n questo articolo, esploreremo i principali punti della Direttiva NIS 2 e del Decreto di recepimento, analizzando le novità, gli impatti per le aziende e gli enti pubblici, e le sfide future in un contesto sempre più digitalizzato e vulnerabile a minacce cibernetiche.

La Direttiva NIS 2: obiettivi e novità

La Direttiva NIS 2 è parte di un più ampio sforzo dell’Unione Europea per rafforzare la sicurezza informatica e contrastare i rischi legati alle infrastrutture digitali, che sono diventate essenziali per il funzionamento delle economie moderne. Tra gli obiettivi principali della NIS 2 ci sono:

1. Aumentare il livello di protezione delle infrastrutture critiche: La Direttiva mira a garantire che tutte le organizzazioni che gestiscono infrastrutture critiche (settori come energia, trasporti, sanità, acqua, comunicazioni elettroniche) siano più preparate ad affrontare attacchi cibernetici e a limitare l’impatto di eventuali incidenti di sicurezza.
2. Estensione della portata delle norme: La Direttiva NIS 2 amplia il campo di applicazione rispetto alla versione precedente. Non solo le entità pubbliche e le aziende più grandi sono coinvolte, ma anche i fornitori di servizi essenziali e altre organizzazioni considerate ad alto rischio (ad esempio, piattaforme di e-commerce, fornitori di servizi cloud e aziende tecnologiche).
3. Miglioramento della cooperazione tra Stati membri: Una parte cruciale della NIS 2 è la creazione di un meccanismo di cooperazione più robusto tra gli Stati membri dell’UE. Questo implica la condivisione di informazioni sulle minacce, la gestione degli incidenti e lo sviluppo di linee guida comuni in materia di sicurezza informatica.
4. Obbligo di gestione dei rischi e notifica degli incidenti: Le aziende devono implementare misure di sicurezza adeguate e notificare tempestivamente le violazioni della sicurezza alle autorità competenti. Inoltre, devono adottare politiche di gestione dei rischi informatici per prevenire attacchi.

5. Sanzioni più severe: La Direttiva prevede l’introduzione di pene pecuniarie in caso di mancato adempimento degli obblighi di sicurezza, con multe che possono arrivare fino al 2% del fatturato annuale globale delle aziende coinvolte.

Il Decreto Legislativo 138/2024: Il recepimento della NIS 2 in Italia

Con la pubblicazione del Decreto Legislativo 138/2024 il 4 settembre 2024, l’Italia ha recepito la Direttiva NIS 2 nell’ordinamento nazionale, introducendo modifiche significative al quadro giuridico e regolatorio per la sicurezza delle reti e dei sistemi informativi. Alcuni degli aspetti più rilevanti includono:

1. Ampliamento del concetto di “Entità Essenziali“: In linea con le disposizioni della NIS 2, il Decreto Italiano amplia il novero delle entità soggette agli obblighi di sicurezza. Non solo i settori tradizionali (energia, trasporti, sanità) ma anche nuovi settori come i fornitori di servizi digitali, le piattaforme di e-commerce, i servizi cloud e le infrastrutture critiche IT rientrano nella normativa.
2. Notifica tempestiva degli incidenti di sicurezza: Le aziende e gli enti pubblici devono comunicare eventuali incidenti di sicurezza che possano avere un impatto significativo sui servizi essenziali entro 24 ore dall’accaduto. Ciò include attacchi informatici, vulnerabilità critiche e qualsiasi altro evento che minacci l’integrità dei sistemi.
3. Politiche di Gestione dei Rischi: L’adozione di un piano di gestione dei rischi diventa obbligatoria. Il piano deve contenere misure preventive per ridurre al minimo la probabilità di attacchi, nonché strategie di risposta e recupero in caso di incidenti di sicurezza.
4. Sanzioni e controllo: Il Decreto stabilisce un quadro sanzionatorio chiaro per le violazioni, che può arrivare a multe significative e altre misure correttive, in linea con le disposizioni europee. L’Autorità per la Cybersicurezza, che coordina gli sforzi nazionali, è anche incaricata di monitorare e fare rispettare la normativa.

