Direttiva NIS (2016)
La Direttiva NIS 2016/1148 (Network and Information Security), approvata nel 2016, è volta a stabilire le misure per la realizzazione in Europa di un ambiente digitale sicuro e affidabile. È stata recepita col Decreto Legislativo 18 maggio 2018, n.65, pubblicato sulla Gazzetta Ufficiale n. 132 del 9 giugno 2018 (entrato in vigore il 24 giugno 2018).
La Direttiva impone agli Stati Membri dell'Unione europea l'adozione di una serie di misure di sicurezza comuni ed adeguate, imponendo nel contempo la notifica degli incidenti all'Autorità nazionale istituita allo scopo. Gli Stati dovranno anche promuovere la nascita di CSIRT (Computer Security Incident Response Team) nazionali (link al CSIRT Italia), sulla base del CERT-UE, per realizzare un network europeo che si occupi della sicurezza delle reti critiche.
Con tale normativa si punta a ridurre considerevolmente il rischio conseguente ad incidenti dei servizi essenziali, in considerazione del fatto che la crescente interoperabilità dei servizi e l'aumento esponenziale dei dispositivi connessi alla reti, oltre all'aumento delle minacce informatiche, determinano un considerevole aumento dei rischi. Ovviamente l'obiettivo è anche quello di uniformare la strategia di sicurezza tra i vari Stati dell'Unione europea.
Gli obiettivi sono, quindi:
- gestione dei rischi di sicurezza;
- protezione contro i cyber attacchi;
- individuazione di incidenti di cyber sicurezza;
- riduzione dell'impatto degli incidenti di cyber sicurezza.
La Direttiva NIS, e il decreto di attuazione, si rivolgono a due categorie:
- Operatori di servizi essenziali (OES) stabiliti nell'Unione europea, cioè i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l'economia nei settori sanitari, dell'energia, dei trasporti, bancari, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali;
- Digital Service Provider (DSP), cioé le persone giuridiche che forniscono servizi della società dell'informazione (e-commerce, social network, cloud computing, motori di ricerca, financial provider, ecc...); le persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca, con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale.
Non sono soggetti alla normativa i DSP con meno di 50 dipendenti o con fatturato inferiore ai 10 milioni l'anno (piccole e micro imprese).
Si tratta di soggetti che sono essenziali per la vita di tutti i giorni dei cittadini dell'Unione. A tali soggetti la direttiva impone specifici oneri:
- adozione di misure tecniche e organizzative adeguate alla gestione dei rischi e a prevenire e minimizzare l'impatto degli incidenti di sicurezza delle reti e dei sistemi informativi, al fine di assicurare la continuità del servizio;
- obbligo di notifica, senza ingiustificato ritardo, degli incidenti di sicurezza con impatto rilevante, rispettivamente sulla continuità e la fornitura del servizio.
La notifica va fatta al Computer Security Incident Response Team (CSIRT) italiano, informandone anche l’Autorità competente NIS di riferimento. Il CSIRT italiano è istituito presso la Presidenza del Consiglio dei ministri mediante unificazione del Computer Emergency Response Team (CERT) Nazionale e del CERT-PA. Si occupa di:
- definire le procedure per la prevenzione e la gestione degli incidenti informatici;
- ricevere le notifiche di incidente, informandone il DIS (Dipartimento informazioni per la sicurezza) che coordina i servizi segreti;
- fornire al notificante le informazioni utili per le gestione efficace dell’incidente;
- informare gli altri Stati membri dell’UE eventualmente coinvolti nell’incidente, tutelando la sicurezza e gli interessi commerciali dell’OSE o del FSD nonché la riservatezza delle informazioni fornite.
Con il regolamento di esecuzione la Commissione europea ha fissato i criteri e le soglie per stabilire la rilevanza degli incidenti da parte dei DSP. Un incidente è rilevante se si verifica almeno una delle seguenti condizioni:
- indisponibilità del servizio fornito per oltre 5.000.000 di ore utente;
- perdita di integrità, autenticità o riservatezza dei dati per oltre 100.000 utenti dell’UE;
- rischio per la sicurezza e/o l’incolumità pubblica, o in termini di perdite di vite umane;
- danni materiali superiori a 1.000.000 di EUR per almeno un utente nell’UE.
