionamento del mercato interno.

Per i Registri dei nomi a dominio, i registrar, i rivenditori e i fornitori di servizi DNS (Domain Name System, in italiano il sistema dei nomi di dominio, che, in informatica e telecomunicazione, indica un sistema utilizzato per assegnare nomi ai nodi della Rete, in inglese Host), NIS2 impone nuovi obblighi in materia di elaborazione dei dati di registrazione dei nomi a dominio.

NIS2 è pertanto una legge sulla sicurezza informatica a livello dell’UE che sostituisce la direttiva NIS originale del 2016. Obiettivo è armonizzare gli standard di sicurezza informatica in tutta l’UE e migliorare la preparazione e la risposta informatica complessive. NIS2 definisce requisiti di sicurezza più rigorosi per le imprese nei settori critici, stabilisce un quadro di risposta agli incidenti a livello dell’UE e rafforza la supervisione e l’applicazione della regolamentazione.

Cruciale per i nomi a dominio, NIS2 dichiara che un DNS affidabile, resiliente e sicuro è essenziale per l’integrità di Internet. Come tale, impone misure specifiche di sicurezza informatica per “entità critiche” come i registri Top Level Domain (es. gli operatori che registrano domini generici e nazionali) e i fornitori DNS.

NIS2 e il GDPR

NIS2 si interseca con il Regolamento generale sulla protezione dei dati (GDPR) dell’UE quando si tratta del trattamento dei dati di registrazione dei nomi a dominio, spesso indicati come dati WHOIS, il registro dei nomi a dominio accessibile al pubblico.

Da quando il GDPR è entrato in vigore nel 2018, il settore dei nomi a dominio ha dibattuto su come gestire i dati WHOIS in modo conforme con la privacy. NIS2 fornisce una certa chiarezza, stabilendo una base giuridica ai sensi del GDPR per la raccolta dei dati di registrazione per gli scopi indicati nel NIS2.

Tuttavia, restano aperti interrogativi su come soddisfare i requisiti di accuratezza e divulgazione dei dati di NIS2, pur mantenendo pienamente i principi GDPR come la minimizzazione dei dati. Trovare il giusto equilibrio sarà indispensabile e non sarà né agevole e neppure rapido.

Effetti sugli operatori dei nomi a dominio

Quindi, cosa significa NIS2 in pratica per i protagonisti del mondo dei nomi a dominio?

Ecco alcune delle principali implicazioni:

  • Ambito di applicazione: NIS2 si applica direttamente ai Registri TLD, ai Registrar e ai fornitori DNS con sede nell’UE. Può anche avere un impatto su entità non UE che offrono servizi sul mercato dell’UE. Anche i rivenditori sono probabilmente coperti, anche se i loro obblighi precisi sono ancora in fase di steso.
  • Dati di registrazione: le imprese devono raccogliere e mantenere dati di registrazione del dominio accurati e completi e avere politiche e procedure in atto per verificare tali dati. Ciò include la distinzione tra dati personali e dati non personali di persone giuridiche.
  • WHOIS pubblico: i dati di registrazione non personali devono essere resi pubblici senza indebito ritardo. Ma i dati personali, come gli indirizzi e-mail dei dichiaranti, devono essere protetti.
  • Richieste di divulgazione: i registri e i registrar dovranno fornire ai richiedenti di accesso legittimi i dati di registrazione, compresi i dati personali, entro 72 ore da una richiesta debitamente giustificata. Le politiche per la gestione di tali richieste devono tenere conto sia della conformità NIS2 sia del GDPR.
  • Approcci armonizzati: con ogni Stato membro dell’UE che recepisce il NIS2 nel diritto nazionale, c’è il rischio di finire con un mosaico di requisiti divergenti. Per evitare la frammentazione, l’industria dei nomi a dominio dovrebbe lavorare per il più possibile verso approcci standardizzati alla verifica, alla divulgazione e ad altri obblighi NIS2.
  • Chiarezza contrattuale: avere accordi contrattuali chiari e delimitazione delle responsabilità tra le diverse entità nella catena di registrazione del dominio sarà importante, in particolare visti gli squilibri di potere tra alcuni attori.

La strada da percorrere

I Registry, e cioè le imprese e gli enti pubblici che concedono in uso i nomi a dominio, i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network hanno tempo fino al 17 gennaio 2025, per registrarsi sulla piattaforma.

Chiusa questa fase preliminare, tali imprese e pubbliche amministrazioni che avranno ricevuto la comunicazione di inclusione da parte dell’Agenzia per la Cybersicurezza Nazionale (ACN) dovranno procedere con gli ulteriori adempimenti previsti nel decreto. A tal proposito, a titolo esemplificativo:

  • dal 1° gennaio 2026, si dovrà adempiere all’obbligo di notifica degli incidenti;
  • entro il 1° ottobre 2026, si dovrà adempiere:
    • agli obblighi degli organi di amministrazione e direttivi;
    • agli obblighi in materia di misure di sicurezza;
    • all’obbligo di raccolta e mantenimento di una banca dei dati di registrazione dei nomi di dominio, laddove applicabile.

Il successo dipenderà dalla collaborazione continua tra gli attori del settore e i governi per trovare un equilibrio praticabile tra il raggiungimento degli obiettivi di sicurezza di NIS2 e la riduzione al minimo della frammentazione e degli oneri operativi.

Gli operatori del settore (Registry, Registrar, Mantaner) dovrebbero valutare come le loro pratiche attuali si allineano con NIS2 e iniziare a pianificare eventuali aggiustamenti necessari a politiche, procedure e sistemi. Un fragile equilibrio tra obblighi giuridici di conformità alla legge ed esigenze operative di mercato e di Rete.

NIS2 lancia agli operatori del settore dei nomi a dominio (la cosiddetta domain industry), inclusi gli avvocati del ramo cybersecurity, sfide complesse, offrendo al contempo un’opportunità per rafforzare la sicurezza e l’integrità del DNS, anche con modelli di conformità legale, in linea con la natura globale interoperabile di Internet.

Altri in SOCIETÀ E IMPRESA