Implicazioni per le Aziende e gli Enti Pubblici in Italia

L’entrata in vigore della Direttiva NIS 2 e del D.Lgs 138/2024 comporta un cambiamento significativo per molte realtà aziendali e pubbliche. Le organizzazioni devono ora adottare una strategia di cybersecurity che non si limiti a proteggere i dati sensibili, ma che abbracci una visione complessiva della sicurezza, con misure preventive, piani di risposta agli incidenti e una costante attività di monitoraggio.

Le PMI, che fino ad oggi erano meno coinvolte nella normativa, ora potrebbero essere chiamate a rispettare nuovi obblighi, soprattutto se operano in settori considerati “essenziali” o ad alto rischio. Questo significa che anche le piccole e medie imprese devono investire in soluzioni di cybersecurity avanzate, implementare formazione adeguata per i propri dipendenti e rivedere periodicamente la sicurezza dei propri sistemi.

Inoltre, la cooperazione tra enti pubblici e privati diventa fondamentale per affrontare le minacce informatiche globali. La creazione di canali di comunicazione per la condivisione delle informazioni sulle vulnerabilità e sugli attacchi è un aspetto cruciale che contribuirà a migliorare la resilienza dell’intero sistema digitale europeo.

I settori coinvolti

La Direttiva (UE) 2022/2555 interessa diversi settori chiave, che sono considerati essenziali per il funzionamento della società e dell’economia. Il D.Lgs 138/2024 riporta algli Allegati I e 2, rispettivamente, “i settori ad alta criticità” ed “altri settori critici”.

Tra i settori principali coperti dalle misure di cibersicurezza previste nella direttiva, troviamo:

1. Energia: Include le infrastrutture e i servizi legati alla produzione, distribuzione e fornitura di energia, come elettricità, gas e petrolio.

2. Trasporti: Comprende i servizi di trasporto aereo, marittimo e terrestre, nonché le infrastrutture associate.

3. Sanità: Riguarda le strutture sanitarie, i fornitori di servizi sanitari e le tecnologie dell’informazione utilizzate nel settore sanitario.

4. Acqua: Include la fornitura e la gestione delle risorse idriche, comprese le infrastrutture per la potabilizzazione e la distribuzione dell’acqua.

5. Infrastrutture digitali: Comprende i fornitori di servizi di comunicazione elettronica e i servizi di hosting, nonché le piattaforme digitali.

6. Settore finanziario: Riguarda le istituzioni finanziarie, come banche e compagnie assicurative, che gestiscono dati sensibili e transazioni economiche.

7. Servizi essenziali: Include anche altri servizi che sono fondamentali per il funzionamento della società, come i servizi di emergenza e le infrastrutture critiche.

La direttiva mira a garantire che questi settori adottino misure adeguate per proteggere le loro infrastrutture e servizi da minacce informatiche, contribuendo così a una maggiore resilienza cibernetica in tutta l’Unione Europea.

Il coinvolgimento di numerose aziende in questi settori critici porterà, a cascata, anche il coinvolgimento della catena di fornitura, con richieste contrattuali severe sulla sicurezza informatica.

Le misure di sicurezza richieste

La Direttiva (UE) 2022/2555 impone diverse misure di sicurezza alle aziende coinvolte, al fine di garantire un elevato livello di cibersicurezza. Le principali misure di sicurezza includono:

