Con il DECRETO LEGISLATIVO 4 settembre 2024, n. 138 pubblicato il 01/10/2024 in Gazzetta Ufficiale, è giunto ufficialmente il recepimento della Direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione. Insomma, si stanno ormai unendo tutti i pezzi del puzzle che ci consente di iniziare a tracciare un percorso di adeguamento alla NIS2 per le aziende in Italia. Sia la Direttiva, sia il Decreto attuativo, non sono una lettura semplice, e fino ad oggi il principale quesito della stragrande maggioranza delle organizzazioni è stato: ma a noi la NIS2 si applica?
Partiamo allora proprio da questa domanda, legittima, analizzando nel dettaglio i fattori chiave sull’applicabilità della norma, per poi tracciare i primi passi del percorso di adeguamento che consentirà di far fronte ai diversi nuovi obblighi.
Indice
Fattori chiave per l’applicabilità della NIS 2
Settore economico e dimensione dell’Impresa
Nell’ambito di applicazione del decreto sono ricompresi soggetti privati sottoposti alla giurisdizione nazionale che operano in settori economici ritenuti critici. Le specifiche tipologie sono reperibili negli Allegati del Decreto. In particolare, alle realtà private interesseranno gli Allegato I (Settori critici) e Allegato II (Altri settori critici), mentre l’Allegato III e IV sono sostanzialmente dedicati al mondo della Pubblica Amministrazione, delle società partecipate o soggette a controllo pubblico. Insieme al settore economico di appartenenza, andrà valutata anche la dimensione dell’azienda. Il decreto di attuazione della NIS 2 si applica infatti ai soggetti che rientrano tra le tipologie descritte unicamente se sono superati i massimali per le piccole imprese.
Elementi di criticità dei servizi svolti
Il decreto attuativo della NIS 2 considera alcune ulteriori condizioni di applicabilità “sufficienti”. Vale a dire che, a prescindere dalla dimensione dell’impresa, coloro che esercitano determinate attività saranno automaticamente soggetti agli obblighi della NIS 2. Alcuni esempi sono i fornitori di reti o servizi di comunicazione elettronica accessibili al pubblico, prestatori di servizi fiduciari, di servizi collegati alla gestione di nomi di dominio. L’effettiva analisi sulla criticità dei servizi sarà svolta principalmente dalle Autorità (l’Agenzia per la Cybersicurezza Nazionale con il supporto dei Ministeri competenti), ma una cauta riflessione andrebbe fatta anche spontaneamente consultando l’Allegato A dello Schema di decreto per l’attuazione della direttiva (UE) 2022/2557 relativa, appunto, alla resilienza dei soggetti critici.
Collegamento con altri soggetti NIS 2
Non andrebbe infine tralasciata un’ulteriore condizione netta relativa all’applicabilità della norma: la connessione con altri soggetti che entrano nel perimetro di applicazione della NIS 2. Questo genere di connessione va interpretato sotto il profilo delle attività di sicurezza informatica, in termini:
- di gestione (influenza dominante sulle decisioni in materia di rischio per la cybersecurity),
- di controllo delle infrastrutture (detenzione o gestione di sistemi informativi e di rete),
- operativi (operazioni di sicurezza informatica, servizi di trasmissione, conservazione, recupero o elaborazione dati).
Di fatto, tale premessa porta a una duplice conclusione:
- Chi fornisce servizi legati alla sicurezza informatica, dovrà fare una rapida valutazione sulle tipologie e dimensioni delle società clienti. Ciò, allo scopo di valutare – oltre che gli obblighi contrattuali nei loro confronti – anche la diretta applicazione del Decreto alla propria realtà.
- Chi abbia già accertato l’applicabilità della norma alla propria realtà, può con una ragionevole certezza stabilire che anche i partner o i fornitori IT coinvolti nelle scelte e nelle operazioni di cybersecurity saranno a loro volta diretti destinatari della normativa.
