Direttiva NIS (2016)
La Direttiva NIS 2016/1148 (Network and Information Security), approvata nel 2016, è volta a stabilire le misure per la realizzazione in Europa di un ambiente digitale sicuro e affidabile. E' stata recepita col Decreto Legislativo 18 maggio 2018, n.65, pubblicato sulla Gazzetta Ufficiale n. 132 del 9 giugno 2018 (entrato in vigore il 24 giugno 2018).
La Direttiva impone agli Stati Membri dell'Unione europea l'adozione di una serie di misure di sicurezza comuni ed adeguate, imponendo nel contempo la notifica degli incidenti all'Autorità nazionale istituita allo scopo. Gli Stati dovranno anche promuovere la nascita di CSIRT (Computer Security Incident Response Team) nazionali (link al CSIRT Italia), sulla base del CERT-UE, per realizzare un network europeo che si occupi della sicurezza delle reti critiche.
Con tale normativa si punta a ridurre considerevolmente il rischio conseguente ad incidenti dei servizi essenziali, in considerazione del fatto che la crescente interoperabilità dei servizi e l'aumento esponenziale dei dispositivi connessi alla reti, oltre all'aumento delle minacce informatiche, determinano un considerevole aumento dei rischi. Ovviamente l'obiettivo è anche quello di uniformare la strategia di sicurezza tra i vari Stati dell'Unione europea.
Gli obiettivi sono, quindi:
- gestione dei rischi di sicurezza;
- potezione contro i cyber attacchi;
- individuazione di incidenti di cyber sicurezza;
- riduzione dell'impatto degli indidenti di cyber sicurezza.
La Direttiva NIS, e il decreto di attuazione, si rivolgono a due categorie:
- Operatori di servizi essenziali (OES) stabiliti nell'Unione europea, cioé i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l'economia nei settori sanitario, dell'energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali;
- Digital Service Provider (DSP), cioé le persone giuridiche che forniscono servizi della società dell'informazione (e-commerce, social network, cloud computing, motori di ricerca, financial provider, ecc...); le persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca, con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale.
Non sono soggetti alla normativa i DSP con meno di 50 dipendenti o con fatturato inferiore ai 10 milioni l'anno (piccole e micro imprese).
Si tratta di soggetti che sono essenziali per la vita di tutti i giorni dei cittadini dellUnione. A tali soggetti la direttiva impone specifici oneri:
- adozione di misure tecniche e organizzative adeguate alle gestione dei rischi e a prevenire e minimizzare l'impatto degli incidenti di sicurezza delle reti e dei sistemi informativi, al fine di assicurare la continuità del servizio;
- obbligo di notifica, senza ingiustificato ritardo, degli incidenti di sicurezza con impatto rilevante, rispettivamante sulla continuità e la fornitura del servizio.
La notifica va fatta al Computer Security Incident Response Team (CSIRT) italiano, informandone anche l’Autorità competente NIS di riferimento. Il CSIRT italiano è istituito presso la Presidenza del Consiglio dei ministri mediante unificazione del Computer Emergency Response Team (CERT) Nazionale e del CERT-PA. Si occupa di:
- definire le procedure per la prevenzione e la gestione degli incidenti informatici;
- ricevere le notifiche di incidente, informandone il DIS (Dipartimento informazioni per la sicurezza) che coordina i servizi segreti;
- fornire al notificante le informazioni utili per le gestione efficace dell’incidente;
- informare gli altri Stati membri dell’UE eventualmente coinvolti dall’incidente, tutelando la sicurezza e gli interessi commerciali dell’OSE o del FSD nonché la riservatezza delle informazioni fornite.
Con il regolamento di esecuzione la Commissione europea ha fissato i criteri e le soglie per stabilire la rilevanza degli incidenti da parte dei DSP. Un incidente è rilevante se si verifica almeno una delle seguenti condizione:
- indisponibilità del servizio fornito per oltre 5.000.000 di ore utente;
- perdita di integrità, autenticità o riservatezza dei dati per oltre 100.000 utenti dell’UE;
- rischio per la sicurezza e/o l’incolumità pubblica, o in termini di perdite di vite umane;
- danni materiali superiori a 1.000.000 di EUR per almeno un utente nell’UE.
Direttiva NIS2 (2023)
Nel maggio del 2002 l'Unione europea ha presentato i piani per una riforma della Direttiva NIS al fine di rafforzare la sicurezza europea, in particolare nei settori sensibili come quello bancario, energetico, delle telecomunicazioni e dei trasporti, oltre alle pubbliche amministrazioni. La Direttiva NIS2 si propone come la naturale evoluzione del GDPR, ampliandone il campo di applicazione e rafforzando i requisiti di sicurezza. Mentre il GDPR si concentra principalmente sulla protezione dei dati personali, la NIS 2 amplia il campo di applicazione alla sicurezza informatica in generale.
