Gentile utente ti informiamo che questo sito utilizza cookie di profilazione di terze parti. Se decidi di continuare la navigazione accetti l'uso dei cookie.
x Chiudi
Consulenza.it - L'informazione integrata per professionisti e aziende
Consulenza Buffetti - il portale dei professionisti e delle aziende
Ricerca avanzata

News

Impresa Digitale
torna alle news

Cybersicurezza. Approvata la Direttiva NIS. Nuovi obblighi in capo ad imprese e pa

Il prossimo 17 Ottobre entra in vigore anche in Italia la direttiva NIS2 sulla Cybersicurezza.

Si tratta di una norma europea sulla sicurezza delle reti e dei sistemi informativi che impone ad imprese ed enti pubblici nuovi obblighi per garantire un livello più elevato di protezione contro gli attacchi informatici.

Con il decreto n. 138/2024, il Governo ha ratificato la suddetta direttiva, recependola nel nostro ordinamento.

Destinatari della NIS2

La direttiva NIS2, secondo quanto disposto anche dal decreto n. 138 succitato, si applica alle imprese di media e grande dimensione, ossia a quelle aziende che hanno più di 50 addetti e un giro d’affari superiore ai 10 milioni di euro.

Le norme si applicano anche alle pubbliche amministrazioni di cui  all'articolo  1,  comma  3,  della  legge  31 dicembre  2009,  n.  196,   ricomprese   nelle   categorie   elencate nell'allegato III del decreto in esame.

Destinatari delle norme, indipendentemente  dalle  loro dimensioni, sono anche altri soggetti; più in dettaglio:
 

  1. i soggetti identificati  come  soggetti  critici  ai sensi del  decreto  legislativo,  che  recepisce  la  direttiva  (UE) 2022/2557 del Parlamento europeo e del  Consiglio,  del  14  dicembre 2022;
  2. i fornitori di reti pubbliche di comunicazione elettronica  o di servizi di comunicazione elettronica accessibili al pubblico;
  3. i prestatori di servizi fiduciari;
  4. i gestori di registri dei nomi di dominio di primo livello  e fornitori di servizi di sistema dei nomi di dominio;
  5. i fornitori di servizi di registrazione dei nomi di dominio.


Gli allegati I, II, III, IV al decreto n. 138 riportano, inoltre, i criteri in base ai quali individuare i soggetti a cui la direttiva si applica indipendentemente dalle dimensioni. Tali soggetti sono individuati dall'Autorità nazionale competente NIS (ACN), che provvede a notificare ad essi la loro individuazione ai fini della registrazione sulla piattaforma digitale resa disponibile, dalla medesima agenzia.

Dovranno adeguarsi alle norme della direttiva anche i soggetti appartenenti ai settori o alle tipologie di cui agli  allegati  I,  II,  III  e  IV, indipendentemente  dalle  loro  dimensioni,  individuati sempre da ACN  qualora:

  1. il soggetto sia identificato prima della data  di  entrata  in vigore del decreto come operatore di servizi  essenziali  ai sensi del decreto legislativo 18 maggio 2018, n. 65; 
  2. il soggetto sia l'unico fornitore nazionale di un servizio che e' essenziale per il mantenimento di attivita' sociali  o  economiche fondamentali;
  3. una perturbazione del servizio fornito dal  soggetto  potrebbe avere   un   impatto   significativo   sulla   sicurezza    pubblica, l'incolumita' pubblica o la salute pubblica;
  4. una perturbazione del servizio fornito dal  soggetto  potrebbe comportare un rischio sistemico significativo, in particolare  per  i settori nei  quali  tale  perturbazione  potrebbe  avere  un  impatto transfrontaliero;
  5. il soggetto sia  critico  in  ragione  della  sua  particolare importanza a livello  nazionale  o  regionale  per  quel  particolare settore o tipo di servizio  o  per  altri  settori  indipendenti  nel territorio dello Stato;
  6. il soggetto sia considerato  critico  ai  sensi  del  decreto quale elemento sistemico della catena di  approvvigionamento, anche digitale, di uno  o  piu'  soggetti  considerati  essenziali  o importanti.

