Questo articolo fa parte della NIS2 Awareness - Dettagli tecnico/operativi sulla Direttiva UE 2022/2555 (NIS2)
Se hai bisogno di un Consulente Cyber Security esperto, contattami senza impegno. Grazie alla collaborazione con un team multidisciplinare di esperti sapremo seguirti nel processo di Analisi, di Procedura, e di Implementazione delle misure tecnico-operative di adeguamento.
- NIS2 Explained: Cybersecurity Compliance for European Organizations
- Conformità NIS2: Il Ruolo Strategico del Consulente Cybersecurity
- Competenze Tecniche e Sicurezza IT: Un Approccio Integrato alla Conformità NIS2
NIS2 è molto più di un acronimo o di un insieme di articoli di legge: è un imperativo strategico per le aziende europee nell'era digitale. Immagina NIS2 come uno scudo protettivo digitale, un "aggiornamento di sistema" obbligatorio nell'evoluto mondo delle tecnologie Cloud e della estrema informatizzazione della quasi totalità dei processi aziendali.
Non si tratta di una semplice checklist da spuntare per adempiere a un obbligo normativo, ma di un cambio di mentalità, un invito a integrare la cybersecurity nel DNA stesso dell'organizzazione. In un contesto in cui la dipendenza dal digitale è totale e le minacce informatiche sono in costante evoluzione, NIS2 si pone come fondamento per la resilienza aziendale, la continuità operativa e la tutela della reputazione.
Questa direttiva, figlia di una consapevolezza crescente dei rischi cyber a livello europeo, non è solo una risposta alle minacce attuali, ma una preparazione per le sfide future, un investimento nella sicurezza e nella prosperità a lungo termine delle aziende europee. Ignorare NIS2 significa esporsi a rischi concreti e potenzialmente devastanti, mentre abbracciarla significa trasformare un obbligo in un'opportunità per rafforzare la propria posizione competitiva e la fiducia dei clienti in un mercato sempre più esigente e interconnesso. Comprendere NIS2 nella sua essenza pratica e strategica è il primo passo per affrontare il percorso di conformità non come un fardello, ma come un progetto di valore per il futuro dell'azienda.
Cos'è NIS2, nella pratica
Nella pratica, NIS2 si traduce in un framework strutturato di obblighi e responsabilità che impattano concretamente sull'operatività aziendale.
Non è una soluzione "chiavi in mano" preconfezionata, ma un insieme di principi guida e requisiti minimi che ogni azienda deve personalizzare e implementare in base al proprio contesto specifico, al settore di appartenenza e al profilo di rischio.
In termini pratici, NIS2 richiede alle aziende di identificare con precisione i propri asset critici, ovvero quei sistemi, dati e processi indispensabili per la continuità del business e l'erogazione dei servizi. Una volta mappati gli asset critici, è necessario condurre un'analisi approfondita dei rischi, valutando le minacce potenziali, le vulnerabilità esistenti e l'impatto potenziale di un incidente di sicurezza. Sulla base di questa analisi, l'azienda è tenuta a implementare un set di misure di sicurezza tecniche, operative e organizzative, proporzionate ai rischi identificati e allo "stato dell'arte" della cybersecurity. Queste misure non sono lasciate alla libera interpretazione, ma sono delineate in modo preciso dalla direttiva e dal decreto di recepimento, spaziando dalla sicurezza fisica e ambientale alla gestione degli incidenti, dalla business continuity alla formazione del personale. Nella pratica quotidiana, ciò significa adottare policy di sicurezza chiare e documentate, implementare controlli di accesso robusti, monitorare costantemente i sistemi, prepararsi a gestire gli incidenti, testare regolarmente le difese e mantenere aggiornati i sistemi. NIS2 non è quindi un adempimento "una tantum", ma un processo continuo di miglioramento e adattamento alla mutevole landscape delle minacce cyber, che richiede un impegno costante e una visione strategica della sicurezza informatica.
Perchè è importante per la tua azienda
Oggi, la dipendenza dal digitale è totale. Se i sistemi informatici di un'azienda vanno in tilt a causa di un attacco, le conseguenze possono essere gravissime: perdita di dati, blocco della produzione, danni alla reputazione, e costi enormi. NIS2 nasce per alzare il livello di sicurezza informatica in tutta Europa, rendendo le aziende più resilienti e proteggendo l'economia e la società nel complesso.
A chi si applica NIS2? Chi deve preoccuparsi e occuparsene?
Concetto importante e fondamentale: NIS2 riguarda le aziende operanti all'interno del perimetro dell'Unione Europea. Se la tua attività si svolge al di fuori dell'UE, dovresti seguire le normative locali, che potrebbero avere requisiti simili o completamente diversi. In ogni caso, NIS2 è un riferimento prezioso per comprendere la direzione degli standard globali di sicurezza informatica, e dovrebbe essere considerato come un whitepaper di best practice per qualsiasi organizzazione che desideri migliorare la propria postura di sicurezza.
NIS2 impone misure di sicurezza tecniche e organizzative per le organizzazioni nei settori ritenuti "critici" per la società e l'economia.
Il campo di applicazione della direttiva è ampio, coprendo una vasta gamma di settori, dall'energia e trasporti alla sanità e servizi digitali. Nella fattispecie, NIS2 non riguarda tutte le aziende, ma un numero molto più ampio rispetto al passato (direttiva NIS). La direttiva distingue due categorie principali: "Soggetti Essenziali" e "Soggetti Importanti". Ecco un elenco dei settori e sotto-settori interessati:
NIS2 non riguarda tutte le aziende, ma un numero molto più ampio rispetto al passato. La direttiva distingue due categorie principali:
- Soggetti Essenziali: Sono le aziende considerate critiche per il funzionamento del Paese e dell'economia. Parliamo di settori come:
- Energia: Operatori reti elettriche, gas, impianti di generazione energia (anche nucleare).
- Trasporti: Aeroporti, porti, ferrovie, trasporto su strada (grandi operatori).
- Sanità: Ospedali, cliniche, laboratori.
- Banche e Finanza: Istituti bancari importanti, borse valori.
- Acqua potabile: Gestori infrastrutture trattamento e distribuzione acqua.
- Infrastrutture digitali: Cloud, data center, DNS.
Esempi pratici di "Soggetti Essenziali": Grandi aziende di energia come ENEL o ENI, grandi aeroporti come ADR o SEA, grandi gruppi ospedalieri come il San Raffaele o il Policlinico Gemelli, istituti bancari come Intesa Sanpaolo o Unicredit, fornitori di servizi cloud come Amazon Web Services, Microsoft Azure, Digital Ocean, OVH, Aruba, etc.
Chi rientra nei "Soggetti Essenziali" deve rispettare NIS2 a prescindere dalle dimensioni, se opera in questi settori critici. Però, per le dimensioni, in generale, sono considerate "Soggetti Essenziali" le Aziende che superano i 250 dipendenti o i 50 milioni di Euro di fatturato.
- Soggetti Importanti: Sono aziende operanti in settori considerati comunque importanti, ma meno critici dei "Soggetti Essenziali". Tra questi:
- Postale e corrieri.
- Gestione rifiuti.
- Produzione e distribuzione di prodotti chimici critici.
- Produzione e trasformazione alimentare (settori chiave per la sicurezza alimentare).
- Farmaceutica e dispositivi medici.
- Fornitura di Tecnologie dell'Informazione e della Comunicazione (ICT) – meno critiche dei soggetti essenziali.
- Ricerca e sviluppo in sicurezza.
- Amministrazioni Pubbliche regionali e locali.
Esempi pratici di "Soggetti Importanti": Grandi aziende di logistica come Poste Italiane o DHL, grandi aziende alimentari come Barilla o Ferrero, aziende farmaceutiche come Farmindustria o Menarini, grandi software house che sviluppano software gestionali diffusi, enti regionali come la Regione Lombardia o la Regione Veneto.
Per i "Soggetti Importanti", NIS2 si applica a tutte le Aziende che superano i 50 dipendenti o i 10 milioni di Euro di fatturato.
ATTENZIONE: Anche se la tua azienda non rientra precisamente in queste categorie, è fondamentale verificare attentamente. La lista completa e i dettagli sono negli allegati della direttiva e del decreto. In caso di dubbio, è meglio informarsi e prepararsi.
