È del 10 giugno la notizia dell’approvazione, da parte del Consiglio dei Ministri, del Decreto di recepimento della Direttiva NIS 2 (Network and Information Security Directive 2) dell’UE.
La norma europea, nota anche come “Direttiva 2022/2555 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione”, rappresenta un importante aggiornamento normativo in materia di sicurezza cibernetica, volto a rafforzare le misure di protezione contro le minacce informatiche già messe in atto all’interno dell’UE. Questo provvedimento sostituisce la precedente Direttiva NIS e introduce obblighi più stringenti per le imprese e le pubbliche amministrazioni.
Indice degli argomenti
Italia tra i primi paesi Ue a recepire la direttiva
L’approvazione del Decreto di recepimento rappresenta un passo importante per l’Italia. La direttiva, infatti, pubblicata ufficialmente il 27 dicembre 2022, dispone che questa debba essere recepita dai Paesi membri dell’Unione Europea entro il 18 ottobre 2024.
Alla data attuale, tra i paesi UE che si sono mossi in tal senso vi sono il Belgio, che ha già recepito la Direttiva il 26 aprile 2024, la Francia, che ha presentato la sua prima bozza di decreto di recepimento il 4 aprile 2024 e la Germania, che il 7 maggio 2024 ha presentato il suo progetto di legge per l’attuazione della NIS2.
A questi si aggiunge ora anche l’Italia. Le discussioni in sede del Consiglio dei ministri sono state avviate su proposta del Presidente Giorgia Meloni, e del Ministro per gli Affari Europei, il Sud, le Politiche di Coesione e il Pnrr, Raffaele Fitto. Il documento ufficiale, tuttavia, non è stato ancora pubblicato.
Che cosa cambia con la NIS 2
La NIS 2 mira a ridurre l’impatto degli incidenti di sicurezza informatica e a migliorare le difese dei paesi dell’Unione contro potenziali attacchi. Rispetto alla Direttiva NIS (UE) 2016/1148, emanata nel 2016, essa estende il proprio campo di applicazione includendo un maggior numero di settori e operatori considerati critici per la sicurezza nazionale e l’economia.
Tra questi, si annoverano non solo le pubbliche amministrazioni, ma anche le aziende nei settori energetico, ICT, dei trasporti, sanitario, e alimentare, oltre ai produttori di macchinari e apparecchiature elettroniche.
Sono tuttavia escluse da tale ambito di applicazione le entità operanti nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa, delle attività di contrasto – comprese la prevenzione, le indagini, l’accertamento e il perseguimento dei reati – nonché i Parlamenti e le banche centrali.
Soggetti essenziali e soggetti importanti
Tra le entità che rientrano nell’ambito di applicazione della Direttiva NIS 2, viene operata una distinzione tra “soggetti essenziali” e “soggetti importanti”.
I “soggetti essenziali” comprendono operatori che forniscono servizi di importanza vitale per il funzionamento della società e dell’economia, come quelli nei settori dell’energia, della sanità, dei trasporti, delle infrastrutture digitali e dei servizi finanziari. Questi operatori sono considerati fondamentali per la resilienza complessiva del sistema Paese e, per esteso, dell’Unione Europea. Pertanto, sono soggetti a requisiti di sicurezza più stringenti e rigorosi.
Dall’altra parte, i “soggetti importanti” includono operatori che, sebbene siano attivi in settori essenziali per il benessere della società, non sono classificati come vitali per il mantenimento delle funzioni sociali ed economiche di base. Questi settori possono comprendere la gestione dei rifiuti, la produzione alimentare, l’industria manifatturiera, e altre aree rilevanti che, pur essendo meno critiche, richiedono comunque un’attenzione significativa per garantire la sicurezza informatica e la protezione contro le minacce cyber.
Una strategia per ottimizzare le risorse
Questa distinzione strategica permette una maggiore focalizzazione e una più efficiente allocazione delle risorse, sia in termini di prevenzione che di risposta agli incidenti, consentendo di affrontare i rischi specifici con misure adeguate alle caratteristiche e all’importanza di ciascun settore.
In questo modo, la Direttiva NIS 2 garantisce un approccio più mirato e proporzionato, assicurando che le risorse di sicurezza informatica siano impiegate in modo ottimale per proteggere le infrastrutture critiche e i servizi essenziali dell’Unione Europea.
La Direttiva prevede, inoltre, che gli operatori debbano implementare misure tecniche e organizzative adeguate e proporzionate ai rischi informatici specifici delle loro attività. All’interno di queste misure sono incluse la gestione degli incidenti, le disposizioni volte al mantenimento della continuità operativa, la sicurezza della supply chain e la formazione continua in materia di sicurezza informatica per il personale e i fornitori.
