La Direttiva NIS 2 – I chiarimenti dell’Agenzia per la Cibersicurezza

Premessa

La direttiva NIS 2 stabilisce i requisiti principali che le organizzazioni devono soddisfare
per raggiungere un elevato livello di sicurezza informatica.[1]

Cosa è la Direttiva NIS

La Direttiva (UE) n. 2022/2555: apre un link esterno, nota anche come “Direttiva NIS2”, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione europea, è la legislazione dell’UE in materia di cybersicurezza.

Aggiorna le norme dell’UE in materia di cybersicurezza introdotte nel 2016 modernizzando e uniformando il quadro giuridico esistente. Fa parte di un ampio pacchetto di strumenti giuridici e di iniziative a livello dell’Unione, mirato ad aumentare la resilienza di soggetti pubblici e privati alle minacce nell’ambito cibernetico.

Quando è entrata in vigore

Entrata in vigore nel 2023 con l’obbligo di recepimento negli Stati Membri entro il 18 ottobre 2024, è stata recepita in Italia con il decreto legislativo 4 settembre 2024, n. 138 (d.lgs. n. 138/2024: apre un link esterno – cd. decreto NIS) pubblicato sulla Gazzetta Ufficiale, Serie Generale n. 230 del 1° ottobre 2024 (v. FAQ 1.2).

Con il d.lgs. n. 138/2024: apre un link esterno (cd. decreto NIS), pubblicato sulla Gazzetta Ufficiale Serie Generale n. 230 del 1° ottobre 2024, l’Italia ha dato attuazione alla nuova Direttiva NIS (v. FAQ 1.1), recependola nell’ordinamento nazionale con entrata in vigore dal 16 ottobre 2024.

Quali sono gli elementi caratteristici della NIS2

Il d.lgs. n. 138/2024 recante il recepimento della nuova Direttiva NIS (v. FAQ 1.2) prevede l’abrogazione del d.lgs. n. 65/2018, che recepiva la precedente Direttiva NIS (Direttiva 2016/1148). La nuova normativa NIS mira a garantire un aumento del livello di sicurezza cibernetica comune, grazie all’armonizzazione delle norme applicabili ai diversi operatori nei diversi Stati membri e al rafforzamento dei livelli standard di sicurezza rispetto a quelli previsti dalla disciplina vigente.

I principali elementi della nuova normativa NIS sono:

l’estensione degli ambiti di applicazione rispetto alla precedente normativa NIS.
La nuova normativa riguarda, in particolare:
- oltre 80 tipologie di soggetto, raggruppate in 18 settori, di cui 11 settori altamente critici (originariamente 8) e 7 settori critici (originariamente nessuno);
- l’intera infrastruttura ICT del soggetto (originariamente solo reti e sistemi serventi i servizi essenziali);
l’identificazione dei soggetti, distinti tra essenziali e importanti:
- prevede un meccanismo di identificazione automatica sulla base di criteri oggettivi, includendo nell’ambito di applicazione tutti i soggetti riconducibili alle specifiche tipologie individuate dalla normativa che sono ritenute medie o grandi imprese (micro e piccole imprese, salvo eccezioni, sono fuori ambito) ai sensi della Raccomandazione 2003/361/CE;
- può anche essere esercitata dall’Autorità nazionale competente NIS (v. FAQ 1.4), su proposta delle Autorità di settore competenti (v. FAQ 1.5), per inserire nell’ambito di applicazione ulteriori soggetti (cd. identificazione governativa);
il rafforzamento degli obblighi con:
- l’obbligo di implementare misure di sicurezza in relazione ad almeno 10 ambiti, con un approccio multi-rischio e proporzionale rispetto al rischio posto al sistema informativo e di rete;
- un processo di notifica degli incidenti più articolato;
- un rafforzamento dei poteri di esecuzione, ispettivi e sanzionatori. In particolare, le sanzioni si allineano a quanto previsto dal GDPR;
l’introduzione di nuovi strumenti, quali:
- la divulgazione coordinata delle vulnerabilità (CVD);
- la gestione delle crisi, specie a carattere transfrontaliero, con l’istituzione del Cyber crisis liaison organisation network (CyCLONe) e dell’Autorità nazionale competente per la gestione delle crisi informatiche.

