Il 16 ottobre 2024 è stato pubblicato in Gazzetta Ufficiale il Decreto Legislativo n. 138 del 4 settembre 2024 che a sua volta recepisce la Direttiva Europea 2022/2555, ovvero la NIS2, una normativa, appunto, europea che mira a rafforzare la cybersicurezza degli Stati membri, imponendo misure più stringenti per la protezione delle infrastrutture critiche e dei servizi essenziali. È stata adottata per migliorare la resilienza delle organizzazioni lavorative e delle istituzioni contro le minacce informatiche, ampliando il numero di settori coinvolti rispetto alla precedente direttiva NIS
La cosiddetta cybersicurezza è un ambito sempre più sensibile in un mondo dove si stanno sviluppando sistemi di intelligenza artificiale e infrastrutture informatiche indispensabili ma che portano con sé anche una serie di criticità cui la nuova Direttiva vuol far fronte
Di cosa si tratta nel concreto? Ve lo spiego qui sotto
Buona lettura!
INDICE
- Le tappe della NIS2
- Gli adempimenti della NIS2
- Organizzazioni soggette alla NIS2
- Impatti e sfide
- Le tappe della NIS2
Come detto all’inizio, il Decreto di recepimento della NIS 2 è stato pubblicato nel nostro Paese il 16 ottobre 2024, tuttavia questa Direttiva ha una storia più lunga, sia prima, sia successivamente alla pubblicazione. L’evoluzione della direttiva NIS2, infatti, ha radici profonde nella crescente necessità di rafforzare la cybersicurezza in Europa. Tutto ha avuto inizio con la prima direttiva NIS, adottata nel 2016, che ha segnato un passo importante nella regolamentazione della sicurezza delle reti e dei sistemi informativi. Tuttavia, con l’aumento degli attacchi informatici e la digitalizzazione sempre più pervasiva, si è reso evidente che le misure introdotte non erano sufficienti a garantire una protezione adeguata.
Nel 2020, l’Unione Europea ha avviato il processo di revisione della normativa, con l’obiettivo di superare i limiti della Direttiva originale e creare un quadro giuridico più solido e uniforme. Dopo un lungo iter legislativo, la Direttiva NIS2 è stata approvata a fine 2022, imponendo agli Stati membri l’obbligo di recepirla entro ottobre 2024
Per l’Italia la pubblicazione in Gazzetta Ufficiale segna l’inizio di un iter che porterà le organizzazioni lavorative coinvolte ad applicare nel concreto la Direttiva alle proprie realtà e attività:
- entro il 31 dicembre 2024, organizzazioni e pubbliche amministrazioni erano tenute a svolgere un assessment per comprendere se fossero o meno soggette agli obblighi della Direttiva NIS2
- tra il 1° gennaio e il 28 febbraio 2025, i soggetti che ritenevano di rientrare nei parametri di applicazione della NIS2 avrebbero dovuto registrarsi sulla piattaforma digitale resa disponibile da ACN (Agenzia per la Cybersicurezza Nazionale) la quale entro il 15 aprile 2025 avrebbe dovuto comunicare agli interessati l’inserimento nell’elenco dei soggetti essenziali o importanti
- tra il 15 aprile e il 31 maggio 2025, i soggetti che avranno ricevuto la comunicazione attraverso la piattaforma dovranno fornire le ulteriori informazioni richieste dalla normativa.
- chiusa questa fase preliminare, i soggetti che avranno ricevuto la comunicazione di inclusione da parte dell’ACN dovranno procedere con gli ulteriori adempimenti previsti nel Decreto
Ma quali sono questi “adempimenti previsti dal Decreto”?
2. Gli adempimenti della NIS2
Come accennato nel paragrafo precedente, la direttiva NIS 2 impone obblighi più stringenti in materia di cybersicurezza per organizzazioni che operano in settori critici, con l’obiettivo di rafforzare la protezione contro le minacce informatiche. In particolare, questi obblighi riguardano:
- gestione del rischio per prevenire e mitigare attacchi informatici: le organizzazioni sono chiamate ad adottare strategie proattive per identificare e mitigare le vulnerabilità dei loro sistemi informatici. Questo include l’implementazione di misure tecniche e organizzative per proteggere dati e infrastrutture critiche, come il monitoraggio continuo delle minacce e la definizione di piani di risposta agli incidenti
- segnalazione tempestiva degli incidenti alle autorità competenti: in caso di attacco informatico o violazione della sicurezza, le organizzazioni devono notificare l’accaduto alle autorità competenti entro tempi definiti (generalmente entro 24 ore per la prima comunicazione e un report dettagliato entro 72 ore)
- sicurezza della supply chain: le organizzazioni devono garantire che anche i loro fornitori rispettino elevati standard di cybersicurezza. Questo significa verificare l’affidabilità dei partner commerciali, valutare il rischio derivante da terze parti e imporre requisiti di sicurezza negli accordi contrattuali.
- designazione dei responsabili e formazione: le organizzazioni devono identificare figure dedicate alla gestione della sicurezza informatica, con ruoli chiari e competenze specifiche. Inoltre, è richiesta una formazione continua del personale per garantire che tutti i dipendenti siano consapevoli delle best practice e delle minacce informatiche.
