Direttiva NIS 2: le novità del decreto attuativo e guida pratica per le aziende

Il Decreto Legislativo 138/2024, pubblicato in Gazzetta Ufficiale, ha recepito la Direttiva NIS 2. Tuttavia, ciò non implica un’immediata corsa alla compliance. Il decreto stabilisce infatti che le sue disposizioni avranno effetto solo a partire dal 16 ottobre 2024. Inoltre, per conoscere nel dettaglio gli obblighi specifici, le aziende dovranno attendere ulteriori chiarimenti che arriveranno nei prossimi mesi.

A chi si applicherà la Direttiva NIS 2?

Il primo passo sarà identificare con precisione gli operatori che rientreranno nell’ambito di applicazione della normativa. Il Decreto Legislativo 138/2024, riprendendo le indicazioni del testo europeo, stabilisce che tra i soggetti coinvolti vi saranno sia enti privati che pubblici, operanti nei settori definiti negli allegati I-II e III-IV del decreto. Tuttavia, rispetto alla Direttiva europea, il testo italiano introduce una precisazione aggiuntiva: gli operatori devono essere soggetti alla giurisdizione nazionale.

Piccole imprese: quando dovranno rispettare la Normativa NIS2

La normativa NIS 2 non si applicherà alle piccole imprese, salvo alcune eccezioni. In particolare, se rientrano in una delle seguenti categorie:

• sono identificate come “critiche” ai sensi della Direttiva RCE;

• operano come fornitori di reti pubbliche di comunicazione elettronica o offrono servizi di comunicazione elettronica accessibili al pubblico;

• prestano servizi fiduciari;

• gestiscono registri di domini di primo livello o offrono servizi di sistema dei nomi a dominio;

• forniscono servizi di registrazione dei nomi a dominio;

• sono già state identificate come operatori di servizi essenziali o fornitori di servizi digitali ai sensi della Direttiva NIS;

• rappresentano l’unico fornitore nazionale di un servizio essenziale;

• offrono servizi la cui interruzione potrebbe comportare un rischio sistemico significativo;

• sono considerate critiche per la loro importanza a livello nazionale;

• sono elementi sistemici della catena di approvvigionamento di soggetti essenziali o importanti.

‍

Focus sulla catena di approvvigionamento

Esaminando questo aspetto, si nota come la normativa che recepisce la Direttiva NIS 2 non si concentri esclusivamente sui settori considerati critici, ma estenda l’applicazione anche ai loro fornitori. Questo approccio amplia significativamente il numero di soggetti che potrebbero essere coinvolti dal Decreto Legislativo, rafforzando la resilienza complessiva della catena di approvvigionamento.

‍

Applicazione alle società con influenza dominante

La Direttiva NIS 2 e il Decreto 138/2024 si applicheranno anche a tutte le società che esercitano un’influenza dominante o che, in qualsiasi modo, possono incidere sulle decisioni di gestione della sicurezza informatica di un soggetto essenziale o importante, oppure che gestiscono i sistemi informatici di tali soggetti. La normativa prevede, inoltre, una distinzione tra soggetti essenziali e importanti, basata sulla loro dimensione e sulla natura dei servizi forniti.

‍

Tempistiche per l’identificazione degli enti interessati dalla Direttiva NIS 2 e prossimi passi

Come accennato, sarà necessario attendere ancora qualche mese per una precisa identificazione degli enti chiamati a conformarsi alle disposizioni della Direttiva NIS 2. Gli enti qualificati come soggetti essenziali o importanti dovranno registrarsi su una piattaforma specifica fornita dall'Agenzia per la Cyber-sicurezza Nazionale (ACN), che entro aprile 2025 redigerà l'elenco delle aziende e delle pubbliche amministrazioni coinvolte. In linea con quanto fatto per la Direttiva NIS 1 e il Perimetro di Sicurezza Nazionale Cibernetica, l'ACN notificherà a ciascun ente l'inclusione nell’elenco dei soggetti interessati dalla normativa.