Quale è l’autorità nazionale competente NIS e quali funzioni svolge

L’Agenzia per la cybersicurezza nazionale è l’Autorità nazionale competente NIS di cui all’articolo 8, paragrafo 1, della Direttiva (UE) 2022/2555 e svolge numerose funzioni ai sensi dell’articolo 10 del d.lgs. n. 138/2024: apre un link esterno (v. FAQ 1.2) tra le quali:

sovrintende all’implementazione e all’attuazione del decreto;
svolge le funzioni e le attività di regolamentazione di cui al decreto, anche adottando linee guida, raccomandazioni e orientamenti non vincolanti;
elabora e adotta l’elenco dei soggetti NIS (FAQ 1.12);
partecipa al Gruppo di cooperazione NIS: apre un link esterno, nonché ai consessi e alle iniziative promosse a livello di Unione europea per l’attuazione della Direttiva (UE) n. 2022/2555: apre un link esterno (FAQ 1.1);
definisce gli obblighi (v. FAQ 1.9) di cui all’articolo 7, comma 6, e al capo IV (Obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente);
svolge le attività ed esercita i poteri di monitoraggio, vigilanza ed esecuzione.

L’Agenzia per la cybersicurezza nazionale è anche il Punto di contatto unico NIS ai sensi della Direttiva (UE) n. 2022/2555: apre un link esterno (FAQ 1.1), svolgendo una funzione di collegamento per garantire la cooperazione transfrontaliera delle autorità nazionali con le autorità pertinenti degli altri Stati membri, la Commissione: apre un link esterno e l’ENISA: apre un link esterno.

Inoltre, l’Agenzia per la cybersicurezza nazionale (con funzioni di coordinamento) e il Ministero della difesa sono Autorità nazionali di gestione delle crisi informatiche.

Presso l’Agenzia per la cybersicurezza nazionale opera anche il CSIRT Italia, Gruppo nazionale di risposta agli incidenti di sicurezza informatica.

Quali sono le Autorità di settore NIS E QUALI FUNZIONI SVOLGONO

Al fine di assicurare l’efficace attuazione del d.lgs. n. 138/2024 (v. FAQ 1.2) a livello settoriale, sono individuate le Autorità di settore NIS che supportano l’Autorità nazionale competente NIS (v. FAQ 1.4) e collaborano con essa.

In particolare le Autorità di settore NIS:

supportano con la propria competenza settoriale le funzioni dell’Autorità nazionale competente NIS;
convalidano l’elenco dei soggetti NIS per ciascun settore di competenza e ne propongono eventuali ulteriori identificazioni governative;
coordinano uno o più tavoli settoriali per i settori (e/o sottosettori) di competenza.

Le Autorità di settore NIS individuate dal decreto per uno o più settori, sottosettori e tipologie di soggetto, in base alle rispettive peculiari competenze, sono le seguenti (come illustrato dettagliatamente nell’allegata tabella):

Presidenza del Consiglio dei ministri
Ministero dell’economia e delle finanze
Ministero delle imprese e del made in Italy
Ministero dell’agricoltura, della sovranità alimentare e delle foreste
Ministero dell’ambiente e della sicurezza energetica
Ministero delle infrastrutture e dei trasporti
Ministero dell’università e della ricerca
Ministero della cultura
Ministero della salute

Quali sono gli obblighi della direttiva NIS 2 e quando entreranno in vigore

I principali obblighi previsti dal decreto riguardano:

la registrazione e l’aggiornamento delle informazioni (articolo 7);
gli organi di amministrazione e direttivi (articolo 23);
gli obblighi in materia di misure di sicurezza informatica (articolo 24);
gli obblighi in materia di notifica di incidente (articolo 25);
per alcune tipologie di soggetti, gli obblighi in materia di banca dei dati di registrazione dei nomi di dominio (articolo 29);
la categorizzazione delle attività e dei servizi (articolo 30).

Il termine per l’adempimento degli obblighi di base di cui all’articolo 25 del decreto, che saranno disciplinati con una determinazione di ACN da adottare entro aprile 2025, decorre trascorsi nove mesi dalla ricezione della comunicazione (v. FAQ 3.3) di inserimento nell’elenco dei soggetti essenziali o importanti che sarà inviata da ACN.