Concretamente, come ci si adegua a NIS2?
La direttiva NIS2 richiede alle aziende di adottare misure concrete per proteggere i propri sistemi informatici. Questi obblighi riguardano principalmente:
- Analisi e Gestione del Rischio: Devi capire quali sono i rischi informatici che la tua azienda corre (attacchi hacker, virus, perdita di dati, etc.) e mettere in atto delle politiche per minimizzarli. Questo include:
- Valutazione continua dei rischi.
- Piani di backup e ripristino dati (continuità operativa).
- Sicurezza della catena di fornitura (controllare anche la sicurezza dei fornitori).
- Gestione delle vulnerabilità dei sistemi.
- Misure di Sicurezza Tecniche, Operative e Organizzative: Devi implementare azioni concrete, tenendo conto delle migliori pratiche e dei costi. Esempi di misure:
- Politiche di sicurezza informatica scritte e applicate.
- Gestione degli incidenti di sicurezza: Procedure per reagire e segnalare gli attacchi.
- Sicurezza fisica e ambientale: Proteggere server e infrastrutture fisiche.
- Controllo degli accessi: Chi può accedere a cosa nei sistemi informatici.
- Crittografia: Proteggere i dati sensibili.
- Formazione del personale: Rendere i dipendenti consapevoli dei rischi e delle buone pratiche.
- Autenticazione a più fattori: Rendere più difficile l'accesso non autorizzato.
- Aggiornamenti di sicurezza costanti: Mantenere software e sistemi aggiornati.
- Notifica degli Incidenti di Sicurezza: Se si verifica un incidente informatico significativo, devi notificarlo tempestivamente alle autorità competenti (ACN). I tempi sono molto stretti:
- Entro 24 ore dalla scoperta: Notifica iniziale.
- Aggiornamenti e rapporto finale entro un mese.
- Responsabilità dei Vertici Aziendali: NIS2 responsabilizza direttamente i dirigenti di alto livello. Devono garantire che l'azienda adotti le misure di sicurezza adeguate ed essere pronti a rispondere agli incidenti. In pratica, i manager devono essere direttamente coinvolti e responsabili della cybersecurity.
Attuazione delle misure di sicurezza: deadline e sanzioni
Il decreto NIS2 è già in vigore dal 16 ottobre 2024. Le scadenze principali da tenere a mente sono:
- Registrazione Obbligatoria: Entro il 28 febbraio 2025, tutte le aziende che rientrano nel campo di applicazione devono registrarsi sulla piattaforma dell'Agenzia per la Cybersicurezza Nazionale (ACN). La mancata registrazione è già sanzionabile! La piattaforma è operativa dal 1° dicembre 2024.
- Conformità tecnico-informatica completa: Le misure di sicurezza devono essere implementate entro ottobre 2026. Sembra lontano, ma 18 mesi passano in fretta per adeguamenti complessi, soprattutto perchè questi riguardano aspetti critici che richiedono pianificazione, strategia, e diversi attori coinvolti. Questo, giocoforza, richiede tempo per essere messo in atto in maniera efficace.
La direttiva NIS2 prevede sanzioni amministrative per le aziende che non rispettano gli obblighi di sicurezza informatica. Queste sanzioni possono essere significative e includono:
- Multe Amministrative: La NIS2 introduce un sistema di multe amministrative, con importi massimi che possono raggiungere almeno 10 milioni di euro o il 2% del fatturato mondiale totale annuo dell'esercizio precedente per i soggetti essenziali, e almeno 7 milioni di euro o l'1,4% del fatturato mondiale totale annuo dell'esercizio precedente per i soggetti importanti, a seconda di quale importo sia maggiore. Le sanzioni pecuniarie effettive saranno determinate dalle autorità competenti in base alla gravità della violazione e ad altri fattori rilevanti.
- Divieto Temporaneo di Esercitare Funzioni di Gestione: In caso di inadempienze gravi e persistenti, la NIS2 prevede la possibilità di imporre il divieto temporaneo di esercitare funzioni di gestione, anche a livello di C-suite. Questa misura, di forte impatto reputazionale e operativo, sottolinea l'importanza della responsabilità del management nella conformità alla direttiva.
Le sanzioni previste dalla NIS2 evidenziano la serietà con cui l'Unione Europea intende affrontare il tema della cybersecurity. La non conformità può comportare conseguenze finanziarie significative e impatti negativi sulla reputazione e sulla continuità operativa delle aziende. Pertanto, l'adozione di misure di sicurezza adeguate e la conformità alla direttiva NIS2 non rappresentano solo un obbligo normativo, ma anche una scelta strategica per proteggere il valore aziendale e garantire la fiducia dei clienti e degli stakeholder.
La direttiva NIS2 impone alle aziende l'implementazione di misure tecniche e organizzative adeguate per garantire un livello di sicurezza informatica commisurato ai rischi che devono affrontare. Queste misure devono coprire diversi ambiti, tra cui:
- Politiche di Sicurezza Informatica: Definizione e implementazione di politiche di sicurezza che guidino le azioni dell'organizzazione in materia di cybersecurity.
- Gestione del Rischio: Identificazione, analisi e valutazione dei rischi informatici, seguita dall'implementazione di misure di mitigazione appropriate.
- Sicurezza della Supply Chain: Adozione di misure per garantire la sicurezza della catena di approvvigionamento, valutando e gestendo i rischi derivanti dai fornitori e dai partner esterni.
- Crittografia e Cifratura: Utilizzo di tecniche di crittografia per proteggere la confidenzialità e l'integrità dei dati, sia a riposo che in transito.
- Igiene Informatica di Base: Implementazione di pratiche fondamentali di igiene informatica, come l'applicazione del principio zero-trust, l'aggiornamento costante del software, la configurazione sicura dei dispositivi, la segmentazione della rete e la gestione degli accessi (Identity and Access Management - IAM).
- Gestione degli Incidenti: Definizione di procedure per la gestione e la risposta agli incidenti di sicurezza, inclusa la segnalazione tempestiva alle autorità competenti.
- Business Continuity e Disaster Recovery: Implementazione di piani per garantire la continuità operativa e il ripristino dei servizi in caso di incidenti o disastri.
La direttiva NIS2 raccomanda esplicitamente alle aziende di dare priorità alla "conformità agli standard internazionali" nei loro sforzi di adeguamento. Le linee guida tecniche dell'ENISA allineano ciascun obiettivo di sicurezza agli standard di best practice, come la norma ISO/IEC 27001 per i sistemi di gestione della sicurezza delle informazioni (ISMS) e la norma ISO 22301 per la gestione della continuità operativa (Business Continuity Management System - BCMS).
La norma ISO/IEC 27001 fornisce un framework completo per la creazione, l'implementazione, la manutenzione e il miglioramento continuo di un ISMS. L'implementazione di un ISMS conforme alla ISO/IEC 27001 consente alle organizzazioni di:
- Minimizzare i Rischi e l'Esposizione alle Minacce: Attraverso un approccio sistematico alla gestione della sicurezza delle informazioni, la ISO/IEC 27001 aiuta le organizzazioni a identificare, valutare e mitigare i rischi in modo efficace.
- Definire Policy e Procedure Chiare: La norma richiede la definizione di policy di sicurezza, l'implementazione di tecnologie adeguate e la formazione del personale, riducendo il rischio di errori umani e garantendo un approccio coerente alla sicurezza.
- Adattarsi al Panorama dei Rischi in Evoluzione: La ISO/IEC 27001 impone valutazioni annuali del rischio, consentendo alle organizzazioni di affrontare in modo proattivo le nuove minacce e vulnerabilità che emergono costantemente.
- Ottenere la Certificazione con Audit Indipendente: La certificazione ISO/IEC 27001, ottenuta attraverso audit di terza parte, fornisce una prova tangibile della conformità a standard internazionali riconosciuti. Questa certificazione può essere utilizzata per dimostrare l'impegno per la sicurezza delle informazioni a fornitori, stakeholder e autorità di regolamentazione, conferendo un vantaggio competitivo sul mercato.