Direttiva NIS 2 (2023)
Nel maggio del 2002 l'Unione europea ha presentato i piani per una riforma della Direttiva NIS al fine di rafforzare la sicurezza europea, in particolare nei settori sensibili come quello bancario, energetico, delle telecomunicazioni e dei trasporti, oltre alle pubbliche amministrazioni. La Direttiva NIS2 si propone come la naturale evoluzione del GDPR, ampliandone il campo di applicazione e rafforzando i requisiti di sicurezza. Mentre il GDPR si concentra principalmente sulla protezione dei dati personali, la NIS 2 amplia il campo di applicazione alla sicurezza informatica in generale. La NIS2 non si limita a chiedere di proteggere i dati, ma di garantire la resilienza e la fiducia nell'intero ecosistema digitale, ecco perché estende il classico modello RID all'autenticità dei dati.
La Direttiva NIS2 stabilisce un elevato livello comune di cibersicurezza nell’Unione e prevede misure giuridiche per aumentare il livello generale di cibersicurezza nell’UE, garantendo:
- preparazione degli Stati membri, richiedendo loro di essere adeguatamente attrezzati. Ad esempio, con un Computer Security Incident Response Team (CSIRT) e un’autorità nazionale competente per le reti e i sistemi informativi (NIS),
- cooperazione tra tutti gli Stati membri, istituendo un gruppo di cooperazione per sostenere e facilitare la cooperazione strategica e lo scambio di informazioni tra gli Stati membri.
- una cultura della sicurezza in tutti i settori vitali per la nostra economia e società e che dipendono fortemente dalle TIC, come l’energia, i trasporti, l’acqua, le banche, le infrastrutture dei mercati finanziari, l’assistenza sanitaria e le infrastrutture digitali.
La direttiva NIS2 introduce le categorie dei soggetti essenziali e soggetti importanti, in sostituzione delle categorie introdotte dalla NIS. Aggiunge una soglia dimensionale per i destinatari della normativa. E, indipendentemente dalle dimensioni, include tra i destinatari degli obblighi i fornitori di servizi di comunicazione elettronica pubblici e delle reti di comunicazione elettronica accessibili al pubblico.
In particolare, la NIS2 adotta un approccio multilivello, includendo sia l'implementazione di misure di sicurezza digitali che fisiche. L'art. 24 del D.Lgs. 138/2024, infatti, nel recepire il Considerando 79 della Direttiva, prevede: "Le misure... sono basate su un approccio multi-rischio, volto a proteggere i sistemi informativi e di rete nonché il loro ambiente fisico da incidenti". In questo quadro il CISO, quale responsabile e garante dell'applicazione delle misure di sicurezza, è una figura fondamentale.
La direttiva NIS 2 (n. 2022/2555) è entrata in vigore il 17 gennaio 2023, rendendo così obsoleta la Direttiva NIS.
Il quadro nazionale
La normativa italiana in materia di cybersecurity è tratteggiata da una serie di norme di recepimento delle direttive europee:
- D.Lgs 18 maggio 2018, n. 65, entrato in vigore il 24 giugno 2018, che recepisce la Direttiva NIS, che riguarda le infrastrutture e i servizi essenziali per l'economia e la società (mercato interno);
- D.L. 21 settembre 2019, n. 105, convertito con legge 18 novembre 2019, n. 133, che ha introdotto disposizioni complementari a quelle della NIS per istituire e regolamentare il Perimetro di Sicurezza Nazionale Cibernetica (PSNC), che riguarda la protezione delle strutture dalle quali dipendono le funzioni essenziali dello Stato;
- Legge 4 agosto 2021, n. 109, recante "disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza , istituzione dell'Agenzia per la cybersicurezza nazionale";
- D.Lgs. n. 134/2024, che recepisce la direttiva CER (Cybersecurity Enhancement for Trustworthy and Resilient Economy), relativa alla protezione fisica delle infrastrutture critiche;
- D.Lgs. 4 settembre 2024, n. 138, pubblicato il 1 ottobre 2024 in Gazzetta Ufficiale, che recepisce la direttiva NIS2, entrato in vigore il 16 ottobre 2024;
- DPCM 9 dicembre 2024, n. 221, che stabilisce il Regolamento per la definizione dei criteri per l’applicazione della clausola di salvaguardia connessa al D.lgs. 138/2024.
Insieme la Direttiva NIS2 e CER hanno lo scopo di rafforzare la sicurezza e resilienza dei soggetti critici e dei servizi essenziali sia dal punto di vista fisico che digitale.
