Skip to main content
Aggiornamenti

Cybersecurity, la Nis2 in vigore dal 16 ottobre: cosa fare

By 24 Ottobre 2024Novembre 20th, 2024No Comments
In Gazzetta il decreto legislativo n. 138/2024 che recepisce la direttiva Ue Nis2. Le imprese dovranno registrarsi sulla piattaforma gestita dall’Agenzia nazionale, indicando le attività e i servizi “sensibili”. Obbligo di sviluppare una politica di sicurezza informatica, implementare misure tecniche e organizzative appropriate e mettere in campo iniziative di formazione del personale
ISCRIVITI AL WEBINAR GRATUITO

I soggetti a cui si applica la NIS2

Nell’ambito di applicazione del decreto rientrano i soggetti pubblici e privati delle tipologie di cui agli allegati I, II, III e IV del decreto stesso.
Gli allegati I e II descrivono i settori ritenuti altamente critici e critici, nonché i relativi sottosettori e le tipologie di soggetti: fra i settori altamente critici, si segnala il settore bancario (soggetti di cui all’art. 4 Regolamento 575/2013) e delle infrastrutture dei mercati finanziari (gestori delle sedi di negoziazione di cui all’art. 4, punto 24) Direttiva 2014/65/UE e controparti centrali)
Gli allegati III e IV descrivono invece le categorie di pubbliche amministrazioni e le ulteriori tipologie di soggetto a cui si applica il presente decreto.
In sintesi, fra i soggetti obbligati vi rientrano:

  • le PA centrali (lasciando discrezionalità agli Stati membri di inserire le PA locali in base ad una valutazione sul rischio di impatti significativi su attività sociali o economiche critiche in caso di perturbazione)
  • le piccole e micro-imprese operanti in settori chiave
  • tutti i soggetti privati che superano i massimali comunitari per le piccole imprese, ovvero oltre 50 dipendenti e un fatturato annuo superiore a 10 milioni di euro o un totale di bilancio annuo superiore a 43 milioni di euro.

Il decreto di recepimento della NIS2 si applica altresì, indipendentemente dalle loro dimensioni:

  • ai soggetti che sono identificati come soggetti critici ai sensi del decreto legislativo di recepimento della Direttiva CER (2022/2557)
  • ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
  • ai prestatori di servizi fiduciari;
  • ai gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;
  • ai fornitori di servizi di registrazione dei nomi di dominio
  • ai soggetti identificati prima della data di entrata in vigore del presente decreto come operatore di servizi essenziali ai sensi del D. Lgs. 65/2018;
  • ai soggetti che siano gli unici fornitori nazionali di un servizio che è essenziale per il mantenimento di attività sociali o economiche fondamentali;
  • ai soggetti per cui una perturbazione del servizio da loro fornito potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica;
  • ai soggetti per cui una perturbazione del servizio da loro fornito potrebbe comportare un rischio sistemico significativo, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero;
  • il soggetto sia critico in ragione della sua particolare importanza a livello nazionale o regionale per quel particolare settore o tipo di servizio o per altri settori indipendenti nel territorio dello Stato;
  • il soggetto sia considerato critico ai sensi del presente decreto, quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti.

Restano esclusi i soggetti operanti nella sicurezza nazionale, pubblica sicurezza e difesa, il Parlamento, l’Autorità Giudiziaria e la Banca Centrale

Obblighi di registrazione: un passo verso la trasparenza

Con l’entrata in vigore della direttiva del 16 ottobre, le aziende italiane identificate come soggetti essenziali o importanti saranno tenute a registrarsi sulla piattaforma gestita dall’Agenzia per la Cybersicurezza Nazionale (Acn).
La piattaforma è operativa dal 18 ottobre e richiede alle aziende di fornire dettagli accurati sulle loro operazioni, permettendo all’Acn di categorizzare i soggetti e garantire una gestione efficace delle risorse e dei rischi. Le imprese dovranno completare la registrazione o aggiornare i propri dati tra gennaio e febbraio 2025, con scadenze specifiche per diversi settori.