1. Politiche di analisi dei rischi: Le aziende devono sviluppare e mantenere politiche per identificare e valutare i rischi associati alla sicurezza informatica.
2. Strategie per la gestione degli incidenti: È necessario avere piani e procedure in atto per gestire e rispondere agli incidenti di sicurezza informatica. Le aziende sono anche obbligate a notificare alle autorità competenti qualsiasi incidente significativo di sicurezza informatica che possa avere un impatto sui servizi essenziali o sui dati sensibili. La notifica deve avvenire entro un termine specificato dalla direttiva.
3. Piani di continuità operativa: Le aziende devono prepararsi a garantire la continuità dei servizi anche in caso di incidenti di sicurezza.
4. Sicurezza della catena di approvvigionamento: Le misure devono estendersi anche ai fornitori e ai partner, assicurando che la sicurezza sia mantenuta lungo tutta la catena di approvvigionamento.
5. Gestione della Sicurezza del Software: Le aziende dovranno adottare procedure per garantire la sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità ed i relativi aggiornamenti.
6. Pratiche di igiene informatica: È fondamentale adottare buone pratiche di igiene informatica per prevenire attacchi e vulnerabilità.
7. Misure tecniche, operative e organizzative: Le misure devono essere adeguate e proporzionate ai rischi identificati, mirando a proteggere i sistemi informatici e di rete da attacchi e a minimizzare l’impatto degli incidenti. Queste misure possono includere la crittografia, il controllo degli accessi, la protezione dei dati e la formazione del personale.
8. Valutazione della conformità: Le aziende devono essere pronte a sottoporsi a valutazione della conformità per valutare l’efficacia delle misure di sicurezza intraprese e garantire che rispettino gli obblighi di sicurezza stabiliti dalla direttiva. Ciò può includere audit e controlli da parte di fornitori specializzati (es. Penetration Test e Vulnerability Assessment) delle autorità competenti.

Queste misure sono progettate per garantire che le aziende adottino un approccio proattivo alla sicurezza informatica, contribuendo così a una maggiore resilienza e protezione contro le minacce cibernetiche.

Le misure di sicurezza sono simili ai controlli previsti dalla nota ISO 27001 per i sistemi di gestione della sicurezza delle informazioni, ma quali sono le differenze? Chi è già certificato ISO 27001 o sta per farlo è già conforme alla NIS 2? Occorre fare alcune precisazioni.

Da un lato i controlli ISO 27001 (e linea guida ISO 27002) coprono uno spettro più ampio della sicurezza delle informazioni, dall’altro alcune misure di sicurezza richieste dalla NIS 2 sono più specifiche (es. gestione e notifica degli incidenti).

La NIS 2 è più orientata alla Cybersecurity ed alla protezione delle informazioni sensibili per il funzionamento delle infrastrutture critiche, mentre il campo di applicazione di un SGSI ISO 27001 può spaziare in diversi ambiti e, pertanto, potrebbe avere un perimetro più esteso di quello della NIS 2. Attenzione però che data breach di attività e servizi fuori dal perimetro della NIS 2 non possano coinvolgere attività e servizi critici entro il perimetro NIS 2.

La procedura di registrazione al portale ACN

La registrazione al portale ACN èobbligatoria entro il 28 febbraio 2025, in mancanza l’azienda, se rientra tra i soggetti nell’ambito della Direttiva, è soggetta a sanzione.

Informazioni necessarie per la registrazione

La registrazione si compone di tre fasi: il censimento del punto di contatto, la sua associazione al soggetto NIS e la compilazione della dichiarazione.