Primi passi per l’adeguamento alla NIS 2
Identificazione, registrazione e caratterizzazione dell’Impresa sulla piattaforma ACN
Una volta valutate le caratteristiche della propria organizzazione, la prima cosa da programmare (e da tenere in considerazione ogni anno), sarà l’obbligo di registrazione e identificazione sulla piattaforma digitale dell’ACN. Tale piattaforma ha infatti un ruolo centrale nei diversi adempimenti alla NIS 2, e il suo utilizzo è stato scadenzato con precisione.
La prima fondamentale attività da mettere in atto, a partire dal 1° gennaio 2025, è la registrazione e identificazione della propria Impresa sulla piattaforma digitale dell’ACN. Tutti i dati inseriti nella piattaforma ACN andranno mantenuti sempre aggiornati con uno scarto massimo di 14 giorni.
Ogni anno tra il 1° gennaio e il 28 febbraio, bisognerà aggiornare le informazioni sull’Impresa, quali:
- ragione sociale
- indirizzo e recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono
- ruolo, recapiti, indirizzi e-mail e numeri di telefono di un punto di contatto
- pertinenti settori, sottosettori e tipologie di soggetto (coerentemente con gli Allegati del Decreto)
Entro il 31 marzo l’Autorità comunicherà lo status di soggetto essenziale, soggetto importante, o l’esclusione dalla lista.
Le società effettivamente confermate per l’applicazione della NIS 2, dal 15 aprile al 31 maggio dovranno fornire o aggiornare ulteriori informazioni, sempre attraverso la piattaforma dell’ACN:
- lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilità del soggetto
- l’elenco degli Stati membri in UE in cui forniscono servizi
- ruolo, recapiti, indirizzi e-mail e numeri di telefono dei responsabili (rappresentanti legali con autorità di rappresentare l’organizzazione, di prendere decisioni per suo conto o di esercitarne un controllo)
- ruolo, recapiti, indirizzi e-mail e numeri di telefono di un sostituto del punto di contatto già indicato.
Alcune informazioni aggiuntive sono richieste poi ai soli fornitori di servizi web (collegati alla registrazione e gestione dei nomi di dominio, cloud computing, data center, motori di ricerca, ecc.). Avendo verosimilmente un’organizzazione che supera i confini nazionali sarà richiesto di indicare:
- l’indirizzo della sede principale e delle altre sedi nell’Unione europea
- se extra UE, l’indirizzo della sede del rappresentante in UE, dati di contatto, indirizzi e-mail e telefono
Infine, un ulteriore obbligo entrerà in azione in un momento successivo. A partire dal 2026, tra il 1° maggio e il 30 giugno di ogni anno, la piattaforma digitale dell’ACN dovrà essere utilizzata per fornire o aggiornare l’elenco delle proprie attività e dei propri servizi, comprensivo di tutti gli elementi necessari alla caratterizzazione e alla attribuzione di una categoria di rilevanza. Tale operazione avrà rilevanza anche ai fini della corretta implementazione di una procedura di gestione dei rischi, poiché l’ACN potrà stabilire tempi, modi, specifiche e obblighi di implementazione proporzionati alle attività svolte, al settore o sottosettore di appartenenza, al grado di maturità iniziale nell’ambito di cybersecurity, ecc. L’esito finale sarà un riscontro circa la conformità dell’azienda, che sarà da ritenere convalidata anche in caso di silenzio dell’Autorità (oltre i 90 giorni).
Obblighi dei vertici dell’azienda
La seconda “azione” davvero rilevante in questa prima fase di adeguamento tocca inevitabilmente i vertici dell’azienda, cui spetta l’onere di prepararsi in tempo.
