È stato approvato lo scorso giugno dal Consiglio dei Ministri in via preliminare lo schema del decreto legislativo che recepisce in Italia la Direttiva Nis2 (Network and Information Security Directive) – anche conosciuta come Direttiva 2022/2555 -, il framework che l’Unione europea ha concepito per indirizzare le nuove sfide della resilienza informatica.
Indice degli argomenti
Cos’è la Direttiva NIS2?
La Direttiva NIS2 costituisce un importante avanzamento nella strategia di cybersecurity dell’Unione Europea, superando le disposizioni della precedente Direttiva Network and Information Systems (NIS).
La nuova direttiva è stata, infatti, progettata per rafforzare la sicurezza informatica delle entità essenziali e importanti all’interno dell’UE, rispondendo alle crescenti minacce digitali e proteggendo il mercato interno dell’Unione.
Risk management: l’importanza di quantificare correttamente il rischio (non solo quello informatico)
A questo proposito, NIS2 introduce protocolli di sicurezza più rigorosi, richiede una maggiore segnalazione delle violazioni e istituisce quadri di governance più solidi, estendendo la sua applicazione a un numero maggiore di settori rispetto alla direttiva precedente. Per creare un meccanismo di difesa unico e robusto contro le minacce digitali, la direttiva prevede misure specifiche come l’identificazione dei soggetti critici, la valutazione del rischio, l’adozione di idonee misure di sicurezza e la collaborazione tra le autorità nazionali.
Il decreto legislativo associato integra un quadro di gestione delle crisi informatiche a livello nazionale, e conferma l’Agenzia per la Cybersicurezza Nazionale (ACN) come Autorità Nazionale Competente NIS. Inoltre, istituisce le Autorità di settore NIS che lavorano in collaborazione con l’ACN.
La direttiva stabilisce anche i criteri per l’identificazione dei soggetti pubblici e privati tenuti a rispettare gli standard di sicurezza informatica, classificandoli in categorie “essenziali” e “importanti” in base alla loro rilevanza economica e sociale. Questi criteri delineano gli obblighi in materia di gestione dei rischi per la sicurezza informatica, contribuendo a consolidare la resilienza del mercato unico digitale europeo.
Cosa prevede la Direttiva NIS2: le novità
Entriamo nel dettaglio delle principali novità introdotte e recepite dal recente decreto legislativo:
- L’ampliamento del campo di applicazione della normativa;
- L’adozione di un “approccio multirischio”;
- La regolamentazione della divulgazione coordinata delle vulnerabilità e le specifiche funzioni di coordinamento assegnate ai Csirt (Computer Security Incident Response Team) nazionali;
- La distinzione tra “soggetti essenziali” e “soggetti importanti”, basata su criteri dimensionali;
- La semplificazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria;
- L’implementazione di misure di cooperazione per supportare la gestione coordinata, a livello operativo, degli incidenti e delle crisi di cybersicurezza su larga scala.
I requisiti minimi previsti dalla Direttiva NIS2
NIS2 si concentra su diverse aree chiave per rafforzare le capacità di difesa e risposta della cybersecurity: gestione del rischio e misure di sicurezza, segnalazione e gestione delle violazioni, sicurezza della catena di approvvigionamento e formazione e sensibilizzazione sulla cybersecurity. È quanto emerge dalle linee guida della direttiva, secondo cui le organizzazioni sono tenute a implementare processi di gestione del rischio completi e adottare misure di sicurezza per mitigare i rischi individuati, seguire protocolli specifici per la registrazione e la comunicazione tempestiva degli incidenti informatici alle autorità nazionali, proteggere le proprie catene di approvvigionamento dalle minacce informatiche e promuovere una cultura della sicurezza informatica attraverso programmi di formazione e sensibilizzazione continui per il personale e la dirigenza.
Tempi e implementazione
NIS2 è entrata in vigore il 17 gennaio 2023. Per garantire un’implementazione efficace, sono previste alcune tappe fondamentali.
La prima è la registrazione tramite il portale dei servizi dell’Agenzia per la cybersicurezza nazionale, da parte delle organizzazioni pubbliche o private che possiedono i requisiti specifici previsti dalla normativa NIS.
La registrazione avviene:
- Entro il 28 febbraio 2025: per tutti gli altri soggetti inclusi nell’ambito di applicazione del decreto.
- Entro il 17 gennaio 2025: per i soggetti di cui all’articolo 42, comma 1, lettera a), tra cui i fornitori di cloud computing, data center, servizi (anche di sicurezza) gestiti e mercati online;
L’Agenzia, entro metà aprile, notificherà a tutti i soggetti registrati se sono stati inseriti, o meno, nell’elenco dei soggetti NIS e pubblicherà gli obblighi di base in materia di notifica di incidenti e di misure di sicurezza informatica.