ISO 22301: Sistema di Gestione della Continuità Operativa (BCMS)
La norma ISO 22301 è lo standard internazionale per la gestione della business continuity. Mentre la ISO/IEC 27001 incorpora aspetti di business continuity management (BCM), la ISO 22301 fornisce un processo definito e più approfondito per l'implementazione del BCM. L'adozione della ISO 22301 aiuta le organizzazioni a:
- Implementare, Mantenere e Migliorare le Pratiche di Business Continuity: La norma fornisce una guida strutturata per lo sviluppo di un BCMS efficace, garantendo che l'organizzazione sia preparata a fronteggiare interruzioni operative di diversa natura.
- Garantire la Continuità dei Servizi Critici: Attraverso la definizione di piani di business continuity e disaster recovery, la ISO 22301 aiuta le organizzazioni a minimizzare l'impatto delle interruzioni e a ripristinare rapidamente i servizi essenziali.
- Rafforzare la Resilienza Organizzativa: L'implementazione di un BCMS conforme alla ISO 22301 contribuisce a creare un'organizzazione più resiliente, in grado di affrontare eventi imprevisti e di mantenere la propria operatività anche in situazioni di crisi.
- Dimostrare la Conformità ai Requisiti NIS2: La certificazione ISO 22301 rafforza ulteriormente la conformità ai requisiti della direttiva NIS2, in particolare per quanto riguarda la gestione degli incidenti e la business continuity.
Sinergia tra ISO/IEC 27001 e ISO 22301
La combinazione delle norme ISO/IEC 27001 e ISO 22301 consente alle organizzazioni di sviluppare un sistema di gestione integrato che comprende sia un ISMS che un BCMS. Questo approccio olistico non solo facilita il raggiungimento della conformità alla NIS2, ma favorisce anche lo sviluppo di una solida resilienza informatica a 360 gradi. L'integrazione dei due standard permette di affrontare in modo sinergico gli aspetti di sicurezza delle informazioni e di continuità operativa, creando un sistema di gestione robusto e completo.
Consigli pratici per gli imprenditori
- Verifica immediatamente se la tua azienda rientra nel campo di applicazione di NIS2 (settore, dimensioni). Non sottovalutare questo punto! Consulta i documenti ufficiali e, in caso di dubbio, chiedi consulenza. In questo documento, ti aiutiamo a capire se sei interessato. Fai riferimento a questa sezione.
- Se la tua Azienda rientra nel campo di applicazione del NIS2, registrati sulla Piattaforma ACN entro il 28 Febbraio 2025. Non rimandare! La registrazione è obbligatoria e la mancata registrazione è già sanzionabile. Ti spieghiamo brevemente come fare in questa sezione.
- Inizia subito a pianificare l'adeguamento. Non aspettare Ottobre 2026. Valuta la tua situazione attuale, identifica le lacune di sicurezza e inizia a implementare le misure necessarie. Leggi attentamente la sezione dedicata per avere un'idea di cosa fare.
- Coinvolgi i vertici aziendali. La cybersecurity deve diventare una priorità per il management.
- Forma il personale. La consapevolezza dei dipendenti è fondamentale. La cybersecurity non riguarda solo i tecnici, ma tutti i collaboratori: di fatto, tutti i tuoi dipendenti usano dispositivi elettronici, e lavorano molto spesso con dati sensibili.
- Considera l'aiuto di esperti del settore. Se la cybersecurity non è il tuo core business, affidati a consulenti specializzati per la valutazione dei rischi e l'implementazione delle misure.
Come affrontare lo switchover tecnologico
NIS2 non è una mera questione burocratica, ma un investimento nella sicurezza e nella resilienza della tua azienda. Adeguarsi in tempo non solo ti mette al riparo da sanzioni pesantissime, ma protegge il tuo business e la tua reputazione in un mondo sempre più digitale e minacciato.
Non prendere la questione come "l'ennesimo adempimento normativo", ma come un'opportunità per migliorare la tua azienda e renderla più forte e competitiva. Cosa molto importante da imparare come concetto: la cybersecurity è un investimento, non un costo. E, in un mondo sempre più interconnesso e digitale, è un investimento indispensabile.
NIS2: Sommario dettagliato per chi vuole approfondire
- Introduzione e Contesto Normativo
- Sintesi delle Norme e dei Documenti Ufficiali
- Elenco dei Settori e Sotto-Settori Interessati
- Soggetti Essenziali, Importanti e Fuori Ambito
- Obblighi e Scadenze
- Registrazione sulla Piattaforma ACN
- Misure di Sicurezza Informatica e Notifica degli Incidenti
- Poteri Ispettivi e Sanzioni
- Raccomandazioni Operative
- Riferimenti Normativi
1. Introduzione e Contesto Normativo
La sicurezza informatica oggi è fondamentale per la continuità di qualsiasi attività: un attacco informatico può causare fermi aziendali, danni reputazionali e responsabilità legali. Non si tratta di un aspetto “tecnico” da delegare a pochi esperti, ma di un tema strategico che coinvolge tutto il personale, dal management ai singoli operatori.
La nuova Direttiva (UE) 2022/2555 (NIS2), che aggiorna la Direttiva (UE) 2016/1148 (NIS), punta a creare un livello comune di cybersicurezza in tutta l’UE. L’Italia ha recepito NIS2 con il D. Lgs. 04/09/2024 n. 138 (Decreto NIS). A livello pratico significa tempistiche stringenti, registrazione obbligatoria e maggiori responsabilità per chi gestisce servizi critici o importanti.
Chiunque rientri nel campo di applicazione di questa normativa deve prendere atto che:
- I tempi di adeguamento sono piuttosto brevi.
- Le penalità in caso di inadempimento possono essere significative.
- Ignorare le regole o rimandare le soluzioni minime di sicurezza espone l’azienda a rischi enormi.
2. Sintesi delle Norme e dei Documenti Ufficiali
- Direttiva (UE) 2016/1148 (NIS): il primo framework europeo per la sicurezza delle reti e dei sistemi informativi.
- Direttiva (UE) 2022/2555 (NIS2): introduce obblighi più ampi e stringenti, coinvolgendo nuovi settori e potenziando i poteri ispettivi.
- D. Lgs. 04/09/2024 n. 138 (Decreto NIS): recepisce la NIS2 in Italia, fissando scadenze e obblighi con valenza legale. Il mancato rispetto può sfociare in sanzioni amministrative e, in alcuni casi, penali (p.es. se si determinano situazioni di rischio per la sicurezza nazionale o per la salute pubblica).
- Determina ACN 38565/2024: specifica come utilizzare la Piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN). Non è un documento puramente “burocratico”: la corretta registrazione e l’invio dei dati richiesti sono condizioni necessarie per evitare sanzioni.
Per chi non avesse familiarità con questi documenti, è consigliabile un approccio guidato da professionisti (legali, consulenti in sicurezza informatica) e un coinvolgimento immediato del management per definire risorse, budget e priorità.
2A. La direttiva UE 2022/2555 (NIS2)
2A1. Finalità e Principi Generali
La Direttiva (UE) 2022/2555, nota come NIS2, ha lo scopo di:
- Aggiornare e rafforzare le misure di sicurezza informatica introdotte dalla precedente Direttiva (UE) 2016/1148 (NIS).
- Ampliare il campo di applicazione a nuovi settori e tipologie di servizi ritenuti critici.
- Assicurare un livello elevato di cybersicurezza in tutta l’Unione Europea, contribuendo alla stabilità dell’economia digitale.
La Direttiva stabilisce che ogni Stato Membro debba:
- Adottare strategie nazionali di cybersicurezza coordinandole con il framework europeo.
- Garantire processi di cooperazione (informazione e supporto reciproco) con altre autorità nazionali ed europee.
- Rafforzare l’Agenzia per la cybersicurezza a livello nazionale (in Italia, l’ACN).
2A2. Ambito di Applicazione e Soggetti Coinvolti
La NIS2 include sia soggetti pubblici sia privati in settori chiave quali energia, trasporti, bancario, sanitario, acqua, servizi digitali, infrastrutture digitali, servizi ICT (managed services), pubblica amministrazione e altri comparti industriali ritenuti critici.
