È stato ufficialmente pubblicato nella Gazzetta Ufficiale del primo ottobre 2024 il Decreto Legislativo n. 138, che recepisce la direttiva (UE) 2022/2555, nota come NIS 2 e che entrerà in vigore il prossimo 16 ottobre 2024.
Questo segna un importante passo per l’Italia nella gestione della sicurezza informatica, implementando misure per garantire un livello comune elevato di cyber security a livello nazionale e nell’Unione Europea.
Il decreto di recepimento si inserisce in un contesto fortemente digitalizzato in cui la cyber security è diventata una priorità assoluta, con minacce informatiche sempre più sofisticate che mettono a rischio la stabilità delle infrastrutture critiche e la sicurezza dei dati.
In questo contesto, il Decreto Legislativo di attuazione della direttiva NIS 2 rappresenta una pietra miliare per la sicurezza informatica in Italia e nell’Unione Europea.
Il decreto, che ha come obiettivo primario quello di proteggere le infrastrutture essenziali, introduce nuovi obblighi per le aziende considerate fondamentali per l’economia e la società, rafforzando la resilienza contro le minacce informatiche.
Indice degli argomenti
La struttura del decreto di recepimento della NIS 2
Il decreto si compone di 6 capi e 44 articoli, ognuno dei quali affronta aspetti fondamentali della sicurezza informatica, dalle definizioni operative fino alle sanzioni in caso di inadempimento.
Tra gli articoli chiave, troviamo disposizioni che impongono obblighi stringenti ai soggetti considerati essenziali e importanti per la gestione del rischio informatico, nonché l’obbligo di notifica in caso di incidenti e quasi-incidenti, uno dei pilastri di questa direttiva.
Articolo 1: l’obiettivo della NIS 2
Il cuore della NIS 2 è la protezione delle infrastrutture critiche.
L’articolo 1 chiarisce che il decreto stabilisce misure atte a garantire un livello elevato di sicurezza informatica, contribuendo all’incremento del livello comune di sicurezza all’interno dell’Unione Europea.
In un contesto in cui le minacce digitali si fanno sempre più complesse, l’importanza di un quadro normativo armonizzato a livello europeo è evidente: solo con uno sforzo collettivo sarà possibile mitigare efficacemente i rischi associati agli attacchi informatici.
Definizioni chiave: sicurezza dei sistemi informativi e incidente
L’articolo 2 del decreto fornisce definizioni cruciali per comprendere il campo d’azione della NIS 2.
La sicurezza dei sistemi informativi e di rete è definita come la capacità dei sistemi di resistere a eventi che potrebbero comprometterne la disponibilità, l’autenticità, l’integrità o la riservatezza.
Anche il concetto di incidente viene chiarito, inteso come un evento che minaccia la sicurezza di questi sistemi e dei dati in essi contenuti.
Un altro concetto innovativo è quello di quasi-incidente, ossia un evento che avrebbe potuto causare un incidente ma che è stato efficacemente evitato.
Obblighi per i soggetti essenziali e importanti
Uno degli articoli centrali è l’articolo 7, che disciplina l’identificazione e la registrazione dei soggetti essenziali e importanti.
Questi soggetti devono registrarsi annualmente sulla piattaforma digitale messa a disposizione dall’Autorità nazionale competente NIS.
Questa registrazione include la ragione sociale, i recapiti e la designazione di un punto di contatto, informazioni vitali per assicurare una comunicazione efficace e tempestiva tra le aziende e le autorità in caso di minacce alla sicurezza.
Entro il 31 marzo di ogni anno, l’Autorità NIS aggiorna l’elenco dei soggetti essenziali e importanti, e questi ultimi hanno l’obbligo di mantenere aggiornate le informazioni, compresi gli indirizzi IP pubblici e i domini in uso.
Articolo 23: il ruolo degli organi direttivi
Gli organi di amministrazione delle organizzazioni ricoprono un ruolo fondamentale nella gestione della sicurezza informatica, come stabilito dall’articolo 23.
Essi devono approvare e sovrintendere l’implementazione delle misure di gestione del rischio e garantire che i dipendenti siano adeguatamente formati.
Il mancato rispetto degli obblighi di sicurezza può comportare responsabilità diretta per gli amministratori, con potenziali sanzioni sia per l’azienda che per le persone fisiche coinvolte.
Un approccio multirischio
L’articolo 24 introduce l’obbligo di adottare misure tecniche e organizzative proporzionate per la gestione dei rischi informatici, attraverso un approccio multirischio che tiene conto non solo delle minacce digitali, ma anche di rischi fisici come furti, incendi e inondazioni.
Le misure includono politiche di sicurezza, gestione degli incidenti, continuità operativa e sicurezza della catena di approvvigionamento.
Particolare attenzione è rivolta alla gestione delle vulnerabilità e all’uso di tecnologie di sicurezza avanzate come l’autenticazione a più fattori.
Articolo 25: notifica degli incidenti e quasi-incidenti
L’articolo 25 stabilisce tempistiche stringenti per la notifica degli incidenti significativi: entro 24 ore per la notifica iniziale e 72 ore per fornire dettagli aggiuntivi, inclusi gli indicatori di compromissione (IoC).