Infine il decreto n. 138 si applica, indipendentemente dalle sue dimensioni, all'impresa collegata ad  un  soggetto  essenziale  o importante, se soddisfa almeno uno dei seguenti criteri:

  1. adotta decisioni o  esercita  una  influenza  dominante  sulle decisioni relative  alle  misure  di  gestione  del  rischio  per  la sicurezza informatica di un soggetto importante o essenziale;
  2. detiene o gestisce  sistemi  informativi  e  di  rete  da  cui dipende  la  fornitura  dei  servizi  del   soggetto   importante   o essenziale;
  3. effettua operazioni  di  sicurezza  informatica  del  soggetto importante o essenziale;
  4. fornisce  servizi  TIC  o  di  sicurezza,  anche  gestiti,  al soggetto importante o essenziale.

Soggetto essenziale o importante

La direttiva e quindi il decreto prevedono una differenziazione per categorie, suddividendo tra soggetto essenziale e soggetto importante. E’ compito dell'ACN  individuare, i soggetti  che,  indipendentemente  dalle  loro  dimensioni,  sono considerati essenziali. I soggetti importanti sono invece quei soggetti che rientrano nell’ambito di applicazione della norma, ma non sono considerati essenziali.


Direttiva NIS. Le date importanti

Il decreto prevede che ACN, entro il prossimo 15 aprile, notifichi ai soggetti interessati la doverosa registrazione sulla piattaforma, valutando se il soggetto è essenziale o importante.
Il 17 gennaio 2025, invece, scatta la data di registrazione sulla piattaforma che va riconfermata annualmente, verificando la correttezza dei dati, aggiornandoli (l’obbligo di aggiornamento andrà effettuato entro il primo gennaio 2026, inserendo anche l’elenco delle attività e dei servizi).
Entro il primo gennaio 2026, i soggetti a cui si applica la NIS2 sono tenuti alla notifica degli incidenti informatici. Si rende necessario, pertanto, agire sin da ora a livello organizzativo per prevedere come rilevare gli incidenti ed individuare l’iter per la corretta notifica.
Entro il mese di ottobre 2026, i soggetti a cui si applica la NIS2 devono adeguarsi agli obblighi previsti agli articoli 23 (organi amministrazione e direttivi), 24 (Obblighi in materia di misure di gestione dei rischi per la sicurezza informatica) e 29  (Obblighi in materia di notifica di incidente).

Valutazione del rischio

L’articolo 24 del decreto prevede una serie di obblighi a carico dei soggetti destinatari della norma, riferiti alla riduzione del rischio. Tali soggetti, infatti, dovranno effettuare una valutazione del rischio informatico, adottando  conseguenti misure tecniche, operative e organizzative adeguate e proporzionate al livello di rischio individuato.

Si tratta di misure che dovranno:

  1. assicurare un livello di sicurezza dei sistemi  informativi  e di rete adeguato ai rischi esistenti, tenuto conto  delle  conoscenze piu'  aggiornate  e  dello  stato  dell'arte  in   materia   e,   ove applicabile,   delle   pertinenti   norme   nazionali,   europee    e internazionali, nonche' dei costi di attuazione;
  2. sono proporzionate  al  grado  di  esposizione  a  rischi  del soggetto, alle dimensioni del soggetto e  alla  probabilita'  che  si verifichino incidenti, nonche' alla loro gravita', compreso  il  loro impatto sociale ed economico.