Il decreto CER è applicabile a tutti i soggetti pubblici e privati che, entro il 17 agosto 2026, riceveranno la notifica di inclusione tra i soggetti critici (SCRE, soggetti critici di rilevanza europea). I soggetti critici, ovviamente, sono quei soggetti che appartengono ai settori indicati dalla Direttiva CER e che operano un'infrastruttura critica anche in parte sul territorio nazionale, oppure forniscono un servizio essenziale. Il decreto CER, però, non si applica alle materie disciplinate dal decreto di attuazione della NIS2.
Di contro il decreto NIS2 si applica a tutti i soggetti indicati come critici ai sensi del decreto CER.
La “clausola di salvaguardia”, di cui all'art. 3 comma IV del D.lgs. 138/2024, individua i criteri di esenzione dagli obblighi previsti dalla NIS2. Ovviamente solo i soggetti che dimostrino una totale indipendenza dei sistemi informativi e di rete possono beneficiare di tale deroga.
Obblighi in base alla direttiva NIS2 e CER
I soggetti individuati come critici dal decreto CER saranno soggetti agli obblighi sia del decreto CER che del decreto NIS2, obblighi che scatteranno a partire dalla data di notifica di inclusione nella categoria o da un momento successivo come indicato nelle norme. Per individuare i soggetti essenziali e i soggetti importanti, cioè quei soggetti che sono assoggettati agli obblighi derivanti dalla NIS2, si faccia riferimento al Decreto di recepimento e ai 4 allegati. In particolare l'art. 6 definisce i soggetti essenziali, consentendo di distinguerli dai soggetti importanti.
I soggetti essenziali e i soggetti importanti devono seguire i seguenti obblighi:
- registrazione sulla piattaforma dell'ACN entro il 28 febbraio 2025;
- notifica degli incidenti significativi entro 24 ore (attuazione entro 9 mesi dalla notifica);
- identificazione delle strutture critiche (obbligo CER, entro 9 mesi dalla notifica);
- attuazione misure di gestione dei rischi di cybersecurity (CER e NIS2);
- obblighi di raccolta e registrazione dei nomi a dominio, per i soli gestori di registri di nomi a dominio e i fornitori di servizi di registrazione (entro 18 mesi dall'inclusione nella categoria);
- dal 1 maggio al 1 giugno di ogni anno, la comunicazione dell'elenco delle attività e dei servizi svolti (a partire dal momento della comunicazione di inclusione);
- collaborazione con le autorità in caso di indagini o interventi;
- adozione di misure tecniche e organizzative adeguate per garantire la sicurezza dei sistemi informatici, compresa la protezione dei dati personali e la continuità operativa;
- formazione del personale sulle tematiche di cybersecurity.
La prima fase è la registrazione sulla piattaforma dell'ACN tramite un soggetto che deve essere incaricato quale "punto di contatto" e avrà il compito di dialogare con l'ACN e rispettare gli obblighi della direttiva. Al termine della fase di registrazione, l’Agenzia e le Autorità di settore valuteranno le dichiarazioni per costituire l’elenco dei soggetti NIS entro fine marzo 2025. Nel mese di aprile 2025, l’Autorità nazionale competente NIS notificherà al domicilio digitale di tutti i soggetti registrati se rientrano, o meno, nell’elenco. L'ACN provvederà poi a stabilire, con specifiche determinazioni, i termini e le modalità di implementazione degli altri obblighi previsti dal decreto NIS2.
Con riferimento all'identificazione delle strutture critiche, i soggetti critici dovranno, quindi, svolgere una valutazione del rischio che consideri sia i rischi rilevanti che possano derivare da un incidente sia il livello di interdipendenza tra il servizio essenziale erogato e altri settori o servizi essenziali, eventualmente anche in altri Stati membri.
Per adempiere agli obblighi previsti dalle due normative le aziende dovrebbero:
- effettuare una valutazione del rischio per identificare eventuali vulnerabilità nei tuoi sistemi;
- implementare un piano di gestione delle crisi e risposta agli incidenti informatici;
- formare i dipendenti sulle pratiche di sicurezza informatica;
- monitorare costantemente la sicurezza della supply chain e dei fornitori;
- proteggere le infrastrutture IT con sistemi aggiornati di firewall, crittografia e controllo degli accessi;
- predisporre un sistema di backup e ripristino per garantire la continuità operativa in caso di attacco.