- Essenziali: organizzazioni di primaria rilevanza (p.es. settore sanitario, energia, infrastrutture di mercato finanziario).
- Importanti: imprese con impatto potenzialmente significativo, ma di criticità leggermente inferiore rispetto agli essenziali.
La Direttiva specifica criteri distinti per classificare i soggetti su base:
- Dimensionale (numero di dipendenti, fatturato, estensione geografica).
- Settoriale (Ateco/NACE e ambito operativo).
- Criticità dei servizi per la società e l’economia.
2A3. Obblighi Principali
Implementazione di Misure di Sicurezza Adeguate
- Procedure e sistemi tecnici per prevenire e mitigare attacchi informatici.
- Monitoraggio continuo per rilevare tempestivamente anomalie o intrusioni.
- Adozione di best practice, standard internazionali (ISO 27001, ENISA guidelines, etc.).
Notifica di Incidenti
- Obbligo di segnalare alle autorità competenti ogni incidente informatico rilevante entro tempi definiti (es. 24 ore dalla rilevazione).
- Relazione successiva più dettagliata con indicazione di cause, impatto, misure adottate.
Cooperazione e Scambio Informazioni
- Istituzione di canali di comunicazione rapidi tra enti e autorità.
- Condivisione di indicatori di compromissione (IOC), intelligence su minacce, vulnerabilità, ecc.
Governance Interna
- Coinvolgimento del management: i vertici aziendali sono responsabili del rispetto degli obblighi e possono essere sanzionati in caso di negligenza.
- Formazione continua del personale e revisione periodica delle policy di sicurezza.
2A4. Ruolo delle Autorità di Cybersicurezza
La Direttiva NIS2 richiede a ogni Stato Membro di:
- Nominare un’Autorità Nazionale Competente (in Italia l’ACN) con poteri di vigilanza, ispezione e sanzione.
- Definire un Single Point of Contact (punto di contatto unico) per relazionarsi con le autorità degli altri Paesi UE e con l’ENISA (Agenzia dell’Unione Europea per la cybersicurezza).
L’ENISA stessa fornisce supporto tecnico e strategico, promuovendo best practice e coordinando esercitazioni di cybersecurity paneuropee.
2A5. Norme e Procedure di Recepimento
- Gli Stati Membri devono recepire la Direttiva NIS2 nei rispettivi ordinamenti entro 18 mesi dalla pubblicazione ufficiale, definendo leggi o decreti che stabiliscano:
- Criteri di identificazione dei soggetti essenziali e importanti.
- Modalità sanzionatorie.
- Tempistiche e procedure di notifica.
2A6. Coordinamento con altre normative
La Direttiva NIS2 è coordinata con:
- Il Cybersecurity Act (Regolamento (UE) 2019/881) che definisce il quadro europeo di certificazione per la sicurezza informatica.
- Il GDPR (Regolamento (UE) 2016/679) in materia di protezione dei dati personali.
- Normative settoriali specifiche (eIDAS, PSD2, ecc.) che possono aggiungere requisiti di sicurezza o di gestione dei dati.
2A7. Sanzioni
La Direttiva NIS2 prevede sanzioni efficaci, proporzionate e dissuasive, demandandone la definizione operativa ai singoli Stati Membri. Le imprese di grandi dimensioni possono incorrere in ammende pari a una percentuale del fatturato (analogamente a quanto avviene con il GDPR), mentre le imprese più piccole potranno essere colpite da sanzioni in forma di somme fisse ma comunque significative.
2A8. Importanza Strategica e Risvolti Pratici
- Tutela dell’economia e della società: blocchi o attacchi a servizi critici (energia, acqua, ospedali, trasporti) possono avere ripercussioni enormi.
- Responsabilizzazione del management: i dirigenti non possono più ignorare la sicurezza informatica come un ambito meramente tecnico; è parte integrante del risk management aziendale.
- Competitività sul mercato: le aziende conformi alla NIS2 dimostrano affidabilità e sicurezza, fattori sempre più apprezzati da clienti, investitori e partner.
2A9. Riepilogo Principali Punti Chiave
- Estensione dell’ambito: più settori e più imprese soggette a requisiti di sicurezza.
- Obblighi di notifica: reporting rapido, coordinato e dettagliato sugli incidenti.
- Potere sanzionatorio: più incisivo, finalizzato a dissuadere condotte omissive.
- Cooperazione: scambio di informazioni a livello nazionale e sovranazionale.
Conclusione: la Direttiva (UE) 2022/2555 (NIS2) rappresenta un passo avanti fondamentale per la resilienza cibernetica dell’Unione Europea. Le imprese e gli enti interessati non devono sottovalutarne la portata, poiché le conseguenze di un inadempimento coinvolgono aspetti finanziari, reputazionali e legali.
2B. Il Decreto Legislativo 04/09/2024 N. 138 (DECRETO NIS)
2B1. Introduzione e Contesto
Il D. Lgs. 04/09/2024 n. 138, comunemente indicato come “Decreto NIS”, è lo strumento legislativo italiano che recepisce la Direttiva (UE) 2022/2555 (NIS2). Pubblicato in Gazzetta Ufficiale (Serie Generale n. 230 del 1° ottobre 2024), il Decreto definisce:
- L’ambito di applicazione nazionale.
- Le modalità di identificazione dei soggetti essenziali e importanti.
- Le procedure di registrazione, notifica degli incidenti e adozione delle misure di sicurezza.
- I poteri di vigilanza, controllo e sanzione dell’Agenzia per la Cybersicurezza Nazionale (ACN).
Lo scopo principale è aggiornare l’impianto normativo esistente (introdotto dal precedente D. Lgs. 65/2018, recepimento della Direttiva NIS 2016/1148) per adattarlo al nuovo contesto di minacce cyber e alle indicazioni più stringenti di NIS2.
2B2. Struttura del Decreto
Il Decreto NIS si compone di articoli che coprono in modo esaustivo:
Definizioni e Ambito
- Definisce termini chiave come “servizi essenziali”, “servizi digitali”, “notifica di incidente”, “misure di sicurezza”.
- Elenca in modo tassonomico quali settori e sottosettori devono adeguarsi, in linea con gli Allegati I, II, III, IV del Decreto stesso.
Identificazione Soggetti Essenziali e Importanti
- Stabilisce i criteri quantitativi (numero di dipendenti, fatturato, ecc.) e qualitativi (criticità del servizio, interdipendenze con altre infrastrutture).
- Consente all’ACN di aggiornare periodicamente l’elenco dei soggetti coinvolti.
Obblighi di Sicurezza
- Richiede l’adozione di misure organizzative (piani di sicurezza, governance interna) e misure tecniche (sistemi di protezione, rilevamento intrusioni, backup sicuri).
- Prevede la formazione del personale e la responsabilizzazione degli organi di gestione.
Notifica degli Incidenti
- Disciplina la tempistica (segnalazione preliminare entro 24 ore dall’evento, relazione dettagliata entro alcuni giorni).
- Specifica i contenuti minimi della notifica (descrizione dell’incidente, impatto, misure correttive).
Registrazione sulla Piattaforma ACN
- Istituisce formalmente l’obbligo di registrazione entro le date stabilite (17 gennaio 2025 per alcuni fornitori, 28 febbraio 2025 per tutti gli altri).
- Definisce i dati da fornire (codici ATECO, ambiti di operatività, dimensioni, riferimenti di contatto, deleghe, ecc.).
Poteri Ispettivi e Sanzioni
- Conferisce all’ACN la facoltà di svolgere auditing, richiedere prove di conformità, ispezionare sistemi, emettere sanzioni amministrative significative.
- In caso di violazioni gravi e reiterate, si prevede la possibilità di sospendere la fornitura di servizi o revocare autorizzazioni, oltre a inviare la documentazione alle autorità giudiziarie competenti qualora emergano ipotesi di reato.
Disposizioni Transitorie
- Indica come le aziende già soggette al previgente D. Lgs. 65/2018 debbano aggiornare i propri adempimenti alla nuova normativa.
- Stabilisce che entro il 18 ottobre 2024 (termine massimo previsto dalla Direttiva NIS2), gli Stati Membri dovevano completare il recepimento.