I soggetti NIS dovranno:
- a partire da gennaio 2026, notificare gli incidenti;
- entro ottobre 2026, completare le misure di sicurezza informatica di base.
Differenze strutturali tra NIS e NIS2
Promuovendo l’adozione di un approccio multirischio, la direttiva, che sostituisce la precedente Network and Information Security del 2016, si articola su quattro principi chiave: protezione dei dati personali, diritti fondamentali, safety e cybersecurity. Mentre la direttiva del 2016 si concentrava su un numero più ristretto di settori, la NIS 2 estende la sua portata includendo anche “soggetti critici” operanti in settori chiave come l’energia, i trasporti, il settore bancario e la sanità.
Le differenze principali tra le due direttive evidenziano l’intento di rafforzare la sicurezza informatica in tutta l’Unione Europea.
Ambito di applicazione ampliato
Mentre la Direttiva NIS1 si applicava esclusivamente agli “operatori di servizi essenziali” (OES) e ai “fornitori di servizi digitali” (DSP) nei settori specifici, la NIS2 amplia notevolmente il suo ambito di applicazione, includendo una gamma molto più ampia di entità classificate come “essenziali” e “importanti” in 15 settori diversi, tra cui energia, trasporti, banche, sanità, infrastrutture digitali e molti altri.
Requisiti e applicazione più rigorosi
La NIS2 introduce requisiti di sicurezza più dettagliati e armonizzati che le entità interessate devono implementare. Questi requisiti includono valutazioni del rischio, piani di risposta agli incidenti e misure di sicurezza per la catena di fornitura. Prevede anche obblighi più severi di segnalazione degli incidenti, con tempistiche più brevi per informare le autorità competenti.
Inoltre, la Network and Information Security Directive conferisce alle autorità nazionali il potere di imporre sanzioni molto più severe in caso di non conformità. Le multe possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale dell’azienda. Inoltre, le autorità hanno il potere di impartire istruzioni vincolanti e di sospendere temporaneamente i servizi in caso di gravi violazioni.
Miglioramento della collaborazione
Uno degli obiettivi principali della NIS2 è migliorare la cooperazione e la condivisione delle informazioni tra gli Stati membri. A tal fine, la direttiva prevede la creazione di un nuovo gruppo di cooperazione, volto a rafforzare la preparazione e la risposta collettiva dell’UE alle principali minacce informatiche.
Ambiti di applicazione della Network and Information Security Directive
La Direttiva NIS 2 si applica a specifici soggetti pubblici o privati che operano all’interno dell’Unione Europea. Per comprendere esattamente chi rientra nell’ambito di applicazione della Direttiva, è fondamentale considerare tre criteri principali: il dimensionamento, il settore merceologico e la territorialità.
Dimensionamento
Il primo criterio, quello del dimensionamento, stabilisce che la Direttiva NIS 2 riguarda le imprese qualificate come medie o quelle che superano i limiti delle medie imprese. Secondo l’articolo 2, paragrafo 1, della Direttiva, una media impresa è definita come un’entità che impiega meno di 250 persone e ha un fatturato annuo non superiore a 50 milioni di euro, oppure un bilancio totale annuo che non supera i 43 milioni di euro. Questa definizione è ripresa dalla Raccomandazione 2003/361/CE, che fornisce ulteriori dettagli sulle categorie di imprese: una piccola impresa occupa meno di 50 persone e ha un fatturato o bilancio annuo non superiore a 10 milioni di euro, mentre una microimpresa occupa meno di 10 persone e ha un fatturato o bilancio annuo non superiore a 2 milioni di euro.
Settore merceologico
L’articolo 2, paragrafo 1, della Direttiva NIS 2 si applica a soggetti pubblici o privati che operano nei settori elencati negli Allegati I e II della Direttiva stessa. Questi allegati distinguono tra settori ad alta criticità (Allegato I) e altri settori critici (Allegato II).
I soggetti appartenenti ai settori dell’Allegato I sono generalmente considerati essenziali, mentre quelli dell’Allegato II sono considerati importanti. Tuttavia, la Commissione Europea ha la facoltà di stabilire un elenco dettagliato di soggetti essenziali e importanti entro il 17 aprile 2025.
Territorialità
La Direttiva NIS 2 si applica ai soggetti pubblici o privati che operano nei settori elencati negli Allegati I o II e che rientrano nella definizione di medie imprese o superiori, purché prestino i loro servizi o svolgano le loro attività all’interno dell’Unione Europea.