‍

Obblighi per gli operatori

Il Decreto Legislativo impone ai soggetti essenziali e importanti di adottare misure tecniche, operative e organizzative proporzionate ai rischi per la sicurezza dei sistemi informativi utilizzati nei servizi erogati, al fine di ridurre l'impatto degli incidenti sui destinatari dei servizi. Tuttavia, i dettagli delle misure di sicurezza saranno definiti dall'ACN, basandosi su fattori come:

• il livello di esposizione al rischio;

• le dimensioni dell'ente;

• la probabilità e la gravità degli incidenti, inclusi impatti economici e sociali.

È probabile che molti degli enti soggetti alla normativa dispongano già di un livello di cyber maturity che permetta loro di adottare misure migliorative rispetto a quelle esistenti. Pertanto, la normativa non rappresenta una rivoluzione, ma un'evoluzione delle pratiche di sicurezza informatica. Sarà fondamentale il supporto di professionisti tecnici e legali esperti, che possano mappare e valorizzare le attività già svolte dagli enti.

Obblighi per i soggetti qualificati come essenziali o importanti

Il Decreto richiede che i soggetti qualificati come essenziali o importanti aggiornino annualmente, tramite la piattaforma dell’ACN, un elenco delle attività svolte e dei servizi erogati. Ciò garantirà un'applicazione proporzionata e graduale degli obblighi, che saranno differenziati in base a:

• le categorie di rilevanza identificate dall’ACN;

• il settore, sottosettore e tipo di soggetto, tenendo conto del livello di cyber maturity iniziale;

• la classificazione come essenziale o importante.

‍

Rinforzo degli obblighi di notifica degli incidenti

Il Decreto di recepimento rafforza gli obblighi di notifica degli incidenti, richiedendo che vengano segnalati al CSIRT Italia, senza ingiustificato ritardo, tutti gli incidenti che hanno un impatto significativo sui servizi. Questi includono:

• incidenti che causano o possono causare gravi interruzioni dei servizi o perdite finanziarie;

• incidenti che hanno avuto, o possono avere, ripercussioni su altre persone fisiche o giuridiche, provocando perdite materiali o immateriali considerevoli.

Tempistiche per la notifica degli incidenti

Il processo di notifica segue tempistiche rigorose:

• prenotifica entro 24 ore, che indichi se l’incidente ha natura illecita o malevola e se potrebbe avere un impatto transfrontaliero;

• notifica completa entro 72 ore, con aggiornamenti alla prenotifica, valutazione iniziale della gravità e dell’impatto, e indicatori di compromissione;

• relazione intermedia, su richiesta del CSIRT Italia;

• relazione finale entro un mese dall’incidente, contenente una descrizione dettagliata, la causa, le misure adottate e l’impatto transfrontaliero, se applicabile. Se l’incidente è ancora in corso, è richiesta una relazione mensile sui progressi.

‍

Obbligo di supporto del CSIRT agli enti colpiti

Il Decreto introduce l’obbligo per il CSIRT Italia di fornire supporto agli enti che subiscono un attacco informatico. Entro 24 ore dalla prenotifica, il CSIRT è tenuto a rispondere e fornire orientamenti sulle misure di mitigazione. Inoltre, su richiesta dell’ente, potrà offrire supporto tecnico e, in caso di sospetto criminale, consigli sulla necessità di segnalare l’incidente al Ministero dell’Interno.

Notifica ai destinatari dei servizi

I soggetti essenziali e importanti devono notificare gli incidenti significativi anche ai destinatari dei servizi, qualora questi possano avere un impatto negativo sulla fornitura. Se necessario, in accordo con il CSIRT, gli enti devono informare i destinatari delle minacce rilevanti e fornire indicazioni su misure correttive o di mitigazione. È importante per gli enti valutare attentamente quando effettuare tali comunicazioni, definendo una strategia di comunicazione efficace.

Notifica al pubblico di incidenti significativi

L’ACN può informare il pubblico riguardo a incidenti significativi per evitare la propagazione degli effetti o per gestire meglio l’evento. Questa divulgazione è ammessa anche per motivi di interesse pubblico.