Con riferimento ai citati obblighi, entrando più nel dettaglio:

Registrazione e aggiornamento dati (articolo 7[2])

I soggetti che si riconoscono in uno dei settori/sottosettori/tipologie previsti dalla nuova normativa NIS (v. FAQ 2.1) dovranno registrarsi su una piattaforma messa a disposizione dall’ACN e comunicare una serie di informazioni tra le quali, ad esempio, la ragione sociale, l’indirizzo e i recapiti aggiornati, la designazione di un punto di contatto indicando il suo ruolo/qualifica presso il soggetto. Ove possibile, i soggetti dovranno anche selezionare uno o più settori/sottosettori in cui operano, tra quelli previsti dagli allegati I, II e III, e la relativa tipologia di soggetto in cui si identificano tra quelle previste dagli allegati I, II, III e IV.
I dati raccolti saranno impiegati per costituire l’elenco dei soggetti NIS, entro il 31 marzo 2025 (v. FAQ 3.3), anche al fine di fornire le relative statistiche alla Commissione UE ad aprile 2025.

Organi di amministrazione e direttivi (articolo 23[3])

Sono individuate precise responsabilità in capo agli organi di amministrazione del soggetto, i quali approvano e sovraintendono all’implementazione delle misure oltre a essere responsabili delle eventuali violazioni.

Obblighi in materia di misure di sicurezza informatica (articolo 24[4])
I soggetti essenziali e i soggetti importanti adottano misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti. Tali misure sono basate su un approccio multi-rischio, volto a proteggere i sistemi informativi e di rete nonché il loro ambiente fisico da incidenti, e comprendono almeno i seguenti elementi:
- politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete;
- gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche;
- continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro, ove possibile, e la gestione delle crisi;
- sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
- sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità;
- politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica;
- pratiche di igiene di base e di formazione in materia di sicurezza informatica;
- politiche e procedure relative all’uso della crittografia e, ove opportuno, della cifratura;
- sicurezza e affidabilità del personale, politiche di controllo dell’accesso e gestione dei beni e degli assetti;
- uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno.

Obblighi in materia di notifica di incidente (articolo 25[5])
I soggetti essenziali e i soggetti importanti devono notificare, senza ingiustificato ritardo, al CSIRT Italia: apre un link esterno ogni incidente che ha un impatto significativo sulla fornitura dei loro servizi.
Ai fini della notifica, i soggetti interessati trasmettono al CSIRT Italia:

senza ingiustificato ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo, una pre-notifica che, ove possibile, indichi se l’incidente significativo possa ritenersi il risultato di atti illegittimi o malevoli oppure possa avere un impatto transfrontaliero;
senza ingiustificato ritardo, e comunque entro 72 ore (24 ore nel caso di un prestatore di servizi fiduciari) da quando sono venuti a conoscenza dell’incidente significativo, una notifica dell’incidente che, ove possibile, aggiorni le informazioni già trasmesse nella pre-notifica e indichi una valutazione iniziale dell’incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione;
una relazione finale entro un mese dalla trasmissione della notifica di incidente.
Banca dei dati di registrazione di nomi di dominio (articolo 29[6])
I gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione dei nomi di dominio raccolgono e mantengono dati di registrazione dei nomi di dominio accurati e completi in un’apposita banca dati con la dovuta diligenza, conformemente al diritto dell’Unione europea in materia di protezione dei dati personali.

Quali sono le principali scadenze previste

[SOGGETTI] Registrazione sulla piattaforma ACN (articolo 7, comma 1, articolo 42, comma 1, lettera a):
- entro il 17 gennaio 2025 per i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network che rientrano nell’ambito di applicazione del decreto (v. FAQ 2.1);
- entro il 28 febbraio 2025 per tutti gli altri soggetti che rientrano nell’ambito di applicazione del decreto (v. FAQ 2.1).

