Data protection

La Direttiva UE 2022/2555 relativa alle misure per un livello comune elevato di cibersicurezza nell’Unione Europea (direttiva NIS 2).

Si porta a conoscenza dell’avvenuto recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (DIRETTIVA NIS2) – ESAME PRELIMINARE (schema di Decreto legislativo).

Il recepimento è avvenuto tramite il D.Lgs. del 7.6.2024, di recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148

La direttiva (UE) 2022/2555 risponde all’esigenza di rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi nell’UE. Le principali novità introdotte sono:

  • l’ampliamento dell’ambito soggettivo di applicazione della disciplina;
  • la distinzione tra “soggetti essenziali” e “soggetti importanti” con l’adozione di un criterio dimensionale per la loro individuazione;
  • la razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria; 
  • l’adozione di un approccio “multirischio”;
  • la regolamentazione della divulgazione coordinata delle vulnerabilità (CVD) e le specifiche funzioni di coordinamento attribuite agli CSIRT nazionali;
  • l’implementazione delle misure di cooperazione, al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di cybersicurezza su vasta scala.

Lo schema di d.lgs. introduce, pertanto, diverse misure specifiche, tra cui l’individuazione dei soggetti critici, la valutazione del rischio, l’adozione di misure di sicurezza e la collaborazione tra autorità nazionali. In particolare, lo schema di decreto legislativo prevede diverse misure per raggiungere l’obiettivo di cui sopra e, sul punto:

  • definisce una Strategia Nazionale di Cybersicurezza con obiettivi strategici e priorità per la sicurezza informatica;
  • integra un quadro di gestione delle crisi informatiche nell’organizzazione nazionale per la gestione delle crisi che coinvolgono aspetti di cybersicurezza a livello nazionale;
  • conferma l’Agenzia per la Cybersicurezza Nazionale (ACN) quale Autorità Nazionale Competente NIS, definendone i poteri per l’implementazione e l’attuazione del decreto;
  • istituisce le Autorità di settore NIS chiamate a collaborare con l’ACN, supportandone la funzione di Autorità Nazionale Competente NIS e di Punto di Contatto Unico NIS;
  • stabilisce i criteri per l’individuazione dei soggetti (pubblici e privati) tenuti a rispettare gli obblighi in materia di sicurezza informatica (classificati in due categorie, “essenziali” e “importanti”, in base alla loro rilevanza per l’economia e la società, e alle dimensioni delle loro operazioni, come meglio specificato di seguito); e infine
  • definisce i criteri per identificare i soggetti a cui si applica il decreto e definisce i relativi obblighi in materia di misure di gestione dei rischi per la sicurezza informatica.

L’obiettivo principale dello schema di decreto è quindi quello di allineare gli standard italiani e quelli europei, rafforzando la resilienza nazionale contro le minacce informatiche. Sul punto, la Direttiva NIS 2, e quindi lo schema di decreto legislativo, amplia l’ambito di applicazione rispetto alla precedente direttiva del 2016, applicandosi anche a “soggetti critici” in settori chiave come energia, trasporti, bancario e salute.

I soggetti coinvolti dalla Direttiva NIS 2

Come anticipato sopra, lo schema di decreto prevede obblighi principali per diverse categorie di soggetti, tra cui in particolare:

  • soggetti “essenziali” e “importanti”, 
  • “organi di amministrazione e direttivi”, e 
  • soggetti che forniscono servizi di registrazione dei nomi di dominio.

Le aziende sanitarie, così come il settore bancario, il comparto dell’energia, dei Trasporti, delle Infrastrutture dei mercati finanziari, dell’Acqua potabile, delle Acque reflue, delle Infrastrutture digitali, della Gestione dei servizi TIC e dello Spazio rientrano nel novero dei soggetti definiti “essenziali”; (cfr. Allegato I, 5. Settori ad alta criticità.

Gli obblighi principali dei soggetti coinvolti

I soggetti essenziali e importanti devono adottare misure di gestione dei rischi per la sicurezza informatica proporzionate al livello di rischio a cui sono esposti, tra cui:

● notificare all’Autorità nazionale competente NIS (Autorità Nazionale per la Cybersicurezza – ACN) gli incidenti significanti che hanno un impatto sui servizi forniti;

● registrarsi sulla piattaforma digitale dell’ACN, fornendo informazioni dettagliate sulle loro attività e sui loro sistemi.