Scadenze

  • Entro il 17 gennaio 2025, le imprese devono valutare se rientrano nella categoria di soggetto essenziale o importante e procedere con la registrazione sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN). Entro il 15 aprile 2025, sarà l’ACN a confermare ufficialmente se il soggetto rientra tra quelli a cui si applica la direttiva NIS2
  • Entro il 1° gennaio 2026, le aziende interessate dovranno adeguarsi all’articolo 25, relativo alla notifica degli incident. Sarà quindi necessario implementare quantomeno un processo per la gestione degli incident di sicurezza
  • Sempre entro il 1° gennaio 2026, sarà necessario conformarsi all’articolo 30, che prevede l’aggiornamento annuale delle informazioni sulla piattaforma ACN, includendo l’elenco delle attività e dei servizi offerti, insieme alla descrizione delle loro caratteristiche
  • Infine, entro ottobre 2026, le imprese dovranno rispettare gli obblighi previsti dagli articoli 23, 24 e 29. Gli articoli riguardano, rispettivamente, le responsabilità degli organi direttivi, la gestione dei rischi e l’implementazione delle misure di sicurezza, nonché la gestione della banca dati dei nomi a dominio

Misure di sicurezza e formazione: i pilastri della Nis2

Oltre alla registrazione, la Direttiva Nis2 impone alle aziende l’adozione di misure di sicurezza informatica tecniche e organizzative adeguate, proporzionate ai rischi specifici di ciascun settore.

Il risk assessment
La NIS2, come specificato nell’articolo 24 del Decreto Legislativo 138 del 2024, adotta un approccio multirischio, prendendo in considerazione diversi tipi di minacce, tra cui rischi logici, fisici, di governance e tecnologici.
L’obiettivo è garantire un “livello appropriato” di sicurezza, tenendo conto non solo delle vulnerabilità tecniche, ma anche dell’impatto sociale ed economico che un eventuale incident potrebbe generare.
Tra i criteri interpretativi della Commissione Europea nella valutazione dei rischi:

  • Sabotaggi
  • Furti
  • Incendi
  • Inondazioni
  • Problemi di telecomunicazioni
  • Interruzioni di corrente
  • Qualsiasi accesso fisico non autorizzato, che possa compromettere la disponibilità, autenticità, integrità o riservatezza dei dati o dei servizi offerti dai sistemi informativi e di rete
  • Guasti del sistema
  • Errori umani
  • Azioni malevole
  • Fenomeni naturali

L’approccio multirischio della NIS2 invita le aziende a considerare attentamente non solo le minacce informatiche, ma anche quelle fisiche e operative, per proteggere efficacemente i loro sistemi e dati critici. È essenziale implementare politiche di sicurezza che coprano queste diverse aree di rischio e garantiscano la continuità operativa.Le imprese dovranno sviluppare politiche di sicurezza chiare, designando responsabili della sicurezza informatica e implementando sistemi di gestione degli incidenti.

Le misure di sicurezza
Il Decreto Legislativo 138 del 2024 definisce le misure necessarie per la gestione dei rischi legati alla sicurezza informatica, con alcune piccole aggiunte rispetto alla precedente Direttiva 2055.
Le misure includono:

  • Politiche di analisi dei rischi e di sicurezza per i sistemi informativi e reti
  • Gestione degli incident, con procedure e strumenti per eseguire le notifiche obbligatorie, come stabilito dagli articoli 25 e 26 della direttiva
  • Continuità operativa, comprese gestione dei backup, ripristino in caso di disastro e gestione delle crisi, ove applicabile
  • Sicurezza della catena di approvvigionamento, inclusa la protezione dei rapporti tra l’azienda e i suoi fornitori diretti o fornitori di servizi
  • Sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi informativi e di rete, con particolare attenzione alla gestione e divulgazione delle vulnerabilità
  • Politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica
  • Pratiche di igiene informatica di base e formazione sulla sicurezza, che includono anche l’obbligo, previsto dall’articolo 23, di formare gli organi di amministrazione e i dirigenti sulla sicurezza informatica
  • Politiche sull’uso della crittografia e della cifratura, sebbene la distinzione tra questi due termini (cryptography ed encryption) non sia chiaramente definita, come già osservato nella direttiva stessa
  • Sicurezza e affidabilità del personale, con politiche di controllo degli accessi e gestione delle risorse e degli asset aziendali
  • Utilizzo di soluzioni di autenticazione a più fattori o autenticazione continua, e protezione delle comunicazioni vocali, video e testuali, così come dei sistemi di comunicazione di emergenza interni, dove necessario

La formazione
Un aspetto fondamentale della direttiva riguarda la formazione del personale: le aziende sono obbligate a garantire che i dipendenti ricevano una formazione continua sulla sicurezza informatica, promuovendo una cultura della sicurezza all’interno dell’organizzazione. Questo non solo aiuta a ridurre il rischio di attacchi informatici, ma migliora anche la resilienza delle infrastrutture aziendali.
Un aspetto innovativo della NIS2 è l’obbligo di formazione per gli organi di amministrazione e i dirigenti aziendali in materia di sicurezza informatica, come previsto dall’articolo 23 del Decreto Legislativo 138 del 2024. Questo obbligo garantisce che la leadership aziendale sia adeguatamente preparata a gestire i rischi legati alla sicurezza informatica e a rispondere tempestivamente agli incident. In questo modo, la direttiva contribuisce a una maggiore consapevolezza e cultura della sicurezza a livello strategico.