Gli obblighi (formali) in capo agli Organi Amministrativi e Direttivi si applicano a partire da 18 mesi dopo la ricezione della conferma dell’ACN di essere stati inseriti nella lista di soggetti essenziali o importanti
In termini concreti, il Decreto attribuisce specifici obblighi ai responsabili legali dei soggetti colpiti dalla NIS 2. Si specifica il ruolo di supervisionare l’implementazione di tutti gli obblighi in capo alla società, si attribuisce un’esplicita responsabilità per le violazioni e si impone agli organi amministrativi e direttivi uno specifico obbligo di approvazione delle soluzioni di gestione dei rischi per la sicurezza informatica, e la necessità di essere periodicamente (e, quando necessario, tempestivamente) informati in caso di incidenti informatici. E’ poi previsto un obbligo di formazione diretta degli apicali in materia di sicurezza informatica. E, analogamente, l’impegno di promuovere un’offerta periodica di formazione in cybersecurity ai propri dipendenti, allo scopo di favorire l’acquisizione da parte di tutti i lavoratori di conoscenze e competenze sufficienti per individuare rischi e potenziali impatti sulle attività e sui servizi offerti.
C’è un lungo margine di tempo prima dell’entrata in vigore di questi obblighi, ma il suggerimento principale è quello di iniziare a pianificare in maniera ragionata le modalità di applicazione. Con la consapevolezza che sono previsti, per l’anno 2025, ulteriori determinazioni delle Autorità che forniranno sicuramente indicazioni operative più precise in materia di risk-assessment e sugli obblighi graduati ai diversi settori e dimensioni… resta importante agire fin da subito, soprattutto per i soggetti che ritengano di essere ancora lontani da un buon livello di maturità in materia di cyber-security e di cyber-awareness, per attivare prontamente la propria rete, coinvolgere collaboratori e fornitori IT, gestire con attenzione le risorse tenendo conto di questi nuovi obblighi che si avvicinano.
Obblighi di Gestione del rischio informatico
Gli obblighi di gestione del rischio informatico si applicano a partire da 18 mesi dopo la ricezione della conferma dell’ACN di essere stati inseriti nella lista di soggetti essenziali o importanti
I soggetti essenziali e importanti devono applicare misure tecniche, operative e organizzative idonee e proporzionate per la gestione dei rischi informatici. Tenendo conto delle attività svolte e dei servizi forniti, dello stato dell’arte in materia di cybersecurity (es. norme nazionali, internazionali, standard riconosciuti), e dei costi di attuazione, l’obiettivo dovrà essere quello di prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei propri servizi e per altri servizi.
Nello specifico, è richiesta l’adozione di un approccio multi-rischio (all-hazards) che consideri i rischi derivanti da tutte le tipologie di minaccia ai sistemi informativi e di rete (es. furti, incendi, inondazioni, interruzioni anche parziali delle telecomunicazioni e della corrente elettrica, accessi fisici non autorizzati, ecc.). Semplificando le categorie citate da Decreto, le misure minime di sicurezza dovranno comprendere almeno:
- Politiche e procedure – in materia di analisi e gestione dei rischi; per la gestione e notifica degli incidenti; per la governance delle pratiche di formazione e igiene di base in materia di cybersecurity.
- Gestione della business continuity – backup, sistemi di ripristino, disaster recovery, crisis management.
- Controllo della supply chain – gestione e monitoraggio dei rapporti coi propri fornitori, e in fase di acquisizione, sviluppo e manutenzione dei sistemi informativi e di rete.
- Soluzioni organizzative e tecnologiche relative all’utilizzo di crittografia e/o cifratura, e per la gestione dei processi di autenticazione sicura (MFA, autenticazione continua, sistemi di comunicazione protetti).