Peraltro, l’ACN può imporre ai soggetti essenziali e importanti l’utilizzo di prodotti e servizi certificati per dimostrare il rispetto di determinati obblighi.

Più nel dettaglio, lo schema di decreto prevede che i soggetti essenziali e importanti notifichino al qualsiasi incidente che abbia un impatto significativo sulla fornitura dei loro servizi.

Cosa devono includere le notifiche

Nelle notifiche, i soggetti essenziali e importanti devono includere:

  1. informazioni che consentano al CSIRT Italia di determinare un eventuale impatto transfrontaliero dell’incidente;
  2. una segnalazione preliminare entro 24 ore dalla scoperta dell’incidente, indicando se si sospetta che l’incidente sia il risultato di atti illegittimi o malevoli e se potrebbe avere un impatto transfrontaliero;
  3. una notifica dell’incidente entro 72 ore dalla scoperta, aggiornando le informazioni del preallarme e fornendo una valutazione iniziale della sua gravità e del suo impatto, inclusi gli indicatori di compromissione;
  4. relazioni intermedie su richiesta del CSIRT Italia; e
  5. una relazione finale entro un mese dalla notifica dell’incidente, con una descrizione dettagliata dell’incidente, il tipo di minaccia e le misure di attenuazione adottate.

Ovviamente, resta fatto salvo l’eventuale obbligo di notifica di una violazione dei dati personali ai sensi del Regolamento 679/2016 (“GDPR”) nei confronti del Garante per la protezione dei dati personali.

Il CSIRT Italia deve fornire un riscontro iniziale al soggetto notificante entro 24 ore dal ricevimento del preallarme, fornendo orientamenti operativi su possibili misure di mitigazione, se necessario fornendo anche supporto tecnico.

Gli obblighi di formazione a carico dei Soggetti di cui All. 1 – settori ad alta criticità.

In aggiunta, gli organi di amministrazione e direttivi dei soggetti essenziali e importanti – i quali sono responsabili dell’implementazione e del rispetto degli obblighi di sicurezza informatica – sono tenuti ai sensi dello schema del decreto a seguire una formazione in materia di sicurezza informatica e a promuovere la formazione periodica dei propri dipendenti.

Fermo restando quanto sopra, tutti i soggetti devono rispettare i principi di proporzionalità e gradualità degli obblighi, tenendo conto del livello di rischio, delle dimensioni del soggetto e dell’impatto potenziale degli incidenti.

L’apparato sanzionatorio

 Il decreto prevede inoltre sanzioni amministrative pecuniarie per i soggetti inadempienti e, da ultimo, l’ACN può anche adottare misure correttive, nonché disporre sospensioni temporanee, nei confronti dei soggetti inadempienti. Suddette sanzioni possono arrivare fino a 10 milioni di euro.

Inoltre, qualora le Autorità nazionali preposte al controllo vengano a conoscenza di violazioni in materia di dati personali ne informano il garante per la Protezione dei dati Personali.

I pilastri della NIS 2

Sono cinque i pilastri fondamentali per lo sviluppo di un sistema NIS 2.


GOVERNANCE

Il management deve avere un ruolo proattivo nella gestione dei rischi: risk strategy, misure di trattamento (eliminazione, mitigazione, trasferimento, accettazione), supervisione e collaborazione con autorità e terze parti. Questo prevede l’assegnazione di responsabilità (risk ownership) e definizione di processi (controlli di primo, secondo e terzo livello) che renda evidente leadership e commitment.


RISK MANAGEMENT CON APPROCCIO MULTIRISCHIO

Nel valutare i rischi, l’organizzazione dovrà considerare non soltanto quelli strettamente connessi al sistema informativo (integrità, disponibilità e riservatezza), ma anche quelli relativi alla gestione degli incidenti, alla continuità operativa, all’approvvigionamento e alla manutenzione, nonché quelli riconducibili alla catena di fornitura, al fattore umano e alle misure di sicurezza fisica. Superando il concetto stretto di cybersecurity, la NIS 2 si concentra maggiormente sulla cyber resilience.

L’approccio multirischio mira a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti.