Catena di approvvigionamento e interdipendenze

La normativa non si limita a valutare i rischi dei singoli operatori, ma si estende anche ai loro fornitori, riconoscendo che le vulnerabilità possono propagarsi lungo tutta la catena.
Questo approccio innovativo richiede alle aziende di considerare non solo la sicurezza interna, ma anche quella dei propri partner e fornitori, promuovendo una visione integrata della sicurezza informatica. La direttiva mira quindi a costruire un ecosistema più sicuro e resiliente, dove ogni anello della catena contribuisce alla protezione complessiva. Le aziende devono pertanto valutare le vulnerabilità specifiche di ciascun fornitore e la qualità generale dei loro prodotti e delle pratiche di sicurezza informatica.
Gestione degli incidenti
Come già stabilito dalla precedente Direttiva NIS1, anche la NIS2 impone l’obbligo di notificare al CSIRT e alle autorità competenti, nonché ai destinatari del servizio, gli incidenti informatici che potrebbero avere un impatto significativo sulla continuità del servizio.
Le notifiche al CSIRT dovranno seguire una tempistica precisa e avere caratteristiche ben precise

Incidenti significativi e quasi incidenti
Il Decreto Legislativo 138 del 2024, all’articolo 25, comma 4, definisce un “incidente significativo” come un evento che ha causato o potrebbe causare una grave interruzione operativa nei servizi, con perdite finanziarie rilevanti per l’azienda interessata, oppure che ha avuto o potrebbe avere ripercussioni su altre persone fisiche o giuridiche, provocando danni materiali o immateriali considerevoli.

Le aziende, nelle loro procedure di gestione degli incident, dovrebbero affinare la definizione di “incident significativo” in base a questi criteri, per garantire una gestione più precisa e reattiva.

Viene inoltre introdotto il concetto di “quasi incidente” (“near-miss” in inglese), riferito a un evento che avrebbe potuto configurarsi come un incident, ma che è stato evitato o non si è verificato. La definizione nella direttiva NIS2 differisce leggermente: un quasi incident è un evento che avrebbe potuto compromettere la disponibilità, autenticità, integrità o riservatezza dei dati o dei servizi gestiti dai sistemi informatici e di rete, ma che è stato evitato o non si è manifestato.
Un punto rilevante della NIS2 è l’istituzione della rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe), che ha il compito di rafforzare la risposta coordinata a livello europeo in caso di crisi informatiche.

Comunicazione delle vulnerabilità
L’articolo 16 del Decreto Legislativo 138 del 2024 stabilisce che il CSIRT è responsabile della diffusione di informazioni relative alle vulnerabilità informatiche e permette a chiunque di segnalarle. Una misura che mira a promuovere una maggiore consapevolezza e a facilitare la condivisione tempestiva delle minacce emergenti.
L’articolo 17 introduce la possibilità, su base volontaria, di condividere tra le aziende informazioni pertinenti riguardo la sicurezza informatica. Questa collaborazione è considerata un passo avanti significativo per migliorare la resilienza complessiva di tutto il sistema

Implicazioni e vantaggi per le imprese

L’adeguamento alla Direttiva Nis2, se da un lato comporta nuovi obblighi per le imprese, dall’altro offre anche una serie di vantaggi significativi. Le aziende che si conformano alla normativa vedranno una riduzione del rischio di attacchi informatici e un miglioramento della resilienza dei loro sistemi e reti.
Inoltre, la conformità alla direttiva può aumentare la fiducia di clienti e investitori, che percepiscono le aziende Nis2 compliant come partner più sicuri e affidabili rispetto ai concorrenti. In questo modo, la direttiva non solo rafforza la sicurezza informatica, ma contribuisce anche a creare un ambiente di mercato più stabile e competitivo.

Il nostro team di tecnici è a disposizione per qualsiasi chiarimento. Contattateci qui

Cres.co Srl Unipersonale

Via dell’artigianato, 340

41058 Vignola (MODENA)

Reg. Imprese MO,

CF/P.IVA n° 03427730365

n° R.E.A. MO – 386906

Cap. Soc. € 15.000 i.v

Contatti

Tel. 059 8384118

Email: cresco@crescosrl.it

PEC: crescosrl@legalmail.it

Social

Policy

Cookie Policy
Privacy Policy
Segnalazioni

Certificazioni