Cibersecurity: entra in vigore la Direttiva NIS2
La nuova frontieradella sicurezza informatica per proteggere PA, imprese e supply chain. Cosa prevede e come adeguarsi alla Direttiva che impone nuovi standard di sicurezza informatica.
Lo Stato italiano ha pubblicato sulla Gazzetta Ufficiale il Decreto di recepimento della Direttiva NIS2 lo scorso 1° ottobre 2024. La Direttiva mira a rafforzare il livello globale di cybersicurezza all’interno degli Stati membri, per garantire l’adozione di misure tecniche ed organizzative adeguate contro i rischi informatici attraverso un aumento delle capacità di resilienza aziendale su tutto il processo di gestione di tali rischi, dalla prevenzione alla minimizzazione dell’impatto che tali incidenti possano causare.
La Network and Information Security (NIS) è stata allineata con altre normative europee settoriali specifiche come la Direttiva sulla resilienza operativa digitale per il settore finanziario (DORA) - Regolamento che ha lo scopo di incrementare le misure di sicurezza informatica del settore finanziario - e la Direttiva sulla resilienza delle entità critiche (CER), volta a ridurre le vulnerabilità delle infrastrutture strategiche come energia, trasporti e acque potabili in caso di attacchi ibridi, catastrofi naturali, minacce terroristiche ed emergenze di sanità pubblica. La nuova normativa si colloca in un contesto storico senza precedenti: la pandemia da Covid-19 e il conflitto russo-ucraino hanno trasformato il mondo digitale, aumentando vulnerabilità e rischi. La NIS2 rappresenta quindi una risposta strategica e sistematica per rafforzare la resilienza in 18 settori considerati altamente critici tra i quali l’energia, telecomunicazioni, logistica e gestione dei rifiuti. La sicurezza non è solo un obbligo normativo ma una scelta strategica e può rappresentare un vantaggio competitivo per le aziende: proteggere il proprio perimetro digitale significa garantirne la stabilità e la capacità di competere nel mercato.
Le principali novità della Direttiva NIS2
La Direttiva impone agli Stati membri di adottare piani nazionali di cybersicurezza e di nominare o istituire autorità nazionali, autorità di gestione delle emergenze informatiche, punti di contatto unici e meccanismi di vigilanza e sanzione. Viene richiesta una rapida reazione agli incidenti più gravi e la collaborazione tra gli Stati membri ed è prevista la creazione di un team di risposta agli incidenti di sicurezza informatica (CSIRT) per assistere gli Stati membri e gli operatori economici. La Direttiva introduce inoltre il concetto di catena di approvvigionamento e i relativi requisiti di sicurezza e amplia le categorie di soggetti a cui la Direttiva stessa si applica: soggetti essenziali (settori ad alta criticità) e soggetti importanti all’interno di settori critici come “operatori di servizi essenziali” e “fornitori di servizi digitali”. Uno dei temi centrali è la protezione della supply chain: ogni attore, dai fornitori ai manutentori, deve essere messo in sicurezza per evitare che un solo anello debole comprometta l’intero sistema. L’Agenzia per la Cybersicurezza Nazionale sta già lavorando per definire, entro aprile 2025, misure flessibili basate sull’analisi del rischio, offrendo indicazioni pratiche per difendersi da attacchi sempre più sofisticati.
Obblighi e scadenze della Direttiva NIS2
Il Decreto Legislativo 138/2024 introduce gli obblighi e le scadenze di recepimento della NIS2, in dettaglio:
- Le aziende e le pubbliche amministrazioni dovranno svolgere un assesment per comprendere se siano o meno soggette agli obblighi della Direttiva NIS2.
- Dal 1° dicembre 2024 fino al 28 febbraio 2025, i punti di contatto dovranno autenticarsi sul portale ACN (Agenzia per la cybersicurezza nazionale), utilizzando le credenziali SPID. Durante questo periodo, gli utenti designati come punti di contatto dovranno compilare una dichiarazione tramite il Servizio NIS/Registrazione, assicurandosi che le informazioni fornite siano corrette e aggiornate. In particolare, secondo un vademecum stilato da DNV gli utenti dovranno: indicare se il soggetto è parte di un gruppo di imprese e fornire il codice fiscale della capogruppo, se applicabile; elencare le imprese collegate e fornire i relativi codici fiscali; Elencare i codici Ateco che descrivono l'attività del soggetto; indicare le normative settoriali dell'Unione europea pertinenti; fornire i valori del fatturato, del bilancio e il numero di dipendenti per determinare la categoria dell'impresa.
- Entro il 17 gennaio 2025 dovranno registrarsi sulla piattaforma i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, dei servizi di data center, delle reti di distribuzione dei contenuti, i fornitori di servizi gestiti e di sicurezza nonché i fornitori di mercati online, di motori di ricerca e di piattaforme di social network.
- Entro il 31 marzo 2025, l’ACN redigerà l’elenco dei soggetti essenziali e dei soggetti importanti sulla base delle registrazioni ricevute attraverso la piattaforma.
- Tra il 1° aprile 2025 e il 15 aprile 2025, l’ACN comunicherà ai soggetti interessati se sono stati inseriti tra l’elenco dei soggetti essenziali o importanti.
- Entro il 15 aprile 2025, i soggetti che avranno ricevuto la comunicazione dovranno nominare con un apposito atto un soggetto che abbia la responsabilità dell’adempimento degli obblighi del decreto.
I soggetti interessati dalla Direttiva dovranno procedere con ulteriori adempimenti: entro il 01/01/2026 obbligo di notifica incidenti ed entro il 1° ottobre 2026 si dovrà adempiere agli obblighi in materia di organi amministrativi e delle misure di sicurezza. Ogni anno l'Agenzia per la cybersicurezza nazionale aggiornerà l'elenco dei soggetti coinvolti. Le aziende e le pubbliche amministrazioni avranno la possibilità di registrarsi ogni anno, tra gennaio e febbraio, qualora ritengano di far parte dei soggetti interessati. A seguito dell’entrata in vigore della NIS2 e dell’individuazione degli operatori coinvolti potranno essere eseguite attività di vigilanza ed audit a campione per verificare la conformità degli stessi alla Direttiva. Nel caso di non conformità, per le aziende coinvolte saranno applicabili delle sanzioni.