[AUTORITÀ NAZIONALE COMPETENTE NIS] Entro metà aprile 2025:
- costituzione dell’elenco dei soggetti NIS e notifica agli stessi della loro inclusione (articolo 7, commi 2 e 3);
- adozione degli obblighi di base in materia di misure di sicurezza informatica e notifica di incidenti.
[SOGGETTI] Entro metà maggio 2025, trasmissione e aggiornamento, tempestivo (comunque non oltre 14 giorni dalla modifica) delle informazioni dei soggetti NIS (articolo 7, commi 4, 5 e 7).
[SOGGETTI] Entro gennaio 2026 (entro 9 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS), adempimento agli obblighi di base in materia di notifica di incidente.
[SOGGETTI] Entro ottobre 2026 (entro 18 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS), adempimento agli obblighi di base in materia di sicurezza informatica.

Cosa è EU-CyCLONe e che compiti svolge

La rete europea delle organizzazioni di collegamento per le crisi informatiche (EU Cyber Crises Liaison Organisation Network – EU-CyCLONe) è una rete di cooperazione per le autorità nazionali degli Stati membri responsabili della gestione delle crisi informatiche. La rete è stata lanciata nel 2020 e formalizzata a seguito dell’entrata in vigore della NIS2.

EU-CyCLONe è composta dai rappresentanti delle autorità di gestione delle crisi informatiche degli Stati membri e, nei casi in cui un incidente di cybersicurezza su larga scala, potenziale o in corso, abbia o possa avere un impatto significativo sui servizi e sulle attività che rientrano nell’ambito di applicazione della nuova Direttiva NIS, anche dalla Commissione. Negli altri casi, la Commissione partecipa alle attività di EU-CyCLONe in qualità di osservatore.

I compiti principali di EU-CyCLONe sono:

sostenere la gestione coordinata di incidenti e crisi informatiche su larga scala a livello operativo e garantire lo scambio regolare di informazioni pertinenti tra gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione;
aumentare il livello di preparazione della gestione degli incidenti e delle crisi informatiche su larga scala;
sviluppare una consapevolezza della situazione condivisa per gli incidenti e le crisi informatiche su larga scala;
valutare le conseguenze e l’impatto di incidenti e crisi informatiche su larga scala e proporre possibili misure di mitigazione;
coordinare la gestione degli incidenti e delle crisi informatiche su larga scala e sostenere il processo decisionale a livello politico in relazione a tali incidenti e crisi;
discutere, su richiesta di uno Stato membro interessato, i piani nazionali di risposta agli incidenti e alle crisi informatiche su larga scala.

[1] Link: https://www.acn.gov.it/portale/faq/nis

[2] Articolo 7 Strategia nazionale per la cibersicurezza 1. Ogni Stato membro adotta una strategia nazionale per la cibersicurezza che prevede gli obiettivi strategici e le risorse necessarie per conseguirli, nonché adeguate misure strategiche e normative al fine di raggiungere e mantenere un livello elevato di cibersicurezza. La strategia nazionale per la cibersicurezza comprende: a) gli obiettivi e le priorità della strategia per la cibersicurezza dello Stato membro, che riguardano in particolare i settori di cui agli allegati I e II; b) un quadro di governance per la realizzazione degli obiettivi e delle priorità di cui alla lettera a) del presente paragrafo, comprendente le misure strategiche di cui al paragrafo 2; c) un quadro di governance che chiarisca i ruoli e le responsabilità dei pertinenti portatori di interessi a livello nazionale, a sostegno della cooperazione e del coordinamento a livello nazionale tra le autorità competenti, i punti di contatto unici e i CSIRT ai sensi della presente direttiva, nonché il coordinamento e la cooperazione tra tali organismi e le autorità competenti ai sensi degli atti giuridici settoriali dell’Unione; d) un meccanismo per individuare le risorse e una valutazione dei rischi nello Stato membro in questione; e) l’individuazione delle misure volte a garantire la preparazione e la risposta agli incidenti e il successivo recupero dagli stessi, inclusa la collaborazione tra i settori pubblico e privato; f) un elenco delle diverse autorità e dei diversi portatori di interessi coinvolti nell’attuazione della strategia nazionale per la cibersicurezza; g) un quadro strategico per il rafforzamento del coordinamento tra le autorità competenti a norma della presente direttiva e le autorità competenti a norma della direttiva (UE) 2022/2557 ai fini della condivisione delle informazioni sui rischi, le minacce e gli incidenti sia informatici che non informatici e dello svolgimento di compiti di vigilanza, se del caso; h) un piano, comprendente le misure necessarie, per aumentare livello generale di consapevolezza dei cittadini in materia di cibersicurezza. 2. Nell’ambito della strategia nazionale per la cibersicurezza, gli Stati membri adottano in particolare misure strategiche riguardanti: a) la cibersicurezza nella catena di approvvigionamento dei prodotti e dei servizi TIC utilizzati da soggetti per la fornitura dei loro servizi; b) l’inclusione e la definizione di requisiti concernenti la cibersicurezza per i prodotti e i servizi TIC negli appalti pubblici, compresi i requisiti relativi alla certificazione della cibersicurezza, alla cifratura e l’utilizzo di prodotti di cibersicurezza open source; c) la gestione delle vulnerabilità, ivi comprese la promozione e l’agevolazione della divulgazione coordinata delle vulnerabilità ai sensi dell’articolo 12, paragrafo 1; d) il sostegno della disponibilità generale, dell’integrità e della riservatezza del carattere fondamentale pubblico di una rete internet aperta, compresa, se del caso, la cibersicurezza dei cavi di comunicazione sottomarini; e) la promozione dello sviluppo e dell’integrazione di tecnologie avanzate pertinenti miranti ad attuare misure di avanguardia nella gestione dei rischi di cibersicurezza; f) la promozione e lo sviluppo di attività di istruzione, formazione e sensibilizzazione, di competenze e di iniziative di ricerca e sviluppo in materia di cibersicurezza, nonché orientamenti sulle buone pratiche e sui controlli concernenti l’igiene informatica, destinati ai cittadini, ai portatori di interessi e ai soggetti;