Volendo sintetizzare, quindi, per determinare se un soggetto rientra nell’ambito di applicazione della Direttiva NIS 2, è necessario valutare tre aspetti: la dimensione dell’impresa, il settore di attività e l’ubicazione geografica delle operazioni. Questa analisi consente di garantire che le misure di sicurezza delle reti e delle informazioni siano applicate in modo appropriato e coerente, contribuendo così a migliorare la resilienza e la sicurezza cibernetica all’interno dell’Unione Europea.
Come prepararsi alla conformità di NIS2
Il primo passo consiste nell’informare e coinvolgere la direzione dell’organizzazione, assicurandosi che il management comprenda appieno le implicazioni e i requisiti della direttiva. Una valutazione approfondita della strategia di cybersecurity attualmente in uso è fondamentale. Ciò implica un’analisi dei sistemi IT, dei controlli di sicurezza e delle pratiche esistenti per individuare eventuali lacune o punti deboli. Sulla base di questa valutazione, diventa necessario sviluppare una tabella di marcia dettagliata e un piano di attuazione per soddisfare i requisiti della NIS2-
Implementare i necessari controlli tecnici di sicurezza, come l’autenticazione a più fattori, la crittografia, la gestione delle vulnerabilità e le funzionalità di monitoraggio e registrazione della sicurezza è essenziale per proteggere l’infrastruttura digitale dell’organizzazione. Assicurarsi che tutti i dipendenti ricevano una formazione solida e regolare sulla consapevolezza della cybersecurity migliora la resilienza complessiva dell’organizzazione, aiutando i dipendenti a identificare e rispondere alle potenziali minacce. Ed è per questo che serve assegnare budget e risorse adeguate, collaborando con la direzione per garantire fondi e risorse necessarie all’implementazione dei controlli e dei processi di sicurezza richiesti. Investimenti in nuove tecnologie, personale aggiuntivo, formazione continua e manutenzione costante potrebbero essere necessari. Le politiche e le procedure di sicurezza dell’organizzazione devono essere migliorate e aggiornate, inclusa la revisione delle politiche di sicurezza, dei piani di risposta agli incidenti e di altre procedure pertinenti per allinearsi ai mandati della Direttiva NIS2.
Non manca, poi, l’aspetto che riguarda la valutazione e la gestione dei rischi della catena di fornitura: è necessario valutare la robustezza delle strutture di cybersecurity dei fornitori e dei provider di servizi e implementare misure di sicurezza adeguate a mitigare i rischi lungo tutta la catena di fornitura.
Infine, è importante prepararsi per la segnalazione degli incidenti e gli audit, stabilendo solide procedure di rilevamento, analisi e segnalazione degli incidenti per soddisfare i requisiti di notifica della direttiva NIS2 e assicurandosi che l’organizzazione sia pronta per potenziali audit e ispezioni da parte delle autorità di regolamentazione.
Sanzioni per la non conformità: cosa rischiano le aziende
A partire dall’ottobre 2024, con l’entrata in vigore della Direttiva NIS2, tutte le organizzazioni dovranno conformarsi ai nuovi requisiti di sicurezza informatica, pena sanzioni significative, indipendentemente dalla loro classificazione come aziende essenziali o importanti.
Per le organizzazioni essenziali, classificate come a rischio essenziale, le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale. Le organizzazioni importanti, invece, classificate come a rischio importante, possono essere multate fino a 7 milioni di euro o all’1,4% del loro fatturato annuo globale.
Non solo le organizzazioni, ma anche le persone fisiche in posizioni dirigenziali possono essere ritenute responsabili dell’incapacità di soddisfare i nuovi requisiti. In altre parole, i membri del top management possono essere perseguiti legalmente se non aderiscono alle nuove regole. Inoltre, devono partecipare a corsi per migliorare la loro capacità di valutare i rischi per la cybersecurity e incoraggiare l’intera organizzazione a fare altrettanto.
Soggetti esclusi dall’ambito di applicazione della Network and Information Security Directive
La Direttiva NIS2 prevede alcune eccezioni significative riguardo la sua applicazione. In particolare, essa non si applica agli enti della PA che operano in settori cruciali quali la sicurezza nazionale, la pubblica sicurezza, la difesa, e le attività legate al contrasto, alla prevenzione, alle indagini, all’accertamento e al perseguimento dei reati, come specificato nell’articolo 2, paragrafo 7.
Inoltre, gli stati membri hanno la facoltà di esentare dall’ambito di applicazione della NIS2 alcuni soggetti specifici. Questi soggetti devono essere impegnati in settori analoghi a quelli menzionati per gli enti della pubblica amministrazione, ovvero sicurezza nazionale, pubblica sicurezza, difesa e attività di contrasto ai reati. Tale esenzione si estende anche a coloro che forniscono servizi esclusivamente a questi enti pubblici, come stabilito nell’articolo 2, paragrafo 8.
