La direttiva NIS2 e le scadenze da rispettare per la sua applicazione.
-
- 24 Gennaio 2025
Il Decreto legislativo del 04/09/2024 n. 138[1], In vigore dal 16/10/2024, stabilisce misure volte a garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea in modo da migliorare il funzionamento del mercato interno.
Il decreto prevede:
a) la Strategia nazionale di cybersicurezza, recante previsioni volte a garantire un livello elevato di sicurezza informatica;
b) l’integrazione del quadro di gestione delle crisi informatiche, nel contesto dell’organizzazione nazionale per la gestione delle crisi che coinvolgono aspetti di cybersicurezza, di cui all’articolo 10 del decreto-legge 4 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;
c) la conferma dell’Agenzia per la cybersicurezza nazionale quale:
1) Autorità nazionale competente NIS, disciplinandone i poteri inerenti all’implementazione e all’attuazione del presente decreto;
2) Punto di contatto unico NIS, assicurando il raccordo nazionale e transfrontaliero;
3) Gruppo di intervento nazionale per la sicurezza informatica in caso di incidente in ambito nazionale (CSIRT Italia).
Per «Strategia nazionale di cybersicurezza», si fa riferimento al il quadro coerente che prevede gli obiettivi strategici e le priorità in materia di cybersicurezza, nonché la governance per il loro conseguimento; mentre l’«Autorità nazionale competente NIS» è l’Agenzia per la cybersicurezza nazionale.
Per «sistema informativo e di rete», si intende:
1) una rete di comunicazione elettronica ai sensi dell’articolo 2, comma 1, lettera vv), del decreto legislativo 1° agosto 2003, n. 259;
2) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali;
3) i dati digitali conservati, elaborati, estratti o trasmessi per mezzo di reti o dispositivi di cui ai numeri 1) e 2), per il loro funzionamento, uso, protezione e manutenzione.
Mentre l’espressione «sicurezza dei sistemi informativi e di rete» sta a significare: la capacità dei sistemi informativi e di rete di resistere, con un determinato livello di affidabilità, agli eventi che potrebbero compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti da tali sistemi informativi e di rete o accessibili attraverso di essi.
Il termine «sicurezza informatica» serve a definire l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche.
La «cybersicurezza» sta a intendere, l’insieme delle attivita’, fermi restando le attribuzioni di cui alla legge 3 agosto 2007, n. 124, e gli obblighi derivanti da trattati internazionali, necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilita’, la confidenzialita’ e l’integrita’ e garantendone la resilienza, anche ai fini della tutela della sicurezza nazionale e dell’interesse nazionale nello spazio cibernetico.
L’«incidente» è un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete o accessibili attraverso di essi; invece, un «quasi-incidente»: cd. near-miss, è un evento che avrebbe potuto configurare un incidente senza che quest’ultimo si sia tuttavia verificato, ivi incluso il caso in cui l’incidente sia stato efficacemente evitato.
L’«incidente di sicurezza informatica su vasta scala» è un incidente che causa un livello di perturbazione superiore alla capacità di uno Stato membro di rispondervi o che ha un impatto significativo su almeno due Stati membri; così come la «gestione degli incidenti»: le azioni e le procedure volte a prevenire, rilevare, analizzare e contenere un incidente o a rispondervi e recuperare da esso; mentre il «rischio» consiste nella combinazione dell’entità dell’impatto di un incidente, in termini di danno o di perturbazione, e della probabilità che quest’ultimo si verifichi.
A proposito della «minaccia informatica», essa contempla qualsiasi circostanza, evento o azione che potrebbe danneggiare, perturbare o avere un impatto negativo di altro tipo su sistemi informativi e di rete, sugli utenti di tali sistemi e altre persone; così come la «minaccia informatica significativa» è rappresentata da una minaccia informatica che, in base alle sue caratteristiche tecniche, si presume possa avere un grave impatto sui sistemi informativi e di rete di un soggetto o sugli utenti dei servizi erogati da un soggetto causando perdite materiali o immateriali considerevoli.
L’«approccio multi-rischio», cosiddetto approccio all-hazards, è l’approccio alla gestione dei rischi che considera quelli derivanti da tutte le tipologie di minaccia ai sistemi informativi e di rete nonché al loro contesto fisico, quali furti, incendi, inondazioni, interruzioni, anche parziali, delle telecomunicazioni e della corrente elettrica, e in generale accessi fisici non autorizzati.
Di seguito si riportano le scadenze che i soggetti cui si rivolge la norma dovranno attenersi.
[1] Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148