Obblighi di Notifica degli incidenti di sicurezza
Gli obblighi di notifica degli incidenti di sicurezza si applicano a partire da 9 mesi dopo la ricezione della conferma dell’ACN di essere stati inseriti nella lista di soggetti essenziali o importanti
I soggetti essenziali e importanti devono notificare tempestivamente al CSIRT Italia qualsiasi incidente significativo, vale a dire un incidente capace di causare una grave perturbazione operativa dei servizi, perdite finanziarie, o di provocare ripercussioni su altri soggetti causando perdite considerevoli. Coerentemente con quanto già indicato nella Direttiva UE, la notifica avviene a fasi:
In caso di gestione di un incidente, andranno poi ovviamente seguite sempre le indicazioni del CSIRT, che ha anche ruolo di supporto. Ove opportuno, per i possibili impatti dell’incidente, e se possibile, gli incidenti potranno ad esempio dover essere notificati senza ritardi anche ai destinatari dei servizi compromessi, con indicazioni su possibili azioni correttive o di mitigazione da adottare e ulteriori dettagli o informazioni sulla natura della minaccia. Per maggiori dettagli, si consiglia di consultare le Guida alla notifica degli incidente al CSIRT Italia pubblicata dall’ACN a luglio 2024.
Per implementare una procedura di notifica di incident response, o, in dettaglio, di notifica al CSIRT degli incidenti informatici, sarà utile ricordare che molti obblighi si sovrappongono inevitabilmente con quelli di notifica del data breach al Garante (in applicazione degli Art. 33-34 GDPR). Con qualche adeguamento, integrare i processi potrebbe essere la soluzione più efficace.
[ved. anche DATA BREACH: le nuove Linee Guida ufficiali]
Sanzioni previste in caso di violazione
Il decreto attuativo prevede livelli di sanzione diversificati secondo due tipologie di violazione, e in base alle caratteristiche del soggetto che ha commesso un illecito. Nella tabella che segue sono schematizzate tutte le casistiche. Le sanzioni possono essere raddoppiate in caso di reiterazione di una violazione. Le sanzioni possono ritenersi applicabili dal momento dell’entrata in vigore dei diversi obblighi, come indicato negli altri paragrafi, pertanto, verosimilmente, a partire da gennaio 2026.
D’altronde, si rimane in attesa (entro maggio 2025), di ulteriori decreti in merito agli specifici criteri, procedure e modalità per lo svolgimento delle attività di vigilanza, e sulle modalità di raccordo e collaborazione tra l’ACN e le Autorità di settore.
Conclusioni
Ricapitolando, almeno in questa prima fase di entrata in vigore del Decreto 138/2024, è essenziale che le aziende si concentrino su alcune mosse fondamentali per organizzarsi al meglio nell’attuazione della normativa. Potremmo riassumere i primi passi in 3 punti:
- Pre-valutare l’applicabilità del decreto: ogni impresa dovrebbe approcciare la norma considerando se potrebbe rientrare nel suo ambito di applicazione. Questa operazione richiede un’attenta considerazione del settore economico e della dimensione aziendale, così come delle attività svolte, che potrebbero renderla soggetta agli obblighi della NIS 2 indipendentemente dalle dimensioni.
- Registrazione e identificazione: dopo la pre-valutazione, è cruciale che i soggetti interessati dalla norma completino a inizio del 2025 la registrazione e identificazione sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN). Questo rappresenta senza dubbio il primo passo operativo per adempiere agli obblighi formali e mantenere aggiornati i dati aziendali.
- Pianificazione: infine, un’adeguata pianificazione consentirà alle imprese di affrontare i futuri adempimenti senza ritardi, sfruttando al meglio il tempo disponibile per consolidare una solida strategia di gestione del rischio informatico, iniziare a pianificare l’implementazione delle misure di sicurezza necessarie è altrettanto importante. Sebbene non sia necessario agire in fretta, è consigliabile adottare un approccio strategico e, in attesa delle indicazioni specifiche e commisurate per i diversi settori economi, valutare le opportunità per stabilire un livello minimo dei propri processi di cybersecurity, tenendo conto che le misure suggerite potranno essere comunque utili per tutte le aziende, anche quelle non soggette direttamente alla normativa.