2B3. Ambito di Applicazione in Italia
Il Decreto si applica a un ampio spettro di soggetti pubblici e privati nei settori ritenuti “essenziali” o “importanti”. Le soglie di riferimento tengono conto sia:
- Della natura del servizio (ad esempio, produzione e distribuzione di energia, gestione di acque reflue, servizi cloud, sanità).
- Delle dimensioni e della rilevanza dell’organizzazione (impatto sociale, economico, possibilità di mettere a rischio la sicurezza nazionale).
In particolare, il Decreto NIS include:
- Settori classici (energia, trasporti, bancario, sanitario).
- Nuovi ambiti introdotti dalla Direttiva NIS2, come i fornitori di servizi di social network o i gestori di infrastrutture digitali (p.es. CDN, data center, servizi di registrazione di nomi a dominio).
Una delle novità più rilevanti è l’istituzione formale della Piattaforma ACN, tramite cui i soggetti NIS devono:
- Designare un Punto di Contatto (PdC) per dialogare con l’Agenzia per la Cybersicurezza Nazionale.
- Compilare la Dichiarazione contenente informazioni cruciali (codici ATECO esercitati, valutazione “essenziale” o “importante”, numero di dipendenti, ecc.).
- Aggiornare costantemente i dati (indirizzi IP pubblici, domini utilizzati) nel corso del tempo.
Il Decreto pone l’accento su:
- Responsabilità del vertice aziendale: la figura del rappresentante legale (o delegato) risponde direttamente degli obblighi.
- Formazione e sensibilizzazione: il PdC deve garantire che l’organizzazione comprenda i rischi e le procedure di sicurezza.
2B5. Poteri e Competenze dell’ACN
Il Decreto NIS attribuisce all’Agenzia per la Cybersicurezza Nazionale:
- Poteri di vigilanza: ispezioni, richieste di audit, verifica documentale.
- Facoltà sanzionatorie: in caso di mancata conformità, può infliggere multe amministrative con ammontare variabile (spesso in proporzione al fatturato aziendale).
- Poteri di intervento: in situazioni di crisi o incidente grave, l’ACN può emanare direttive vincolanti per i soggetti coinvolti.
2B6. Sanzioni e Conseguenze Legali
Il Decreto NIS ribadisce l’obbligo di sanzioni efficaci, proporzionate e dissuasive, in linea con la Direttiva NIS2. Le sanzioni possono essere:
- Amministrative pecuniarie: da alcune migliaia di euro fino a quote rilevanti del fatturato annuo, a seconda della gravità dell’inosservanza (simile all’approccio del GDPR).
- Sospensione delle attività: in casi estremi e reiterati, può essere ordinato il blocco di specifici servizi.
- Segnalazione all’autorità giudiziaria: se emergono profili di responsabilità penale (ad es. reati colposi o dolosi collegati alla sicurezza informatica).
2B7. Responsabilità Penali
Sebbene la norma non introduca reati “ex novo”, in alcuni casi la mancanza di misure di sicurezza adeguate potrebbe configurare fattispecie penali già esistenti (es. omissione dolosa di cautele, cooperazione in reati informatici, ecc.). Il management e i dirigenti coinvolti potrebbero essere chiamati a rispondere personalmente se dimostrata la loro colpevole negligenza.
2B8. Convergenza con Altre Normative
Il D. Lgs. 138/2024 (Decreto NIS) si coordina con:
- GDPR (protezione dei dati personali): un incidente di sicurezza potrebbe innescare anche obblighi di notifica privacy al Garante.
- Cybersecurity Act (Reg. UE 2019/881): introduce schemi di certificazione volontaria e obbligatoria.
- Normative settoriali specifiche (es. eIDAS, PSD2, DORA per il settore finanziario).
2B9. Aspetti Operativi Pratici
- Tempistiche ristrette: il Decreto stabilisce scadenze precise per la registrazione (17 gennaio 2025/28 febbraio 2025), nonché per l’adozione delle misure minime di sicurezza (entro 9 o 18 mesi dalla notifica di inserimento nell’elenco NIS).
- Gestione centralizzata dei Gruppi: le imprese che fanno parte di un gruppo possono designare un unico Punto di Contatto, ma ciascuna entità deve comunque eseguire la registrazione e la dichiarazione delle proprie attività.
- Approccio di compliance proattiva: data la complessità e la rigidità delle norme, è raccomandato l’utilizzo di framework standard (ISO 27001, NIST CSF, etc.) e la consulenza di esperti in sicurezza informatica e legale.
2B10. Il ruolo del Decreto NIS nel Contesto Europeo
Il D. Lgs. 04/09/2024 n. 138 rappresenta la traduzione concreta in Italia degli obiettivi di NIS2. Non si tratta di un semplice “adempimento burocratico”, bensì di un nuovo paradigma di gestione del rischio che impone alle aziende e agli enti pubblici di adottare misure solide per prevenire, rilevare e rispondere alle minacce informatiche.
Punti chiave:
- Ampio raggio d’azione: coinvolge molteplici settori, inclusi quelli non tradizionalmente considerati “critici”.
- Registrazione e governance: obbligo di nominare un Punto di Contatto e di fornire dati specifici all’ACN.
- Conseguenze reali: sanzioni economiche rilevanti, responsabilità per il management, poteri d’intervento dell’ACN.
- Urgenza: le scadenze stanno per arrivare, e i progetti di adeguamento richiedono tempi tecnici e organizzativi.
È cruciale avviare quanto prima un percorso di conformità, mappando i requisiti e pianificando gli interventi necessari, sia per evitare sanzioni sia per mantenere la continuità operativa in un panorama di minacce cyber in costante evoluzione.
2C. Le differenze tra la Direttiva UE 2022/2555 (NIS2) e la Direttiva UE 2016/1148 (NIS)
2C1. Panoramica Generale
La Direttiva (UE) 2022/2555 (NIS2) aggiorna e sostituisce la Direttiva (UE) 2016/1148 (NIS). Pur avendo l’obiettivo comune di garantire un livello elevato di cybersicurezza negli Stati Membri, NIS2 presenta novità sostanziali in termini di ambito di applicazione, settori coinvolti, rigore degli obblighi e regime sanzionatorio.
2C2. Estensione dell’Ambito di Applicazione
Direttiva NIS (2016/1148):
- Si concentrava principalmente su operatori di servizi essenziali (OSE) e fornitori di servizi digitali (FSD) in settori quali: energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione d’acqua, e servizi digitali (motori di ricerca, servizi cloud, marketplace online).
Direttiva NIS2 (2022/2555):
- Copre un ventaglio più ampio di settori e servizi, con particolare attenzione a infrastrutture digitali, servizi di sicurezza gestiti, social network, e filiere industriali considerate critiche (p.es. settore manifatturiero avanzato, R&S di farmaci, gestione rifiuti, settore spaziale, pubblica amministrazione).
- Introduce la distinzione tra soggetti essenziali e soggetti importanti, includendo più realtà rispetto alla precedente definizione di “operatori di servizi essenziali”.
2C3. Nuovi Settori Inclusi
Nel passaggio dalla NIS alla NIS2, vengono introdotti settori aggiuntivi o precedentemente considerati marginali che ora rientrano a pieno titolo nell’obbligo di adottare misure di sicurezza e di notificare gli incidenti.
Esempi rilevanti:
- Fornitori di reti di distribuzione di contenuti (CDN)
- Fornitori di servizi gestiti e di sicurezza gestiti (Managed Services)
- Fornitori di piattaforme di social network
- Servizi postali e di corriere, gestione dei rifiuti e pubblica amministrazione (centrale e locale)
- Settori come la fabbricazione di dispositivi medici o la produzione di sostanze chimiche ad alto rischio.
2C4. Rafforzamento dei Requisiti di Sicurezza
Direttiva NIS (2016/1148):
- Richiedeva l’adozione di “misure tecniche e organizzative adeguate” senza però specificare in modo dettagliato gli standard minimi o i parametri di valutazione.
Direttiva NIS2 (2022/2555):
- Specifica con maggiore chiarezza l’obbligo di implementare procedure di gestione del rischio informatico (asset management, vulnerability disclosure, piani di business continuity, monitoraggio continuo).