Con riferimento ai Registri TLD, ai Registrar, ai rivenditori di nomi a dominio e ai fornitori di servizi DNS (Domain Name System) con sede nell'UE, la NIS2 impone obblighi specifici in materia di elaborazione dei dati di registrazione dei nomi a dominio. La NIS2, inoltre, stabilisce anche una corretta base giuridica per la raccolta dei dati di registrazione (i dati WHOIS) per gli scopi indicati dalla NIS2, e questo per risolvere i dubbi in materia a seguito dell'entrata in vigore del Regolamento GDPR. In particolare:
- raccogliere e mantenere dati di registrazione del dominio accurati e completi;
- istituire delle politiche per la verifica dei dati dei domini;
- distinguere dati personali (che dovranno essere protetti) da quelli non personali delle persone giuridiche (che dovranno essere resi pubblici senza indebito ritardo);
- Registri e Registrar dovranno fornire ai richiedenti di accesso legittimi i dati di registrazione, compresi i dati personali, nel termine di 72 ore dalla richiesta.
SCHEDA RIASSUNTIVA
Sono soggetto alla NIS2?
- requisito territoriale: aziende che hanno sede o operano in Italia;
- requisito settoriale: alimentare, chimico, rifiuti, energia (es. azienda con impianto fotovoltaico), trasporti, bancario e mercati finanziari, sanitario, ICT, PA, spazio, acqua potabile e reflue, servizi postali, fornitore di servizi digitali e manifattura;
- requisito dimensionale: imprese con oltre 50 dipendenti e fatturato annuo superiore a €10 milioni;
- eccezione: aziende con minori dimensioni possono comunque essere soggette alla NIS2 se ritenute essenziali.
Quali obblighi prevede?
- obblighi di governance
- obblighi di gestione del rischio
- verifica della supply chain
- notifica obbligatoria degli incidenti informatici (24/72 ore).
Cosa fare?
Riferimento: Implementare un sistema di gestione della sicurezza delle informazioni secondo ISO/IEC 27001.
1️⃣ Identificare il punto di contatto ACN
2️⃣ Iscriversi alla piattaforma ACN
3️⃣ Designare un referente interno per la cybersecurity
4️⃣ Formazione continua: programma obbligatorio per dipendenti e reparto ICT
5️⃣ Analisi iniziale: identificare informazioni critiche e valutare le misure di sicurezza esistenti
6️⃣ Adeguamento: implementare processi, KPI, documentazione e strumenti necessari
7️⃣ Audit interno e riesame di direzione per verificare il rispetto dei requisiti
8️⃣ Audit per la certificazione: assistenza per agevolare l’esito positivo
Quali sono le sanzioni?
⚠️ Sanzioni amministrative: fino a 10 milioni di euro o 2% del fatturato annuo
⚠️ Sanzioni interdittive: divieto temporaneo di esercizio dei ruoli dirigenziali, sospensione di certificati o autorizzazioni
⚠️ Pubblicità della sanzione: ACN può decidere di pubblicare la sanzione, con impatto sulla reputazione aziendale.
Scadenze
- nel periodo tra il 1 gennaio e il 28 febbraio i soggetti essenziali e importanti devono registrarsi o aggiornare le informazioni sulla piattaforma ACN;
- tra il 15 aprile e il 31 maggio di ogni anno i soggetti essenziali e importanti devono aggiornare le informazioni di cui all'art. 7 del decreto di recepimento sulla piattaforma ACN, includendo indirizzi IP pubblici e nomi a dominio, elenco degli Stati membri dove operano, responsabili e contatti, sostituto del punto di contatto;
- nel periodo tra il 20 novembre e il 31 dicembre i soggetti essenziali e importanti devono nominare il referente CSIRT per la gestione degli incidenti;
- entro il primo gennaio 2026: i soggetti devono adeguarsi all’articolo 25 relativo alla notifica degli incidenti; questo richiede come minimo di stabilire il processo di gestione degli incidenti;
- entro il primo gennaio 2026: i soggetti devono adeguarsi all’art. 30 e quindi aggiornare ogni anno le informazioni richieste dalla piattaforma ACN con l’elenco di attività e servizi e la descrizione delle loro caratteristiche;
- entro aprile 2026: l’ACN stabilirà un pacchetto con gli obblighi per i soggetti NIS2;
- entro ottobre 2026: i soggetti devono adeguarsi agli articoli 23 (sugli obblighi degli organi di amministrazione e direttivi), 24 (gestione dei rischi e implementazione delle misure di sicurezza) e 29 (relativo alla banca dati dei nomi a dominio). A partire da questo momento, tutti i soggetti regolati dovranno aver completato l’implementazione delle misure minime previste dalle determinazioni di ACN.
- le misure minime devono essere adottate entro un termine massimo di diciotto mesi dalla ricezione della comunicazione ufficiale da parte di ACN.
-------------------
Contattami per una consulenza in questa materia.