- adeguamento ai nuovi standard: le organizzazioni devono conformarsi a requisiti di sicurezza più stringenti, con audit e controlli periodici per valutare l’efficacia delle misure adottate. In caso di mancata conformità, la direttiva prevede sanzioni severe, che possono includere multe significative e altre restrizioni operative
Gli adempimenti sono sicuramente onerosi in termini di tempo e di risorse, ma nel nostro Paese l’ACN ha dato un po’ di tempo per adeguarsi, ovvero 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS, mente il termine per l’adempimento dell’obbligo di notifica degli incidenti significativi è di 9 mesi dalla stessa comunicazione
In questo paragrafo abbiamo parlato genericamente di organizzazioni, ma in realtà non tutte avevano l’obbligo di iscriversi al portale ACN e probabilmente non tutte quelle che lo hanno fanno rientreranno dei parametri di inclusione alla Direttiva. Quali sono dunque i criteri di inclusione?
3. Organizzazioni soggette alla NIS2
Come abbiamo accennato, la NIS2 è una sorta di evoluzione della precedente Direttiva NIS del 2016, e, tra i vari aggiornamenti, oltre ai nuovi obblighi per le organizzazioni, che abbiamo descritto nel paragrafo precedente, spicca l’ampliamento abbastanza significativo del campo di applicazione: se nel 2016 risultavano coinvolti circa 6.000 soggetti in tutta Europa, principalmente appartenenti a settori critici come energia, trasporti, sanità e finanza, con l’entrata in vigore della NIS2 il numero di organizzazioni interessate è aumentato notevolmente, arrivando a coinvolgere circa 20.000 soggetti. Questo ampliamento è dovuto all’inclusione di nuovi settori, come la gestione dei rifiuti, l’industria chimica, alimentare e manifatturiera, oltre a fornitori di servizi digitali e pubbliche amministrazioni. Ad oggi i settori coinvolti sono 18 di cui 11 altamente critici (originariamente 8) e 7 critici (di nuova introduzione) per oltre 80 tipologie di soggetti, distinguendo i soggetti in essenziali e importanti:
- Enti Essenziali: comprendono infrastrutture strategiche come energia, trasporti, sanità, servizi finanziari, amministrazioni pubbliche e telecomunicazioni. Questi soggetti devono rispettare requisiti di cybersicurezza più rigorosi, poiché un attacco informatico contro di loro potrebbe avere un impatto significativo sulla società o sull’economia.
Enti Importanti: includono settori come fornitori di servizi digitali, gestione rifiuti, industria chimica, alimentare e manifatturiera. Sebbene non siano considerati critici al pari degli enti essenziali, devono comunque adottare misure di sicurezza adeguate per prevenire rischi informatici
Ma l’appartenenza ad uno specifico settore non determina da solo l’applicabilità o meno della NIS2 ad un’organizzazione: quest’ultima, infatti, per rientrare nei criteri deve rientrare fra le medie o grandi imprese, salvo eccezioni legate alla criticità dei servizi forniti, cioè avere almeno 50 dipendenti e un fatturato o bilancio annuo superiore ai 10 milioni di euro.
Se la tua organizzazione rientra in questi parametri e quindi è soggetta all’obbligo di ottemperare alle NIS2 i passi da fare saranno forse dispendiosi in termini di risorse e tempo, ma indispensabili per affrontare le nuove sfide che la Direttiva porta con sé.
4. Impatti e sfide
L’adozione della Direttiva NIS 2 porta con sé importanti impatti per le organizzazioni, imponendo un rafforzamento della sicurezza informatica e un miglioramento della resilienza digitale. Le organizzazioni coinvolte dovranno investire in sistemi avanzati di protezione, garantendo una gestione più strutturata del rischio cyber. Questo comporta una maggiore consapevolezza sulle minacce informatiche e l’adozione di tecnologie più sofisticate, come strumenti di monitoraggio e sistemi di risposta automatizzata agli attacchi.
L’adeguamento alla Direttiva presenta anche sfide significative prima fra tutte una revisione delle strategie digitali e una nuova modalità di collaborazione più stretta con fornitori e partner, per garantire la sicurezza della supply chain. Ci sarà infine da affrontare l’incremento dei costi, poiché la conformità alle nuove regole richiede investimenti significativi in infrastrutture.
Tuttavia, le difficoltà sono ben bilanciate dai benefici che una gestione della NIS2 a prova di Direttiva porta con sé:
- maggiore protezione dagli attacchi informatici
- semplificazione normativa per le organizzazioni che operano in più Paesi europei
- migliore gestione del rischio
- collaborazione più efficace tra pubblico e privato
- tutela dei dati e della supply chain
- riduzione dei costi legati a interruzioni operative, danni reputazionali e possibili sanzioni
- aumento della competitività
- ottimizzazione dei processi
La tua organizzazione rientra nella NIS2? Hai già intrapreso il percorso per ottemperare alla nuova Direttiva? Se hai bisogno di un supporto contattami e vediamo come posso esserti utile!