1. Per la fase di censimento del punto di contatto, sarà necessario verificare o fornire i seguenti dati:
   1. nome e cognome;
   2. luogo e data di nascita;
   3. codice fiscale;
   4. cittadinanza;
   5. Paese di residenza e, ove richiesto, di domicilio;
   6. indirizzo di posta elettronica ordinaria, preferibilmente individuale, nonché di servizio, aziendale o professionale;
   7. ove disponibile, un indirizzo di posta elettronica certificata, preferibilmente individuale, nonché di servizio, aziendale o professionale;
   8. numero di telefono, preferibilmente individuale, nonché di servizio, aziendale o professionale;
   9. ove disponibile, un numero alternativo di telefono, preferibilmente individuale di servizio, aziendale o professionale.
2. Per la fase di associazione del punto di contatto al soggetto NIS, sarà necessario disporre del codice fiscale di quest’ultimo. Inoltre, qualora il Punto di contatto non sia il rappresentante legale del soggetto o un suo procuratore generale censito sul registro delle imprese, sarà necessario caricare il titolo giuridico che lo delega a operare per conto del soggetto.
3. Per la fase di compilazione della dichiarazione, sarà necessario disporre:
   1. dell’elenco dei codici ATECO che caratterizzano le attività svolte e i servizi erogati dal soggetto, con particolare riferimento all’ambito di applicazione del decreto NIS;
   2. delle normative europee settoriali citate dal decreto NIS per delimitarne l’ambito di applicazione che si applicano al soggetto;
   3. del numero di dipendenti, il fatturato e il bilancio del soggetto. Qualora il soggetto non sia una impresa autonoma, il numero di dipendenti, il fatturato e il bilancio del soggetto calcolato ai sensi della raccomandazione 2003/361/CE, con particolare riguardo all’articolo 6, paragrafo 2, dell’allegato alla raccomandazione medesima;
   4. l’elenco delle tipologie di soggetto di cui agli allegati I, II, III e IV, a cui è riconducibile il soggetto (ovvero soggetto appartenente a settori ad alta criticità, altri settori critici, P.A.,…) ;
   5. l’autovalutazione del soggetto quale essenziale, importante o fuori ambito, sulla base di quanto previsto dagli articoli 3 e 6 del decreto NIS.

Per i soggetti che non sono imprese autonome (ovvero hanno imprese collegate, associate e/o fanno parte di un gruppo di imprese), in fase di registrazione sarà inoltre necessario fornire le informazioni indicate nel seguito.

Per i Gruppi di imprese che si devono registrare

Con riferimento alla designazione del punto di contatto, al fine di non imporre radicali cambiamenti nel governo della sicurezza informatica, i soggetti che fanno parte di un gruppo di imprese ai sensi dell’articolo 1, comma 1, lettera u), della Determinazione 38565/2024, possono designare quale punto di contatto il dipendente di un’altra impresa che rientra nell’ambito di applicazione del decreto NIS e che fa parte del medesimo gruppo di imprese.

Pertanto, ad esempio:

1. nei gruppi di imprese nei quali il governo della sicurezza informatica è decentralizzato, i soggetti che fanno parte del gruppo possono designare ognuno un proprio dipendente quale punto di contatto;
2. nei gruppi di imprese nei quali il governo della sicurezza informatica è centralizzata, i soggetti che fanno parte del gruppo possono tutti designare quale punto di contatto un dipendente della struttura del gruppo che governa la sicurezza informatica, oppure designare ognuno un proprio dipendente quale punto di contatto che si coordinerà con la struttura del gruppo che governa la sicurezza informatica.

Qualora la stessa persona fisica sia designata quale punto di contatto per tutti o una parte dei soggetti NIS del gruppo di imprese, occorrerà ripetere la fase di associazione e registrazione per ogni soggetto NIS.

Inoltre, con riferimento alla registrazione di soggetti che non sono imprese autonome ai sensi dell’articolo 1, comma 1, lettera t) della Determinazione 38565/2024, sarà necessario fornire le seguenti ulteriori informazioni rispetto a quanto illustrato in precedenza:

1. il codice fiscale e la ragione sociale della capogruppo, qualora il soggetto appartenga a un gruppo e non sia la capogruppo;
2. il codice fiscale e la ragione sociale di tutte le imprese collegate, ai sensi della Determinazione 38565/2024, articolo 1, comma 1, lettera s), che soddisfano almeno uno dei criteri di cui all’articolo 3, comma 10, del decreto legislativo 138/2024 (decreto NIS) nei confronti del soggetto medesimo;
3. il codice fiscale e la ragione sociale di tutte le imprese collegate che, per quanto noto, siano a loro volta soggetti NIS, ai sensi della Determinazione 38565/2024, articolo 1, comma 1, lettera s), nei confronti dei quali il soggetto medesimo soddisfa almeno uno dei criteri di cui all’articolo 3, comma 10, del decreto legislativo 138/2024 (decreto NIS);
4. il numero di dipendenti, il fatturato e il bilancio del soggetto calcolato ai sensi della raccomandazione 2003/361/CE, con particolare riguardo all’articolo 6, paragrafo 2, dell’allegato alla raccomandazione medesima.