g) il sostegno agli istituti accademici e di ricerca volto a sviluppare, rafforzare e promuovere la diffusione di strumenti di cibersicurezza e di infrastrutture di rete sicure; h) la messa a punto di procedure pertinenti e strumenti adeguati di condivisione delle informazioni per sostenere la condivisione volontaria di informazioni sulla cibersicurezza tra soggetti, nel rispetto del diritto dell’Unione; i) j) 3. il rafforzamento dei valori di riferimento relativi alla ciberresilienza e all’igiene informatica delle PMI, in particolare quelle escluse dall’ambito di applicazione della presente direttiva, fornendo orientamenti e sostegno facilmente accessibili per le loro esigenze specifiche; la promozione di una protezione informatica attiva. Gli Stati membri notificano le loro strategie nazionali per la cibersicurezza alla Commissione entro tre mesi dall’adozione. Gli Stati membri possono omettere dalla notifica informazioni relative alla propria sicurezza nazionale. 4. Gli Stati membri valutano le proprie strategie nazionali per la cibersicurezza periodicamente e almeno ogni cinque anni sulla base di indicatori chiave di prestazione e, se necessario, le aggiornano. L’ENISA assiste gli Stati membri, su richiesta di questi ultimi, nell’elaborazione o aggiornamento di una strategia nazionale per la cibersicurezza e di indicatori chiave di prestazione per la relativa valutazione, onde allinearla ai requisiti e agli obblighi di cui alla presente direttiva.

[3] Articolo 23 Obblighi di segnalazione 1. Ciascuno Stato membro provvede affinché i soggetti essenziali e importanti notifichino senza indebito ritardo al proprio CSIRT o, se opportuno, alla propria autorità competente, conformemente al paragrafo 4, eventuali incidenti che hanno un impatto significativo sulla fornitura dei loro servizi quali indicati al paragrafo 3 (incidente significativo). Se opportuno, i soggetti interessati notificano senza indebito ritardo ai destinatari dei loro servizi gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi. Ciascuno Stato membro provvede affinché tali soggetti comunichino, tra l’altro, qualunque informazione che consenta al CSIRT o, se opportuno, all’autorità competente di determinare l’eventuale impatto transfrontaliero dell’incidente. La sola notifica non espone il soggetto che la effettua a una maggiore responsabilità. Qualora i soggetti interessati notifichino all’autorità competente un incidente significativo conformemente al primo comma, lo Stato membro provvede affinché l’autorità competente inoltri la notifica al CSIRT dopo averla ricevuta. In caso di incidente significativo transfrontaliero o intersettoriale, gli Stati membri provvedono affinché i loro punti di contatto unici ricevano in tempo utile informazioni pertinenti notificate conformemente al paragrafo 4. 2. Se opportuno, gli Stati membri provvedono affinché i soggetti essenziali e importanti comunichino senza indebito ritardo ai destinatari dei loro servizi che sono potenzialmente interessati da una minaccia informatica significativa qualsiasi misura o azione correttiva che tali destinatari sono in grado di adottare in risposta a tale minaccia. Se opportuno, i soggetti informano tali destinatari anche della minaccia informatica significativa stessa.