Inoltre, è richiesto di adottare una serie di pratiche di igiene informatica, che includono il monitoraggio e l’aggiornamento costante dei sistemi per prevenire vulnerabilità; implementare politiche di gestione dei rischi dettagliate, che prevedano l’identificazione, la valutazione e la mitigazione dei rischi informatici; e utilizzare tecnologie di autenticazione a più fattori per garantire un livello elevato di sicurezza e protezione contro accessi non autorizzati.
Dieci mesi per definire i servizi
Il governo italiano è chiamato a recepire la direttiva entro il termine stabilito e a definire un elenco dei soggetti essenziali e importanti entro aprile 2025. Inoltre, l’Italia deve garantire che le imprese adottino le misure necessarie per conformarsi ai nuovi requisiti di sicurezza e che vi sia un’efficace vigilanza e applicazione delle norme.
Dall’analisi della bozza presentata al Consiglio dei ministri per la discussione, emerge nel Decreto legislativo discusso in Italia un forte impegno verso la cibersicurezza e la resilienza delle infrastrutture critiche, sia a livello nazionale che europeo.
La bozza di decreto, che si compone di 44 articoli, presenta un quadro normativo robusto e dettagliato, volto a rafforzare la cibersicurezza e la resilienza delle infrastrutture critiche del Paese. Le disposizioni delineate mostrano una chiara comprensione delle sfide e delle esigenze di protezione del sistema paese, prevedendo misure specifiche e meccanismi di coordinamento essenziali per affrontare le minacce cibernetiche in modo efficace e sostenibile.
Le parole d’ordine: cooperazione e coordinamento
Il decreto legislativo stabilisce un quadro articolato di cooperazione e coordinamento tra diverse autorità nazionali. In particolare, l’articolo 14 si concentra sulla cooperazione tra le autorità nazionali competenti in materia di sicurezza delle reti e dei sistemi informativi (NIS) e vari enti governativi e istituzioni, tra cui il Garante per la protezione dei dati personali, l’ENAC, l’AgID, il Ministero della Difesa, e altre autorità settoriali, per lo scambio di informazioni, la gestione delle minacce informatiche, e il coordinamento delle attività di vigilanza e controllo. Tale collaborazione è regolata da protocolli e decreti specifici e include anche la comunicazione e la gestione congiunta di incidenti rilevanti per la sicurezza cibernetica.
CSIRT crocevia di informazioni
Sono inoltre stabilite le modalità di gestione e divulgazione delle vulnerabilità, promuovendo il ruolo del CSIRT Italia come coordinatore centrale per facilitare l’interazione tra segnalatori di vulnerabilità e produttori di servizi TIC. Il testo prevede lo scambio di informazioni sulla sicurezza informatica tra soggetti rilevanti su base volontaria, supportato dall’Agenzia per la cybersicurezza nazionale.
La collaborazione nell’UE
Il decreto specifica anche la partecipazione delle autorità nazionali al Gruppo di cooperazione NIS, promuovendo lo scambio di migliori pratiche e la collaborazione strategica a livello europeo.
Viene enfatizzata la gestione delle crisi informatiche su vasta scala attraverso la partecipazione alla rete EU-CyCLONe, migliorando la preparazione e la risposta coordinata agli incidenti. Le disposizioni includono obblighi dettagliati per la notifica degli incidenti significativi e misure per garantire la sicurezza dei sistemi informativi e delle reti.
Inoltre, il decreto impone la certificazione di prodotti e servizi TIC per dimostrare la conformità agli obblighi di sicurezza informatica e promuove l’uso di specifiche tecniche europee e internazionali. Infine, vengono definiti i poteri di vigilanza e ispezione dell’Autorità nazionale competente NIS per assicurare il rispetto delle normative e la protezione delle infrastrutture critiche.
È inoltre presentato un articolato sistema di misure esecutive, sanzionatorie e di cooperazione internazionale in ambito di sicurezza informatica. Viene stabilito che l’Autorità nazionale competente NIS eserciti poteri esecutivi basati su monitoraggio, analisi e verifiche ispettive, richiedendo ai soggetti interessati di fornire dati che dimostrino l’implementazione di politiche di sicurezza e conformità agli obblighi.
L’Autorità può intimare l’esecuzione di audit sulla sicurezza, scansioni di sicurezza e altre misure correttive, nonché la comunicazione pubblica delle violazioni e degli incidenti rilevanti.
Infine, il decreto prevede sanzioni amministrative pecuniarie per violazioni specifiche, con importi differenziati tra soggetti essenziali e importanti, e stabilisce le procedure per la loro applicazione.