La Direttiva NIS2 stabilisce un elevato livello comune di cibersicurezza nell’Unione e prevede misure giuridiche per aumentare il livello generale di cibersicurezza nell’UE, garantendo:
- preparazione degli Stati membri, richiedendo loro di essere adeguatamente attrezzati. Ad esempio, con un Computer Security Incident Response Team (CSIRT) e un’autorità nazionale competente per le reti e i sistemi informativi (NIS),
- cooperazione tra tutti gli Stati membri, istituendo un gruppo di cooperazione per sostenere e facilitare la cooperazione strategica e lo scambio di informazioni tra gli Stati membri.
- una cultura della sicurezza in tutti i settori che sono vitali per la nostra economia e società e che dipendono fortemente dalle TIC, come l’energia, i trasporti, l’acqua, le banche, le infrastrutture dei mercati finanziari, l’assistenza sanitaria e le infrastrutture digitali.
La direttiva NIS 2 (n. 2022/2555) è entrata in vigore il 17 gennaio 2023, rendendo così obsoleta la Direttiva NIS.
Il quadro nazionale
La normativa italiana in materia di cybersecurity è tratteggiata da una serie di norme di recepimento delle direttiva europee:
- D.Lgs 18 maggio 2018, n. 65, entrato in vigore il 24 giugno 2018, che recepisce la Direttiva NIS;
- Legge 4 agosto 2021, n. 109, recante "disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza , istituzione dell'Agenzia per la cybersicurezza nazionale";
- D.Lgs n. 134/2024, che recepisce la direttiva CER (Cybersecurity Enhancement for Trustworthy and Resilient Economy), relativa alla protezione fisica delle infrastrutture critiche;
- D.Lgs 4 settembre 2024, n. 138, pubblicato il 1 ottobre 2024 in Gazzetta Ufficiale, che recepisce la direttiva NIS2, entrato in vigore il 16 ottobre 2024;
- DPCM 9 dicembre 2024, n. 221, che stabilisce il Regolamento per la definizione dei criteri per l’applicazione della clausola di salvaguardia connessa al D.lgs. 138/2024.
Insieme la Direttiva NIS2 e CER hanno lo scopo di rafforzare la sicurezza e resilienza dei soggetti critici e dei servizi essenziali sia dal punto di vista fisico che digitale.
Il decreto CER è applicabile a tutti i soggetti pubblici e privati che, entro il 17 agosto 2026, riceveranno la notifica di inclusione tra i soggetti critici (SCRE, soggetti critici di rilevanza europea). I soggetti critici, ovviamente, sono quei soggetti che apprtengono ai settori indicati dalla Direttiva CER e che operano un'infrastruttura critica anche in parte sul territorio nazionale, oppure forniscono un servizio essenziale. Il decreto CER, però, non si applica alle materie disciplinate dal decreto di attuazione della NIS2.
Di contro il decreto NIS2 si applica a tutti i soggetti indicati come critici ai sensi del decreto CER.
La “clausola di salvaguardia” di cui all'art. 3 comma IV del D.lgs. 138/2024, individua i criteri di esenzione dagli obblighi previsti dalla NIS2. Ovviamente solo i soggetti che dimostrino una totale indipendenza dei sistemi informativi e di rete possono beneficiare di tale deroga.
Agenzia Cybersicurezza - La nuova direttiva NIS
Obblighi in base alla direttiva NIS2 e CER
I soggetti individuati come critici dal decreto CER saranno soggetti agli seguenti obblighi sia del decreto CER che del decreto NIS2, obblighi che scatteranno a partire dalla data di notifica di inclusione nella categoria o da un momento successivo come indicato nelle norme.
- registrazione sulla piattaforma dell'ACN entro il 28 febbraio 2025;
- notifica degli incidenti significativi entro 24 ore (attuazione entro 9 mesi dalla notifica);
- identificazione delle strutture critiche (obbligo CER, entro 9 mesi dalla notifica);
- attuazione misure di gestione dei rischi di cybersecurity (CER e NIS2);
- obblighi di raccolta e registrazione dei nomi a dominio, per i soli gestori di registri di nomi a dominio e i fornitori di servizi di registrazione (entro 18 mesi dall'inclusione nella categoria);
- dal 1 maggio al 1 giugno di ogni anno, la comunicazione dell'elenco delle attività e dei servizi svolti (a partire dal momento della comunicazione di inclusione);
- collaborazione con le autorità in caso di indagini o interventi;
- adozione misure tecniche e organizzative adeguate per garantire la sicurezza dei sistemi informatici, compresa la protezione dei dati personali e la continuità operativa;
- formazione del personale sulle tematiche di cybersecurity.