- Richiede un coinvolgimento più attivo e diretto del management (organi di amministrazione, dirigenti), che devono essere responsabilizzati sia sulla sicurezza dei sistemi informativi sia sui possibili riflessi legali.
- Introduce il concetto di “adeguatezza e proporzionalità” delle misure di sicurezza rispetto alla criticità dei servizi erogati.
2C5. Nuovo Regime di Segnalazione degli Incidenti
Direttiva NIS (2016/1148):
- Imponeva la notifica di incidenti con un impatto significativo sulla continuità dei servizi, ma lasciava un certo margine di discrezionalità agli Stati Membri su tempistiche e soglie di segnalazione.
Direttiva NIS2 (2022/2555):
- Introduce tempistiche più strette: notifica preliminare entro 24 ore, seguita da un rapporto dettagliato entro alcuni giorni.
- Definisce in modo più preciso quali eventi sono da considerarsi “incidenti significativi” (taking into account the scale, severity, and impact).
- Potenzia gli strumenti di coordinamento tra autorità nazionali e l’ENISA per condividere rapidamente informazioni sulle minacce.
2C6. Potenziamento Poteri Ispettivi e Sanzionatori
Direttiva NIS (2016/1148):
- Prevedeva che gli Stati Membri introducessero sanzioni “efficaci, proporzionate e dissuasive”, ma non stabiliva parametri univoci per il calcolo delle stesse.
Direttiva NIS2 (2022/2555):
- Aumenta il livello massimo delle sanzioni, ispirandosi al modello del GDPR (dove si possono comminare ammende in percentuale del fatturato globale).
- Richiede agli Stati Membri di dotare le autorità nazionali di ampi poteri di ispezione, audit e verifica.
- Sottolinea la responsabilità personale dei dirigenti, in caso di inadempienza grave o sistematica.
2C7. Impatto sulle PMI e sulle Microimprese
Direttiva NIS (2016/1148):
- Non conteneva disposizioni specifiche per l’esclusione di microimprese o piccole imprese, lasciando agli Stati Membri un certo margine di manovra.
Direttiva NIS2 (2022/2555):
- Mantiene un livello di attenzione elevato su imprese di qualsiasi dimensione, purché la natura del servizio fornito sia strategica.
- Consente di considerare parametri quali il numero di dipendenti e il fatturato solo per definire la “proporzionalità” delle misure e delle sanzioni, ma non rappresenta un automatismo per l’esclusione.
- Prevede qualche eccezione per microimprese e piccole imprese se le loro attività non influiscono in modo critico su settori chiave.
2C8. Governance e Coordinamento Europeo
Direttiva NIS (2016/1148):
- Istituiva il CSIRTs Network e il Cooperaton Group tra Stati Membri, ma con competenze talvolta limitate.
Direttiva NIS2 (2022/2555):
- Rafforza il ruolo dell’ENISA come hub europeo di competenze tecniche e coordinamento.
- Semplifica e centralizza alcune procedure di cooperazione tra Stati Membri, promuovendo un maggior scambio di informazioni su minacce, vulnerabilità e incidenti.
2C9. Implicazioni Pratiche delle differenze tra NIS2 e NIS
Le differenze principali tra la Direttiva NIS e la NIS2 evidenziano un chiaro passo avanti verso una maggiore uniformità nella gestione della cybersicurezza a livello europeo. Sul piano pratico, ciò comporta:
- Maggiore Coinvolgimento di Settori ed Entità
Aziende e organizzazioni precedentemente escluse, come fornitori di servizi digitali di vario tipo (social network, CDN, ecc.), ora sono obbligate a rispettare la normativa. - Poteri Sanzionatori Più Stringenti
La NIS2 enfatizza l’importanza di sanzioni veramente “dissuasive” e vincola gli Stati Membri a stabilire regimi sanzionatori simili (anche in termini di severità) a quelli del GDPR. - Centralità del Management
L’aspetto manageriale e di governance è ulteriormente sottolineato, imponendo una “cyber accountability” chiara ai vertici aziendali e agli organi direttivi. - Maggiore Prescrittività e Dettaglio
NIS2 fornisce indicazioni più puntuali sulle misure di sicurezza, sulle notifiche di incidente e sulle responsabilità, riducendo i margini di interpretazione discrezionale.
In sintesi, se la Direttiva NIS (2016/1148) costituiva un primo passo per la cybersicurezza a livello europeo, la Direttiva NIS2 (2022/2555) amplia e approfondisce l’obbligo di protezione delle infrastrutture critiche e dei servizi essenziali, adeguandosi alla crescente complessità delle minacce digitali e riconoscendo il ruolo sempre più cruciale svolto dai servizi IT, dalle piattaforme online e dalle filiere tecnologiche.
3. Elenco dei Settori e Sotto-Settori Interessati
La Direttiva NIS2 si applica a un’ampia gamma di settori e sotto‐settori. Inoltre, l’immagine allegata suddivide le organizzazioni in base alla loro dimensione o natura in:
- Soggetti NIS1 e CER
- Grandi Imprese
- Medie Imprese
- Piccole e Micro Imprese
A seconda del settore e della dimensione aziendale, le imprese possono essere classificate come:
- Essenziali
- Importanti (con la possibilità che alcune medie imprese siano elevate a “essenziali” a discrezione governativa, come da nota 1)
- Fuori ambito (con la possibilità che alcune piccole e micro imprese possano comunque rientrare tra i soggetti importanti o essenziali, come da nota 2)
Nota 1: Possibile identificazione governativa come “essenziali”. Nota 2: Possibile identificazione governativa come “importanti” o “essenziali”.
Di seguito il dettaglio dei principali settori e delle relative tipologie di soggetti (come emerge dal file “settori-altemente-critici”):
3.1. Settore Energia
- Attività incluse: energia elettrica, teleriscaldamento e teleraffrescamento, petrolio, gas, idrogeno.
- Classificazione
- Soggetti NIS1 e CER: Essenziali
- Grandi imprese: Essenziali
- Medie imprese: Importanti (eventualmente elevabili a “essenziali”)
- Piccole e micro imprese: Fuori ambito (salvo casi in cui diventino “importanti” o “essenziali”)
3.2. Settore Trasporti
- Attività incluse: trasporto aereo, ferroviario, per vie d’acqua, su strada; TPL (trasporto pubblico locale).
- Classificazione
- Soggetti NIS1 e CER: Essenziali
- Grandi imprese: Essenziali
- Medie imprese: Importanti (nota 1)
- Piccole e micro imprese: Fuori ambito (nota 2)
3.3. Settore Bancario
- Attività incluse: enti di credito.
- Classificazione
- Soggetti NIS1 e CER: Essenziali
- Grandi imprese: Essenziali
- Medie imprese: Importanti (nota 1)
- Piccole e micro imprese: Fuori ambito (nota 2)
3.4. Infrastrutture dei Mercati Finanziari
- Attività incluse: gestori di sedi di negoziazione, controparti centrali.
- Classificazione
- Soggetti NIS1 e CER: Essenziali
- Grandi imprese: Essenziali
- Medie imprese: Importanti
- Piccole e micro imprese: Fuori ambito
3.5. Settore Sanitario
- Attività incluse:
- Prestatori di assistenza sanitaria (ospedali, cliniche, ambulatori)
- Laboratori di riferimento dell’UE
- Soggetti con attività di ricerca e sviluppo di medicinali
- Soggetti che fabbricano prodotti farmaceutici di base e preparati farmaceutici
- Dispositivi medici considerati critici in emergenza di sanità pubblica
- Classificazione
- Soggetti NIS1 e CER: Essenziali
- Grandi imprese: Essenziali
- Medie imprese: Importanti (nota 1)
- Piccole e micro imprese: Fuori ambito (nota 2)
3.6. Acqua Potabile e Acque Reflue
- Attività incluse:
- Fornitori e distributori di acqua destinata al consumo umano (se l’attività è ritenuta essenziale)
- Imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali (tranne i soggetti per cui tale attività non è essenziale)
- Classificazione
- Soggetti NIS1 e CER: Essenziali
- Grandi imprese: Essenziali
- Medie imprese: Importanti (nota 1)
- Piccole e micro imprese: Fuori ambito (nota 2)
3.7. Servizi Postali e Corrieri
- Classificazione
- Soggetti NIS1 e CER: Essenziali
- Grandi imprese: Essenziali
- Medie imprese: Importanti
- Piccole e micro imprese: Fuori ambito
3.8. Gestione Rifiuti
- Attività incluse: esclusi i soggetti per cui tale attività non è essenziale.