La notifica finale deve essere inviata entro 60 giorni dall’incidente. Questi requisiti sono estesi anche ai quasi-incidenti, che devono essere notificati con le stesse modalità, come prescritto dall’articolo 26.
Questo approccio garantisce che le autorità siano immediatamente informate di eventuali minacce e possano intervenire tempestivamente.
Sanzioni severe per le inadempienze
Il decreto prevede sanzioni amministrative rigorose per i soggetti che non rispettano le misure previste.
L’articolo 38 consente all’Autorità NIS di sospendere temporaneamente i certificati o le autorizzazioni in caso di mancato adeguamento da parte di un’organizzazione.
Inoltre, i membri degli organi direttivi possono essere dichiarati incapaci di svolgere funzioni dirigenziali fino a quando non saranno attuate le misure necessarie per sanare le violazioni.
Una nuova era di responsabilità per le aziende
L’aspetto cruciale di questo decreto è che non si limita a delineare misure tecniche, ma chiama in causa direttamente i vertici aziendali.
Gli organi amministrativi, oltre a dover approvare e supervisionare le strategie di gestione del rischio, sono ora responsabili in prima persona delle violazioni.
Questo rappresenta un cambiamento radicale nel modo in cui la sicurezza informatica è percepita: non più un ambito esclusivo del reparto IT, ma una responsabilità che permea l’intera struttura aziendale.
In aggiunta, le aziende devono garantire una formazione continua in materia di cyber security, non solo per rispondere agli attacchi, ma anche per prevenire comportamenti che potrebbero esporle a rischi evitabili.
Notifica di incidenti: tempismo e trasparenza
Uno degli aspetti chiave del decreto riguarda la notifica degli incidenti di sicurezza. Le aziende sono obbligate a segnalare gli eventi significativi entro 24 ore dalla rilevazione, fornendo una relazione dettagliata entro le successive 72 ore.
Questo obbligo di trasparenza mira a garantire una risposta tempestiva e coordinata tra imprese e autorità, riducendo al minimo l’impatto degli attacchi.
Inoltre, viene introdotto l’obbligo di segnalare anche i “quasi-incidenti”, situazioni che, pur non avendo ancora causato danni rilevanti, potrebbero portare a conseguenze serie in futuro.
Le scadenze annuali per la compliance
Il percorso di conformità alla NIS 2 non è un evento una tantum, ma richiede un impegno costante da parte delle aziende, scandito da precise scadenze annuali.
Ecco un quadro temporale delle attività che le imprese devono intraprendere per mantenere la conformità:
- Ogni anno, dal primo gennaio al 28 febbraio, le aziende devono registrarsi o aggiornare le informazioni sulla piattaforma digitale predisposta dall’ACN, includendo dettagli essenziali come ragione sociale, settore di appartenenza, e punto di contatto.
- Entro il 31 marzo di ogni anno, l’ACN pubblica l’elenco aggiornato delle aziende registrate e comunica ufficialmente la loro inclusione o eventuale esclusione dall’elenco dei soggetti regolamentati.
- Dal 15 aprile al 31 maggio le aziende notificate dall’ACN devono fornire informazioni aggiornate su indirizzi IP pubblici, domini e responsabili della sicurezza.
- Dal primo maggio al 30 giugno le aziende devono comunicare le informazioni relative ai servizi e alle attività svolte (Art. 24 comma 1 e 2), in modo da consentire una categorizzazione accurata da parte delle autorità competenti. (Entro 90 giorni dalla comunicazione ACN fornisce riscontro ai soggetti circa la conformità. In assenza del riscontro la conformità si intende convalidata.)
La fase di prima applicazione
Il decreto NIS 2 stabilisce anche il termine per l’adempimento degli obblighi di cui agli articoli 23 e 24 (approvazione delle modalità di implementazione delle misure di gestione dei rischi) e 29 (realizzazione della banca dati di registrazione dei nomi di dominio), che è fissato in 18 mesi dalla comunicazione di cui sopra. (Art.7 comma 3).
Un impegno che non si ferma
Le scadenze rappresentano solo una parte del quadro generale. La compliance richiede una pianificazione strategica e una collaborazione continua tra le aziende e le autorità. Non si tratta semplicemente di soddisfare requisiti burocratici, ma di costruire un sistema di sicurezza che protegga in modo efficace dalle minacce, in un mondo in cui gli attacchi informatici sono in costante evoluzione.
In questo senso, l’attuazione del Decreto Legislativo di NIS 2 non solo mira a tutelare le infrastrutture critiche, ma anche a creare un clima di maggiore fiducia all’interno del mercato digitale europeo.
Le aziende devono percepire questo percorso non come un obbligo imposto dall’alto, ma come un’opportunità per rafforzare le proprie difese e garantire continuità operativa in un contesto sempre più interconnesso e vulnerabile.
In definitiva, il successo dell’implementazione della direttiva NIS 2 dipenderà dalla capacità delle imprese di comprendere la portata di queste misure e di tradurle in azioni concrete e continuative, in grado di adattarsi ai cambiamenti del panorama delle minacce informatiche.