3. Un incidente è considerato significativo se: a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato; b) si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli. 4. Gli Stati membri provvedono affinché, ai fini della notifica a norma del paragrafo 1, i soggetti interessati trasmettano al CSIRT o, se opportuno, all’autorità competente: a) senza indebito ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo, un preallarme che, se opportuno, indichi se l’incidente significativo è sospettato di essere il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero; b) senza indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell’incidente significativo, una notifica dell’incidente che, se opportuno, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale dell’incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione; c) su richiesta di un CSIRT o, se opportuno, di un’autorità competente, una relazione intermedia sui pertinenti aggiornamenti della situazione; d) una relazione finale entro un mese dalla trasmissione della notifica dell’incidente di cui alla lettera b), che comprenda: i) ii) una descrizione dettagliata dell’incidente, comprensiva della sua gravità e del suo impatto; il tipo di minaccia o la causa di fondo che ha probabilmente innescato l’incidente; iii) le misure di attenuazione adottate e in corso; iv) se opportuno, l’impatto transfrontaliero dell’incidente; e) in caso di incidente in corso al momento della trasmissione della relazione finale di cui alla lettera d), gli Stati membri provvedono affinché i soggetti interessati forniscano una relazione sui progressi in quel momento e una relazione finale entro un mese dalla gestione dell’incidente. In deroga al primo comma, lettera b), un prestatore di servizi fiduciari, in relazione a incidenti significativi che abbiano un impatto sulla fornitura dei suoi servizi fiduciari, informa il CSIRT o, se opportuno, l’autorità competente senza indebito ritardo e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo. 5. Senza indebito ritardo e ove possibile entro 24 ore dal ricevimento del preallarme di cui al paragrafo 4, lettera a), il CSIRT o l’autorità competente fornisce una risposta al soggetto notificante, comprendente un riscontro iniziale sull’incidente significativo e, su richiesta del soggetto, orientamenti o consulenza operativa sull’attuazione di possibili misure di attenuazione. Se il CSIRT non è il destinatario iniziale della notifica di cui al paragrafo 1, gli orientamenti sono forniti dall’autorità competente in cooperazione con il CSIRT. Su richiesta del soggetto interessato, il CSIRT fornisce ulteriore supporto tecnico. Qualora si sospetti che l’incidente significativo abbia carattere criminale, il CSIRT o l’autorità competente fornisce anche orientamenti sulla segnalazione dell’incidente significativo alle autorità di contrasto. 6. Se opportuno, e in particolare se l’incidente significativo interessa due o più Stati membri, il CSIRT, l’autorità competente o il punto di contatto unico ne informa senza indebito ritardo gli altri Stati membri interessati e l’ENISA. Tali informazioni includono o il tipo di informazioni ricevute a norma del paragrafo 4. Nel fare ciò, il CSIRT, l’autorità competente o il punto di contatto unico tutelano, in conformità al diritto dell’Unione o nazionale, la sicurezza e gli interessi commerciali del soggetto nonché la riservatezza delle informazioni fornite.