Infine, ci sono anche soggetti esentati in virtù del regolamento (UE) 2022/2554, noto come Regolamento DORA, per specifiche disposizioni contenute nell’articolo 2, paragrafo 4 di tale regolamento. Anche questi soggetti sono esclusi dall’ambito di applicazione della Direttiva NIS2, come previsto dall’articolo 2, paragrafo 10.
La piattaforma dell’Agenzia per la cybersicurezza nazionale
Lo scorso 26 novembre, Bruno Frattasi, Direttore dell’Agenzia per la Cybersecurity Nazionale (ACN), ha firmato la prima determina attuativa relativa agli obblighi della direttiva NIS2, la quale è stata pubblicata il giorno successivo sul sito ufficiale dell’ACN. Questa determina stabilisce la creazione di una piattaforma digitale – disponibile dal 1° dicembre 2024 – destinata alla registrazione dei “soggetti NIS”, ossia tutti gli enti pubblici e privati che sono tenuti a registrarsi entro il 28 febbraio 2025. La registrazione dovrà essere effettuata attraverso un “punto di contatto”, una persona fisica designata responsabile delle comunicazioni e degli adempimenti per ciascun ente. Le informazioni fornite saranno sottoposte a verifica per assicurare la loro correttezza e coerenza da parte delle strutture dell’ACN incaricate.
La registrazione è obbligatoria per tutte le organizzazioni pubbliche o private soggette alla nuova normativa NIS. Sul sito dell’ACN sono già disponibili le informazioni sui settori e sottosettori coinvolti, così come le modalità per determinare se un’organizzazione è classificata come “essenziale” o “importante”.
Come ha spiegato Frattasi: «La direttiva NIS2 rappresenta un significativo avanzamento rispetto alla sua precedente versione, superando le debolezze intrinseche della prima direttiva NIS. Ora costituisce un fondamento per potenziare la capacità di protezione informatica in ogni paese dell’Unione Europea. La sicurezza informatica è strettamente legata alla sicurezza nazionale. La legge 105/2019 aveva già avviato la protezione del perimetro digitale italiano, ma oggi, la NIS2 e la legge sul Perimetro di sicurezza cibernetica sono i pilastri della resilienza e sicurezza del paese. Frattasi ha sottolineato che nessuno può considerarsi esente dall’adozione di misure di sicurezza; anche coloro che non rientrano direttamente nella NIS2 devono garantire livelli adeguati di protezione contro i rischi. L’obiettivo è coinvolgere il settore pubblico e privato, non solo in termini tecnici, ma anche nel cambiare l’approccio generale alla sicurezza informatica»
Come registrarsi
Il processo di registrazione è progettato per essere eseguito in autonomia dalle organizzazioni, secondo un approccio “bottom up”. In questo modello, le organizzazioni forniscono i dati necessari affinché l’ACN possa elaborare l’elenco dei soggetti NIS. Un passaggio preliminare fondamentale è la scelta del punto di contatto, ovvero una persona che rappresenterà l’organizzazione nelle comunicazioni con l’ACN. Questa figura può essere il rappresentante legale o un dipendente, il quale può ricevere supporto da personale esterno.
- Accesso alla piattaforma: Il punto di contatto deve accedere alla piattaforma tramite l’identità digitale SPID. Dopo aver effettuato il login, il processo è intuitivo.
- Associazione all’organizzazione: Il punto di contatto deve inizialmente associarsi all’organizzazione utilizzando il codice fiscale o il codice IPA. Successivamente, l’ACN invierà un’email tramite posta elettronica certificata (PEC) al domicilio digitale dell’organizzazione per convalidare il censimento.
- Compilazione dei dati: Occorre inserire le informazioni relative al contesto societario, alla caratterizzazione e alle tipologie di soggetto dell’organizzazione.
- Autovalutazione: Il punto di contatto deve completare una autovalutazione per classificare l’organizzazione come soggetto essenziale, importante o fuori ambito.
- Verifica e conferma: Prima di inviare i dati, è fondamentale verificare e confermare tutte le informazioni inserite.
Entro aprile 2025, l’Autorità nazionale competente NIS, ovvero l’ACN, notificherà al domicilio digitale di tutti i soggetti registrati se essi sono inclusi nell’elenco dei soggetti NIS. In ogni caso, sul canale YouTube dell’ACN c’è un video tutorial che descrive le modalità di registrazione, step by step.
Norma ISO 31700 e privacy by design: cosa devono sapere aziende e consulenti