Quindi, la prima fase è la registrazione sulla piattaforma dell'ACN tramite un soggetto che deve essere incaricato quale "punto di contatto" e avrà il compito di dialogare con l'ACN e rispettare gli obblighi della direttiva. Al termine della fase di registrazione, l’Agenzia e le Autorità di settore valuteranno le dichiarazioni per costituire l’elenco dei soggetti NIS entro fine marzo 2025. Nel mese di aprile 2025, l’Autorità nazionale competente NIS notificherà al domicilio digitale di tutti i soggetti registrati se rientrano, o meno, nell’elenco. L'ACN provvederà poi a stabilre, con speficiche determinazioni, i termini e le modalità di implementazione degli altri obblighi previsti dal decreto NIS2.
Con riferimento all'identificazione delle strutture critiche, i soggetti critici dovranno, quindi, svolgere una valutazione del rischio che consideri sia i rischi rilevanti che possano derivare da un incidente e sia il livello di interdipendenza tra il servizio essenziale erogato e altri settori o servizi essenziali, eventualmente anche in altri Stati membri.
Per adempiere agli obblighi previsti dalle due normativa le aziende possono:
- effettuare una valutazione dei rischi per identificare le vulnerabilità e le minacce più significative;
- formare il personale.
Con riferimento ai Regisri TLD, ai Registrar, ai rivenditori di nomi a dominio e ai fornitori di servizi DNS (Domain Name System) con sede nell'UE, la NIS2 impone obblighi specifici in materia di elaborazione dei dati di registrazione dei nomi a dominio. La NIS2, inoltre, stabilisce anche una corretta base giuridica per la raccolta dei dati di registrazione (i dati WHOIS) per gli scopi indicati dalla NIS2, e questo per risolvere i dubbi in materia a seguito dell'entrata in vigore del Regolamento GDPR. In particolare:
- raccogliere e mantenere dati di registrazione del dominio accurati e completi;
- istituire delle politiche per la verifica dei dati dei domini;
- distinguere dati personali (che dovranno essere protetti) da quelli non personali delle persone giuridiche (che dovranno essere resi pubblici senza indebito ritardo);
- Registri e Registrar dovranno fornire ai richiedenti di accesso legittimi i dati di registrazione, compresi i dati personali, nel termine di 72 ore dalla richiesta.
SCHEDA RIASSUNTIVA
Sono soggetto alla NIS2?
- requisito territoriale: aziende che hanno sede o operano in Italia;
- requisito settoriale: alimentare, chimico, rifiuti, energia (es. azienda con impianto fotovoltaico), trasporti, bancario e mercati finanziari, sanitario, ICT, PA, spazio, acqua potabile e reflue, servizi postali, fornitore di servizi digitali e manifattura;
- requisito dimensionale: imprese con oltre 50 dipendenti e fatturato annuo superiore a €10 milioni;
- eccezione: aziende con minori dimensioni possono comunque essere soggette alla NIS2 se ritenute essenziali.
Quali obblighi prevede?
- obblighi di governance
- obblighi di gestione del rischio
- verifica della supply chain
- notifica obbligatoria degli incidenti informatici (24/72 ore).
Cosa fare?
Riferimento: Implementare un sistema di gestione della sicurezza delle informazioni secondo ISO/IEC 27001.
1️⃣ Identificare il punto di contatto ACN
2️⃣ Iscriversi alla piattaforma ACN
3️⃣ Designare un referente interno per la cybersecurity
4️⃣ Formazione continua: programma obbligatorio per dipendenti e reparto ICT
5️⃣ Analisi iniziale: identificare informazioni critiche e valutare le misure di sicurezza esistenti
6️⃣ Adeguamento: implementare processi, KPI, documentazione e strumenti necessari
7️⃣ Audit interno e riesame di direzione per verificare il rispetto dei requisiti
8️⃣ Audit per la certificazione: assistenza per agevolare l’esito positivo
Quali sono le sanzioni?
⚠️ Sanzioni amministrative: fino a 10 milioni di euro o 2% del fatturato annuo
⚠️ Sanzioni interdittive: divieto temporaneo di esercizio dei ruoli dirigenziali, sospensione di certificati o autorizzazioni
⚠️ Pubblicità della sanzione: ACN può decidere di pubblicare la sanzione, con impatto sulla reputazione aziendale.
-------------------
Contattami per una consulenza in questa materia.