- Classificazione
- Soggetti NIS1 e CER: Essenziali
- Grandi e medie imprese: Importanti (o “Essenziali”, se il servizio è ritenuto critico)
- Piccole e micro imprese: Fuori ambito (salvo eccezioni previste)
3.9. Sostanze Chimiche
- Attività incluse: fabbricazione, produzione e distribuzione di sostanze chimiche, specialmente quelle a rischio rilevante.
- Classificazione
- Soggetti NIS1 e CER: Essenziali
- Grandi imprese: Essenziali
- Medie imprese: Importanti (nota 1)
- Piccole e micro imprese: Fuori ambito
- Classificazione
- Soggetti NIS1 e CER: Essenziali
- Grandi imprese: Essenziali
- Medie imprese: Importanti
- Piccole e micro imprese: Fuori ambito (nota 2)
3.11. Fabbricazione
- Attività incluse: dispositivi medici e diagnostici in vitro, computer, elettronica e ottica, apparecchiature elettriche, automotive, aerospaziale, ecc.
- Classificazione
- Soggetti NIS1 e CER: Essenziali
- Grandi e medie imprese: Importanti (con possibilità di passare a “Essenziali” se governativamente riconosciute)
- Piccole e micro imprese: Fuori ambito (nota 2)
3.12. Fornitori di Servizi Digitali**
- Attività incluse:
- Fornitori di mercati online
- Motori di ricerca online
- Piattaforme di servizi di social network
- Classificazione
- Soggetti NIS1 e CER: Essenziali
- Grandi imprese: Essenziali
- Medie imprese: Importanti (nota 1)
- Piccole e micro imprese: Fuori ambito (nota 2)
3.13. Ricerca
- Attività incluse: organizzazioni scientifiche, istituti d’istruzione con attività di ricerca critiche.
- Classificazione
- Soggetti NIS1 e CER: Essenziali
- Grandi e medie imprese o enti: Importanti (o “Essenziali” se riconosciuti tali)
- Piccole e micro imprese: Fuori ambito (con possibilità di diversa classificazione governativa)
3.14. Infrastrutture Digitali
- Attività incluse:
- Registri di nomi di dominio di primo livello (TLD)
- Fornitori di reti di comunicazione elettronica accessibili al pubblico
- Fornitori di reti di distribuzione dei contenuti (CDN)
- Fornitori di data center
- Classificazione
- Soggetti NIS1 e CER: Essenziali
- Grandi imprese: Essenziali
- Medie imprese: Importanti (nota 1)
- Piccole e micro imprese: Fuori ambito (nota 2)
3.15. Gestione dei Servizi TIC (business‐to‐business)
Con TIC si intendono le tecnologie dell'informazione e della comunicazione.
- Attività incluse: fornitori di servizi gestiti (managed services), fornitori di servizi di sicurezza gestiti (managed security services).
- Classificazione
- Soggetti NIS1 e CER: Essenziali
- Grandi imprese: Essenziali
- Medie imprese: Importanti (nota 1)
- Piccole e micro imprese: Fuori ambito (nota 2)
3.16. Pubblica Amministrazione
- Attività incluse: enti dell’amministrazione centrale e regionale, enti dell’amministrazione a livello locale (comuni, province).
- Classificazione
- Per la maggior parte degli enti pubblici, si applica la categoria “Essenziali” (dato il ruolo istituzionale), salvo eventuali eccezioni specifiche.
- Piccoli enti locali potrebbero rientrare in una classe differente ma, in base all’immagine, la tendenza è considerarli quantomeno “importanti”.
3.17. Settore "Spazio"
- Attività incluse: operatori di infrastrutture terrestri (es. stazioni di terra per satelliti, servizi connessi a missioni spaziali che abbiano impatto su comunicazioni e sicurezza).
- Classificazione
- Soggetti NIS1 e CER: Essenziali
- Grandi imprese: Essenziali
- Medie imprese: Importanti
- Piccole e micro imprese: Fuori ambito (nota 2)
Riepilogando, qualora la tua impresa o ente (sia pubblico che privato) operi in uno dei settori sopraindicati, è cruciale:
- Verificare la dimensione aziendale (grandi, medie, piccole/micro) e la conseguente classificazione.
- Comprendere se ricadi immediatamente tra i soggetti “essenziali” o “importanti” oppure se esiste una discrezionalità governativa che potrebbe inserirti in una categoria superiore.
- Valutare già da ora quali adempimenti di sicurezza informatica (registrazione, misure di cybersecurity, notifiche incidenti, ecc.) siano previsti dalla Direttiva NIS2.
Ignorare tale classificazione (o posporre la verifica) può esporre l’organizzazione a sanzioni significative, oltre a rischi di reputazione e responsabilità legale.
4. Soggetti Essenziali, Importanti e Fuori Ambito
Uno dei criteri chiave è l’importanza strategica. Questo si traduce in:
- Essenziali: attività di primaria importanza per la società, l’economia, la salute, la sicurezza. Questi soggetti sono i più controllati e sanzionabili.
- Importanti: servizi o attività che possono generare impatti rilevanti, ma a un livello leggermente inferiore rispetto agli “essenziali”.
- Fuori ambito: soggetti che non rientrano in alcuna delle due categorie; tuttavia, potrebbero comunque dover rispettare alcune misure di base se forniscono servizi collegati a un soggetto essenziale o importante.
Nota pratica: il confine tra “fuori ambito” e “importante” non è sempre così netto. Se avete dubit su dove collocarvi, è consigliabile un parere professionale (legale o tecnico) per non correre rischi.
5. Obblighi e Scadenze
Le date stabilite dalla Direttiva e dal Decreto NIS non sono negoziabili. I ritardi nell’adeguamento o nella registrazione possono innescare sanzioni e problemi legali.
Entro il 17 gennaio 2025
- Registrazione obbligatoria per fornitori di DNS, cloud, data center, reti di distribuzione di contenuti, servizi gestiti e di sicurezza, mercati online, motori di ricerca e social network.
- Non aspettare l’ultimo momento: la piattaforma potrebbe essere sovraccarica, e gli errori di registrazione possono creare complicazioni future.
Entro il 28 febbraio 2025
- Tutti gli altri soggetti.
- Se vi rientrate ma ignorate questa scadenza, potreste incorrere in sospensioni di servizio o obblighi più gravosi.
Metà aprile 2025
- Formazione dell’elenco dei soggetti NIS; notifica e adozione di obblighi iniziali di sicurezza.
Metà maggio 2025
- Aggiornamento dei dati (indirizzi IP pubblici, domini, informazioni su filiali all’estero, ecc.).
Entro gennaio 2026
- Implementazione delle misure minime di notifica incidenti (entro 9 mesi dall’inserimento nell’elenco).
Entro ottobre 2026
- Adozione delle misure di sicurezza di base (entro 18 mesi dall’inserimento nell’elenco).
- Ritardare gli investimenti in sicurezza può comportare costose corse contro il tempo nell’ultimo anno.
6.1. Designazione del Punto di Contatto
- Il Punto di Contatto (PdC) è il referente unico per le comunicazioni con l’ACN.
- Può essere il rappresentante legale, un procuratore o un dipendente delegato.
- Attenzione: scegliere una persona inadeguata o non sufficientemente preparata potrebbe ostacolare le procedure ed esporre l’azienda a ritardi e potenziali sanzioni.
6.2. Il Referente Operativo
- Per i gruppi di aziende, è spesso necessaria la figura del Referente Operativo in ogni singola società che rientra nel perimetro NIS2.
- Questo Referente collabora con il PdC su aspetti tecnologici e organizzativi.
- Una mancata collaborazione interna può generare disallineamenti e errori nelle procedure di registrazione.
6.3. Procedura di Registrazione e Dati Richiesti
- Censimento del Punto di Contatto: Dati anagrafici, codice fiscale, email, PEC, telefono.