Notifica volontaria degli incidenti

Il Decreto permette la notifica volontaria degli incidenti, anche quando non comportano un impatto significativo, sia per i soggetti essenziali e importanti sia per altri operatori nazionali, consentendo loro di partecipare al sistema di monitoraggio.

‍

Certificazioni e specifiche tecniche

Il Decreto introduce la possibilità per l’ACN di imporre ai soggetti essenziali e importanti l’utilizzo di specifici prodotti, servizi e processi TIC, sia sviluppati internamente che forniti da terzi, al fine di garantire la sicurezza. Questo sosterrà il processo di certificazione a livello UE e lo sviluppo di un mercato più sicuro. L’ACN, inoltre, può promuovere specifiche tecniche e aggiornare periodicamente un elenco delle tecnologie più idonee alla gestione dei rischi. Questo elenco non è vincolante, ma servirà come guida per gli enti.

‍

Il ruolo del management

Nonostante sia necessario attendere ancora per conoscere esattamente tutti gli obblighi previsti dalla normativa, il Decreto Legislativo chiarisce un punto fondamentale: il management delle aziende avrà una responsabilità diretta. Seguendo l’approccio del Regolamento DORA per le entità finanziarie, gli organi di amministrazione e direzione dovranno essere attivamente coinvolti nella compliance. Saranno tenuti ad approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza, supervisionare l’implementazione degli obblighi previsti dalla normativa, e potranno essere ritenuti responsabili in caso di violazioni. Inoltre, dovranno essere tempestivamente informati su eventuali incidenti informatici notificati al CSIRT Italia.

È importante notare che l’inosservanza degli obblighi diretti agli organi di gestione può comportare sanzioni, come sarà illustrato nel paragrafo successivo. Pertanto, è consigliabile che le attività di compliance siano pianificate non solo da un punto di vista tecnico, ma anche tenendo conto delle possibili responsabilità legali.

‍

Sanzioni in base al tipo di violazione e alla qualifica del soggetto

Il Decreto Legislativo differenzia le sanzioni in base al tipo di violazione e alla qualifica del soggetto. Per i soggetti essenziali, la violazione di obblighi come il mancato rispetto degli obblighi imposti agli organi di amministrazione, la mancata implementazione delle misure tecniche, organizzative e operative, o l’omissione di notifiche può comportare una sanzione fino a 10 milioni di euro o fino al 2% del fatturato annuo mondiale. Per i soggetti importanti, le sanzioni possono arrivare fino a 7 milioni di euro o fino all’1,4% del fatturato mondiale.

‍

‍

Conclusioni

In sintesi, in questa fase iniziale di attuazione del Decreto 138/2024, è fondamentale che le aziende adottino alcune strategie chiave per prepararsi al meglio all'applicazione della normativa. Possiamo riassumere i primi passi essenziali in tre punti:

1. Pre-valutazione dell’applicabilità del decreto: ogni azienda dovrebbe considerare se il decreto si applichi alla propria attività. Questa valutazione richiede un'analisi approfondita del settore economico e della dimensione dell'impresa, nonché delle attività svolte, per capire se l’azienda sia soggetta agli obblighi della NIS 2, indipendentemente dalle dimensioni.
2. Registrazione e identificazione: dopo la fase di pre-valutazione, è cruciale che le aziende interessate completino entro l’inizio del 2025 la registrazione e l’identificazione sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN). Questo costituisce il primo passo operativo per adempiere agli obblighi formali e garantire l'aggiornamento dei dati aziendali.
3. Pianificazione: una pianificazione adeguata permetterà alle imprese di affrontare i futuri adempimenti senza ritardi. È importante iniziare a pianificare l'implementazione delle misure di sicurezza necessarie, adottando un approccio strategico. In attesa di indicazioni specifiche per i vari settori economici, le aziende possono stabilire un livello minimo dei propri processi di cybersecurity, consapevoli che le misure suggerite potranno risultare utili anche per quelle non direttamente soggette alla normativa.

‍

----

Vuoi adeguare la tua azienda alla Direttiva NIS 2? Con il nostro supporto potrai prepararti ai nuovi obiettivi di cyber security!