SUPPLY CHAIN RISK E SECURITY MANAGEMENT

Come nel Regolamento DORA, anche la NIS 2 concentra la sua attenzione sulla supply chain, considerata – assieme al fattore umano – l’elemento più vulnerabile della catena, così come testimoniato dai sempre più numerosi attacchi, il cui effetto domino ha portato all’indisponibilità di servizi critici. Si pone dunque la necessità di determinare criteri di affidabilità del fornitore, valutandone il rischio e richiedendo adeguate misure di mitigation e garanzie in termini di sicurezza delle informazioni e business continuity, per poi monitorarlo anche attraverso audit di seconda parte.


INCIDENT E CRISIS MANAGEMENT

La capacità reattiva dovrà essere fondata sull’early warning (a 24 ore dalla presa di conoscenza) e da un piano di comunicazione costante e periodico. In un contesto caratterizzato da MTTI medio (Mean Time To Identify) pari a 204 giorni ed MTTC (Mean Time To Contain) pari a 73 giorni, diventa immediatamente chiaro come la capacità reattiva delle organizzazioni assuma un rilievo di fondamentale importanza nel perseguire una politica realmente improntata sulla cyber resilience.

Per quanto di stretto interesse, un incidente è considerato significativo se:

b) si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

Gli stati membri provvedono affinché, ai fini della notifica i soggetti interessati trasmettano al CSIRT o, se opportuno, all’autorità competente:

a) senza indebito ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo, un preallarme che, se opportuno, indichi se l’incidente significativo è sospettato di essere il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero;

b) senza indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell’incidente significativo, una notifica dell’incidente che, se opportuno, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale dell’incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione;

c) su richiesta di un CSIRT o, se opportuno, di un’autorità competente, una relazione intermedia sui pertinenti aggiornamenti della situazione;

d) una relazione finale entro un mese dalla trasmissione della notifica dell’incidente di cui alla lettera b), che comprenda: i) ii) una descrizione dettagliata dell’incidente, comprensiva della sua gravità e del suo impatto; il tipo di minaccia o la causa di fondo che ha probabilmente innescato l’incidente; iii) le misure di attenuazione adottate e in corso; iv) se opportuno, l’impatto transfrontaliero dell’incidente;

 (omissis).


AWARENESS E FORMAZIONE

Poiché il fattore umano rimane il rischio più complesso da gestire, appare evidente come l’impegno dell’organizzazione nei confronti di campagne informative e percorsi formativi assuma un carattere cruciale: formazione che non dovrà limitarsi ad aspetti teorici ma che dovrà entrare nel merito delle policy, processi e procedure di gestione del rischio, della sicurezza e della continuità operativa, sino ad arrivare alla gestione di incident e crisi. Si consiglia, a tal proposito, di coinvolgere nei momenti dedicati alla formazione anche fornitori ed eventuali stakeolder, adottando modelli didattici ad elevato valore aggiunto quali simulazioni e role play che possano mettere le persone nelle condizioni di simulare scenari basati su case study realistici.

Considerato che entro il 17 ottobre dovrà essere recepita la Direttiva NIS 2, da parte degli Stati membri, per cui le disposizioni in essa contenute si applicheranno a decorrere dal 18 ottobre 2024; di conseguenza, gli adempimenti sotto elencati sono – per legge –  da realizzarsi al massimo entro il 17 ottobre 2024.

ADEMPIMENTI

a carico dei Soggetti di cui All. 1 – settori ad alta criticità

Di seguito si riporta l’elenco minimo degli adempimenti che la normativa prevede a carico del Titolare del trattamento. Pertanto – in una ottica di accountability occorre motivare e dare evidenza delle azioni poste in essere –  si invitano i destinatari della presente Comunicazione a svolgere un approfondito esame della materia al fine di individuare, eventuali, altri aspetti da considerare e a cui fare fronte; nulla vieta che la Direzione strategica individui ulteriori funzioni aziendali da coinvolgere.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

casella posta elettronica
Cybersecurity

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

conformita
NIS2: oltre la ISO 27001, cosa serve davvero per la conformità
10 Aprile 2025
siti web
La Progettazione dei servizi declinata attraverso la realizzazione di siti web in linea con il Piano triennale AGID per l’informatica nella P.A., 2024-2026.
24 Marzo 2025
Contratti_2
Disciplina dei contratti di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e della sicurezza nazionale
24 Maggio 2025

Start typing and press Enter to search