- Associazione al Soggetto NIS: Inserimento del CF/Partita IVA; eventuale allegato di delega se il PdC non è il legale rappresentante.
- Compilazione della Dichiarazione:
- Codici ATECO effettivi (non solo quelli formali, ma quelli realmente esercitati).
- Numero dipendenti, fatturato, bilancio.
- Autovalutazione (“essenziale”, “importante” o “fuori ambito”).
Errore comune: confondere i codici ATECO “storici” con quelli effettivamente svolti. Dichiarare il falso o incompleto non protegge l’organizzazione da sanzioni. Anzi, rischia di aggravare le responsabilità.
Le direttive NIS e NIS2 impongono che ogni organizzazione adotti procedure di prevenzione, monitoraggio e risposta agli attacchi informatici, con particolare attenzione a:
- Intrusion Detection (IDS/IPS) per intercettare tentativi di intrusione.
- Piani di Incident Response per contenere e gestire gli incidenti nel minor tempo possibile.
- Backup Sicuri e disaster recovery, in modo da garantire la continuità operativa.
- Crittografia di dati in transito e a riposo, così da minimizzare i rischi di esfiltrazione di informazioni sensibili.
È altresì fondamentale la Notifica degli Incidenti: entro 24 ore dal rilevamento di un incidente grave, l’organizzazione deve avvisare l’ACN. Ignorare o sottovalutare un attacco, o ritardarne ingiustificatamente la segnalazione, comporta sanzioni (fino a gravi conseguenze pecuniarie e, in certi casi, responsabilità penali se l’evento mette a rischio la sicurezza pubblica o infrastrutture critiche).
All’interno di questo quadro normativo, la figura di un professionista tecnico con competenze in cloud computing, cybersecurity e backend engineering risulta centrale per assicurare l’efficace adozione delle misure richieste e un’adeguata risposta agli incidenti.
7.1.A. Progettazione Tecnica e Architettura
- Scelta e Configurazione dei Server: un esperto di backend sa come strutturare i servizi (on-premise, cloud privato o pubblico) affinché siano isolati correttamente, con segmentazione delle reti (ad es. VPC, subnet) e firewall ben configurati.
- DNS e Infrastrutture Critiche: la gestione DNS (Domain Name System) è un punto sensibile: una configurazione sicura e ridondata previene attacchi di tipo DNS hijacking o downtime dovuti a Denial of Service.
- Architettura Scalabile: in un’ottica cloud, è fondamentale saper gestire auto-scaling, load balancing e multi-region deployment, così da garantire resilienza e disponibilità dei sistemi critici, in linea con i requisiti di continuità operativa delle Direttive.
7.1.B. Sicurezza Applicativa e Backend
- Secure Coding: adottare le best practice di sicurezza (ad es. OWASP Top 10) per evitare vulnerabilità come SQL injection, XSS, CSRF.
- Controllo degli Accessi (IAM): definire ruoli e permessi granulari, con un robusto sistema di autenticazione e autorizzazione, evitando credenziali hard-coded o politiche password troppo deboli.
- Logging e Tracciamento: ogni operazione (API call, query al database, accesso da remoto) deve essere registrata, in modo da permettere l’analisi forense in caso di incidente e soddisfare le eventuali richieste ispettive dell’ACN.
7.1.C. Monitoraggio e Incident Response
- Implementazione di Sistemi di Monitoraggio: strumenti come SIEM (Security Information and Event Management) o soluzioni di log centralizzate possono rilevare comportamenti anomali e generare alert in tempo reale.
- Piano di Reazione Rapida: in caso di data breach o attacco DDoS, un piano di gestione degli incidenti (runbook) deve specificare passaggi chiari per isolare e contenere la minaccia, ripristinare i sistemi e preparare la segnalazione formale all’ACN entro 24 ore.
- Test di Sicurezza Periodici: vulnerability assessment, penetration test e simulazioni di attacco consentono di verificare la bontà delle difese e individuare rapidamente eventuali criticità da sanare.
7.1.D. Gestione dei Servizi Cloud
- Provider Conformi: scegliere servizi cloud già certificati (ISO 27001, SOC 2, etc.) facilita la rispondenza ai requisiti NIS/NIS2 e garantisce un certo livello di sicurezza intrinseca (ad es. crittografia integrata, conformità GDPR).
- Encrypt at Rest e in Transit: utilizzare KMS (Key Management Service) per la cifratura dei dati a riposo e TLS/SSL per il transito, prevenendo l’intercettazione o la manomissione dei dati.
- Resilienza Multi-Region: la duplicazione dei dati e dei servizi su più region geografically separate riduce i rischi di interruzione in caso di disastri naturali o attacchi massivi ad una singola area.
7.1.E. Collaborazione con il Punto di Contatto (PdC)
- Condivisione Informazioni: l’esperto IT supporta il PdC fornendo dati dettagliati (IP pubblici, domini attivi, configurazioni di rete) e relazioni tecniche sugli incidenti.
- Notifica e Escalation: in caso di minacce emergenti o violazioni, il professionista coordina le squadre tecniche e informa tempestivamente il PdC, che provvederà alla notifica all’ACN rispettando le tempistiche di legge.
- Audit e Compliance: per ispezioni o verifiche, l’esperto IT prepara la documentazione tecnica, i report di sicurezza e i registri di log necessari, certificando la rispondenza dell’organizzazione ai criteri stabiliti dalle Direttive.
7.2. Checklist Tecnica Operativa
In definitiva, la corretta implementazione delle Misure di Sicurezza Informatica e la gestione delle Notifiche degli Incidenti imposte da NIS e NIS2 dipendono fortemente dal lavoro sinergico tra management, Punto di Contatto e figure tecniche. L’esperto di cloud, sicurezza e backend contribuisce a:
- Progettare e manutenere architetture affidabili e sicure.
- Integrare misure di protezione all’interno del ciclo di vita del software.
- Monitorare costantemente i sistemi e rispondere prontamente agli eventi avversi.
- Assicurare la continuità operativa, la conformità legale e la salvaguardia dei dati aziendali e degli utenti.
Seguire queste buone pratiche non è solo un obbligo normativo: è un investimento in affidabilità e credibilità sul mercato, riducendo i rischi di fermi operativi e sanzioni, e contribuendo alla resilienza complessiva dell’ecosistema digitale aziendale.
8. Poteri Ispettivi e Sanzioni
L’ACN (Agenzia per la Cybersicurezza Nazionale) e gli enti competenti possono:
- Verificare la corretta applicazione delle misure di sicurezza.
- Richiedere documentazione e audit.
- Emettere sanzioni amministrative (di solito in percentuale del fatturato annuo).
- Nel caso di gravi inadempienze, possono scattare:
- Sospensione di attività.
- Responsabilità personali a carico dei vertici aziendali (amministratori, dirigenti) che non abbiano adeguatamente vigilato.
- In alcune circostanze, potrebbe configurarsi una fattispecie penale, specialmente se dall’attacco derivano rischi per la sicurezza nazionale o danni alla salute pubblica.
Appello alla prudenza: la cybersicurezza non è più un “nice-to-have”, ma un obbligo di legge, la cui violazione può avere effetti devastanti, sia economici sia legali.
9. Raccomandazioni Operative
Iniziare Subito
- Anche se le scadenze sembrano lontane, la mole di lavoro è notevole (aspetti tecnici, legali, formativi).
Formare il Personale
- Chiunque abbia accesso a un computer o a un servizio cloud deve comprendere i rischi di phishing, malware, ecc.
- Un dipendente inconsapevole può vanificare anche i migliori sistemi di difesa.
Definire Ruoli e Responsabilità
- Nominare il Punto di Contatto e, se necessario, i Referenti Operativi in modo formale e con deleghe chiare.
- Garantire loro risorse e autorità per agire.
Piano di Risposta a Incidenti
- Prevedere procedure per gestire eventuali attacchi o violazioni.
- Fare esercitazioni periodiche (incident response tests).
Monitorare e Aggiornare
- La sicurezza non è statica: occorre aggiornare sistemi, procedure e formazione di continuo.
- Le minacce evolvono e così devono fare le difese.
10. Riferimenti Normativi