7. Qualora sia necessario sensibilizzare il pubblico per evitare un incidente significativo o affrontare un incidente significativo in corso, o qualora la divulgazione dell’incidente significativo sia altrimenti nell’interesse pubblico, dopo aver consultato il soggetto interessato il CSIRT di uno Stato membro o, se del caso, la sua autorità competente e, se opportuno, i CSIRT o le autorità competenti degli altri Stati membri interessati, possono informare il pubblico riguardo all’incidente significativo o imporre al soggetto di farlo. 8. Su richiesta del CSIRT o dell’autorità competente, il punto di contatto unico inoltra le notifiche ricevute a norma del paragrafo 1 ai punti di contatto unici degli altri Stati membri interessati. 9. Il punto di contatto unico trasmette ogni tre mesi all’ENISA una relazione di sintesi che comprende dati anonimizzati e aggregati sugli incidenti significativi, sugli incidenti, sulle minacce informatiche e sui quasi incidenti notificati conformemente al paragrafo 1 del presente articolo e all’articolo 30. Al fine di contribuire alla fornitura di informazioni comparabili, l’ENISA può adottare orientamenti tecnici sui parametri delle informazioni da includere nella relazione di sintesi. Ogni sei mesi l’ENISA informa il gruppo di cooperazione e la rete di CSIRT delle sue constatazioni in merito alle notifiche ricevute. 10. I CRSIRT o, se opportuno, le autorità competenti forniscono alle autorità competenti a norma della direttiva (UE) 2022/2557 le informazioni sugli incidenti significativi, sugli incidenti, sulle minacce informatiche e sui quasi incidenti notificati conformemente al paragrafo 1 del presente articolo e all’articolo 30 dai soggetti identificati come soggetti critici a norma della direttiva (UE) 2022/2557. 11. La Commissione può adottare atti di esecuzione che specifichino ulteriormente il tipo di informazioni, il relativo formato e la procedura di trasmissione di una notifica a norma del paragrafo 1 del presente articolo e dell’articolo 30 e di una comunicazione trasmessa a norma del paragrafo 2 del presente articolo. Entro il 17 ottobre 2024 la Commissione adotta, per quanto riguarda i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, nonché i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network, atti di esecuzione che specifichino ulteriormente i casi in cui un incidente debba essere considerato significativo come indicato al paragrafo 3. La Commissione può adottare tali atti di esecuzione in relazione ad altri soggetti essenziali e importanti. La Commissione scambia pareri e coopera con il gruppo di cooperazione in merito ai progetti di atto di esecuzione di cui al primo e secondo comma del presente paragrafo conformemente all’articolo 14, paragrafo 4, lettera e). Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 39, paragrafo 2.

[4] Articolo 24 Uso dei sistemi europei di certificazione della cibersicurezza 1. Al fine di dimostrare il rispetto di determinate prescrizioni di cui all’articolo 21, gli Stati membri possono imporre ai soggetti essenziali e importanti di utilizzare determinati prodotti TIC, servizi TIC e processi TIC, sviluppati dal soggetto essenziale o importante o acquistati da terze parti, che siano certificati nell’ambito dei sistemi europei di certificazione della cibersicurezza adottati a norma dell’articolo 49 del regolamento (UE) 2019/881. Inoltre, gli Stati membri incoraggiano i soggetti essenziali e importanti a utilizzare servizi fiduciari qualificati. 2. Alla Commissione è conferito il potere di adottare atti delegati a norma dell’articolo 38 al fine di integrare la presente direttiva specificando quali categorie di soggetti essenziali e importanti sono tenute a utilizzare determinati prodotti TIC, servizi TIC e processi TIC certificati o a ottenere un certificato nell’ambito di un sistema europeo di certificazione della cibersicurezza adottato a norma dell’articolo 49 del regolamento (UE) 2019/881. Tali atti delegati sono adottati qualora siano stati individuati livelli insufficienti di cibersicurezza e includono un periodo di attuazione. Prima di adottare tali atti delegati, la Commissione effettua una valutazione d’impatto e procede a consultazioni conformemente all’articolo 56 del regolamento (UE) 2019/881.

3. Qualora non siano disponibili sistemi di europei di certificazione della cibersicurezza adeguati ai fini del paragrafo 2 del presente articolo, la Commissione può chiedere all’ENISA, previa consultazione del gruppo di cooperazione e del gruppo europeo per la certificazione della cibersicurezza, di preparare una proposta di sistema a norma dell’articolo 48, paragrafo 2, del regolamento (UE) 2019/881.

[5] Articolo 25 Normazione 1. Per promuovere l’attuazione convergente dell’articolo 21, paragrafi 1 e 2, gli Stati membri, senza imposizioni o discriminazioni a favore dell’uso di un particolare tipo di tecnologia, incoraggiano l’uso di norme e specifiche tecniche europee e internazionali relative alla sicurezza dei sistemi informatici e di rete. 2. L’ENISA, in cooperazione con gli Stati membri e, se opportuno, previa consultazione dei pertinenti portatori di interessi, elabora documenti di consulenza e orientamento riguardanti tanto i settori tecnici da prendere in considerazione in relazione al paragrafo 1, quanto le norme già esistenti, comprese le norme nazionali, che potrebbero essere applicate a tali settori.