Infine, con riferimento a quest’ultimo punto, qualora tale soggetto ritenga sproporzionata l’applicazione dell’articolo 6, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE, sarà necessario fornire anche:

1. il numero di dipendenti, il fatturato e il bilancio del soggetto calcolato ai sensi della raccomandazione 2003/361/CE, senza tenere conto di quanto previsto dall’articolo 6, paragrafo 2, dell’allegato alla raccomandazione medesima;
2. la valutazione del grado di indipendenza (totale parziale o assente) dei sistemi informativi e di rete NIS dell’organizzazione dai sistemi informativi e di rete delle imprese collegate. Con attività e servizi NIS si intendono le attività e i servizi per i quali l’organizzazione rientra nell’ambito di applicazione del decreto NIS. Con sistemi informativi e di rete NIS, si intendono i sistemi informativi e di rete che abilitano attività e servizi NIS;
3. la valutazione del grado di indipendenza (totale parziale o assente) delle attività e dei servizi NIS dell’organizzazione NIS dalle attività e dai servizi delle imprese collegate;
4. la risposta (si, in parte, no) alle domande seguenti:
   1. I sistemi informativi e di rete delle imprese collegate concorrono ai sistemi informativi e di rete NIS dell’organizzazione?
   2. Le attività e i servizi di imprese collegate concorrono alle attività e servizi NIS dell’organizzazione?
   3. Le imprese collegate sono essenziali nella catena di approvvigionamento, anche digitale, dell’organizzazione?

Criteri per designare il punto di contatto

Il Punto di contatto è il rappresentante legale o un suo procuratore generale oppure un dipendente delegato del soggetto.

In quest’ultimo caso, nel corso della registrazione, il punto di contatto dovrà caricare il titolo giuridico che lo delega a operare per conto del soggetto nel contesto NIS. Come titolo giuridico è sufficiente una delega del rappresentante legale che può essere ad-hoc (modello suggerito) o anche una delega pre-esistente più ampia.

Per le pubbliche amministrazioni è possibile designare quale punto di contatto il dipendente di un’altra pubblica amministrazione che rientra nell’ambito di applicazione del decreto NIS.

Analogamente, i soggetti che fanno parte di un gruppo di imprese possono designare quale punto di contatto il dipendente di un’altra impresa che rientra nell’ambito di applicazione del decreto NIS e che fa parte del medesimo gruppo di imprese.

Il punto di contatto ha il compito di curare l’attuazione delle disposizioni del decreto NIS per conto del soggetto stesso, a partire dalla registrazione, e interloquisce, per conto del soggetto NIS, con l’Autorità nazionale competente NIS.

Conclusioni

La Direttiva NIS 2 e il Decreto Legislativo 138/2024 rappresentano un passo importante nella protezione delle infrastrutture digitali e nella lotta contro il crimine informatico. Con l’adozione di misure più rigorose e la creazione di un sistema di cooperazione tra Stati membri, l’UE sta cercando di creare un ambiente digitale più sicuro e resistente.

Per diverse aziende l’interpretazione dell’ambito di applicazione, ovvero se sono obbligate o meno all’applicazione della NIS 2, non è semplice; si auspica chiarimenti da parte di ACN, molto attiva sull’argomento (si veda https://www.acn.gov.it/portale/faq/cloud).

Per le aziende italiane, la sfida non è solo adeguarsi alle nuove normative, ma farlo in modo proattivo, rafforzando la sicurezza informatica e costruendo una cultura della protezione che diventi parte integrante delle loro operazioni quotidiane.

Investire in cybersecurity non è più un’opzione: è una necessità imprescindibile per proteggere i dati, la privacy e la reputazione di ciascuna organizzazione. Con il Decreto 138/2024, l’Italia compie un passo decisivo verso una maggiore protezione delle sue reti e sistemi informativi, rafforzando la fiducia nel sistema digitale europeo.