Le misure dovranno basarsi su  un  approccio multi-rischio, volto a proteggere i sistemi  informativi  e  di  rete nonche' il loro ambiente fisico da incidenti, e devono comprendere almeno  i seguenti elementi:

  1. politiche di analisi dei rischi e  di  sicurezza  dei  sistemi informativi e di rete;
  2. gestione degli incidenti,  ivi  incluse  le  procedure  e  gli strumenti per eseguire le notifiche di cui agli articoli 25 e 26;
  3. continuita' operativa, ivi inclusa la gestione di  backup,  il ripristino in caso di disastro, ove  applicabile,  e  gestione  delle crisi;
  4. sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i  rapporti  tra  ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
  5. sicurezza   dell'acquisizione,   dello   sviluppo   e   della manutenzione dei sistemi informativi  e  di  rete,  ivi  comprese  la gestione e la divulgazione delle vulnerabilita';
  6. politiche e procedure per valutare l'efficacia delle misure di gestione dei rischi per la sicurezza informatica;
  7. pratiche di igiene di base  e  di  formazione  in  materia  di sicurezza informatica;
  8. politiche e procedure relative all'uso della  crittografia  e, ove opportuno, della cifratura;
  9. sicurezza  e  affidabilita'  del  personale,   politiche   di controllo dell'accesso e gestione dei beni e degli assetti;
  10. uso di  soluzioni  di  autenticazione  a  piu'  fattori  o  di autenticazione continua, di comunicazioni vocali,  video  e  testuali protette, e di sistemi di  comunicazione  di  emergenza  protetti  da parte del soggetto al proprio interno, ove opportuno.

Notifica degli incidenti

L’articolo 25 del decreto in esame, che prevede gli obblighi di notifica degli incidenti informatici significativi, stabilisce quali informazioni vanno comunicate al CISRT Italia e cosa si intende per incidente significativo, ossia un incidente che:

  • ha causato o e' in grado di causare  una  grave  perturbazione operativa  dei  servizi  o  perdite  finanziarie  per   il   soggetto interessato;
     
  • ha avuto ripercussioni o e' idoneo a  provocare  ripercussioni su altre persone fisiche o giuridiche causando  perdite  materiali  o immateriali considerevoli.

La notifica va trasmessa, senza ingiustificato ritardo, e  comunque  entro  72  ore  da quando si viene a  conoscenza  dell'incidente  significativo; tale notifica va fatta a seguito di una prenotifica sintetica da compiersi entro e non oltre 24 ore da quando si viene a conoscenza dell’incidente, indicando se l'incidente significativo possa ritenersi il risultato di atti illegittimi o  malevoli  o  puo' avere un impatto transfrontaliero.

Oltre alla notifica obbligatoria dell’incidente, l’articolo 26 prevede una notifica su base volontaria degli incidenti diversi da quelli significativi indicati nell’articolo 25.

Uso di schemi di certificazione


Al fine di dimostrare il rispetto di determinati obblighi di cui all'articolo 24, l'Autorita' nazionale  competente  NIS,  secondo  le modalita' di cui all'articolo 40, comma 5 del decreto, potrà imporre  ai  soggetti essenziali e  ai  soggetti  importanti  di  utilizzare  categorie  di prodotti TIC, servizi TIC e processi TIC,  di  cui,  rispettivamente, all'articolo 2, comma 1, lettere  ff),  gg)  e  hh),  sviluppati  dal soggetto essenziale o importante o acquistati  da  terze  parti,  che siano certificati nell'ambito dei sistemi europei  di  certificazione della cybersicurezza di cui  all'articolo  49  del  regolamento  (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile  2019.

Obblighi specifici per i gestori e i fornitori di nomi a dominio

Dettagliati obblighi all’articolo 29 sono previsti anche per i fornitori di nomi a dominio, i quali sono, tra l’altro, obbligati a tenere una banca dei dati di registrazione dei nomi di dominio contenente le informazioni  necessarie  per  identificare  e contattare i titolari dei nomi di dominio e i punti di  contatto  che amministrano i nomi di dominio presenti,  registrati  o  censiti  nel registro dei nomi di dominio di primo livello  (top  level  domain  - TLD).


Il Capo V del decreto è dedicato infine agli obblighi di vigilanza, monitoraggio e irrogazione di sanzioni in capo all’ANC, alla quale è demandato il compito di valutare  il rispetto da parte dei soggetti essenziali e dei  soggetti  importanti degli obblighi previsti dal decreto a carico dei soggetti importanti ed essenziali, anche attraverso attività ispettive.