[6] Articolo 29 Accordi di condivisione delle informazioni sulla cibersicurezza 1. Gli Stati membri provvedono affinché i soggetti che rientrano nell’ambito di applicazione della presente direttiva e, se del caso, altri soggetti che non rientrano nell’ambito di applicazione della presente direttiva siano in grado di scambiarsi, su base volontaria, pertinenti informazioni sulla cibersicurezza, comprese informazioni relative a minacce informatiche, quasi incidenti, vulnerabilità, tecniche e procedure, indicatori di compromissione, tattiche avversarie, informazioni specifiche sugli attori delle minacce, allarmi di cibersicurezza e raccomandazioni concernenti la configurazione degli strumenti di cibersicurezza per individuare le minacce informatiche, se tale condivisione di informazioni: a) mira a prevenire o rilevare gli incidenti, a riprendersi dagli stessi o ad attenuarne l’impatto; b) aumenta il livello di cibersicurezza, in particolare sensibilizzando in merito alle minacce informatiche, limitando o inibendo la capacità di diffusione di tali minacce e sostenendo una serie di capacità di difesa, la risoluzione e la divulgazione delle vulnerabilità, tecniche di rilevamento, contenimento e prevenzione delle minacce, strategie di attenuazione o fasi di risposta e recupero, oppure promuovendo la ricerca collaborativa sulle minacce informatiche tra soggetti pubblici e privati. 2. Gli Stati membri provvedono affinché lo scambio di informazioni avvenga nell’ambito di comunità di soggetti essenziali e importanti e, se opportuno, dei loro fornitori o fornitori di servizi. Tale scambio è attuato mediante accordi di condivisione delle informazioni sulla cibersicurezza che tengono conto della natura potenzialmente sensibile delle informazioni condivise.

3. Gli Stati membri facilitano la conclusione degli accordi di condivisione delle informazioni sulla cibersicurezza di cui al paragrafo 2 del presente articolo. Gli Stati membri possono specificare gli elementi operativi, compreso l’uso di piattaforme TIC dedicate e di strumenti di automazione, i contenuti e le condizioni degli accordi di condivisione delle informazioni. Nello stabilire i dettagli relativi alla partecipazione delle autorità pubbliche a tali accordi, gli Stati membri possono imporre condizioni per le informazioni messe a disposizione dalle autorità competenti o dai CSIRT. Gli Stati membri offrono assistenza per l’applicazione di tali accordi conformemente alle loro misure strategiche di cui all’articolo 7, paragrafo 2, lettera h). 4. Gli Stati membri provvedono affinché i soggetti essenziali e importanti notifichino alle autorità competenti la loro partecipazione agli accordi di condivisione delle informazioni sulla cibersicurezza di cui al paragrafo 2 al momento della conclusione di tali accordi o, se opportuno, del loro ritiro da tali accordi, una volta che questo è divenuto effettivo. 5. L’ENISA offre assistenza per la conclusione di accordi di condivisione delle informazioni sulla cibersicurezza di cui al paragrafo 2 fornendo orientamenti e provvedendo allo scambio delle migliori pratiche.

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

La Direttiva NIS 2 – I chiarimenti dell’Agenzia per la Cibersicurezza

About Author / Davide De Luca

Regolamento n. 2024/2847 relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali

Il ricorso per una presunta violazione della privacy deve essere fatto prima di fronte all’Autorità nazionale e poi, eventualmente, davanti alla Corte Europea dei diritti dell’Uomo.

Lascia un commento Annulla risposta

Articoli

Categorie

La Direttiva NIS 2 – I chiarimenti dell’Agenzia per la Cibersicurezza

About Author / Davide De Luca

Regolamento n. 2024/2847 relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali

Il ricorso per una presunta violazione della privacy deve essere fatto prima di fronte all’Autorità nazionale e poi, eventualmente, davanti alla Corte Europea dei diritti dell’Uomo.

Lascia un commento Annulla risposta

Potrebbe piacerti