Con il Decreto Legislativo n. 138 del 04/09/2024, pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana n. 230 del 01/10/2024 ed entrato in vigore il 16/10/2024, il legislatore italiano ha recepito la direttiva NIS2 (direttiva UE 2022/2555 che rimpiazza la previgente direttiva NIS “Network and Information Security” del 2016), stabilendo misure volte a garantire un livello elevato di sicurezza informatica in ambito nazionale e contribuendo ad incrementare il livello comune di sicurezza nella UE in modo da migliorare il funzionamento del mercato interno.

Le crescenti minacce poste dalla digitalizzazione e dall’aumento degli attacchi informatici, diretti sia ad istituzioni ed enti pubblici che a taluni operatori privati anche di media e piccola dimensione, comportano rischi che possono avere un impatto significativo a livello di sistema paese. Per questo il Decreto, che opera nell’ambito della Strategia Nazionale di Cybersicurezza, si occupa di:

• definire le strutture e le funzioni di coordinamento a livello nazionale per quanto riguarda l’implementazione del decreto e il controllo della sua applicazione, nonché la gestione delle crisi informatiche su vasta scala in coerenza con la direttiva NIS2
• indicare i criteri per l’individuazione dei soggetti interessati NIS, a cui si applicano le disposizioni del Decreto, e i relativi obblighi in materia di misure di gestione dei rischi per la sicurezza informatica e di notifica degli incidenti

Il coordinamento ed il controllo della corretta implementazione della disciplina NIS2 spetta all’Agenzia per la Cybersicurezza Nazionale (ACN), a cui il Decreto ha assegnato le funzioni di:

• “Autorità nazionale competente NIS”, che sovraintende all’implementazione e all’attuazione del Decreto, svolgendo attività di regolamentazione, monitoraggio e vigilanza
• “Punto di contatto unico NIS”, assicurando il raccordo nazionale e transfrontaliero
• “Gruppo di intervento per la sicurezza informatica in caso di incidente in ambito nazionale” (CSIRT Italia)

L’impianto normativo fissato dal Decreto conferma le novità introdotte dalla direttiva europea NIS2, che ha esteso l’ambito di applicazione ad un più ampio ventaglio di entità e settori: sono imposti obblighi all’intera infrastruttura ICT dei soggetti interessati, che ricadono in 18 diversi settori di cui 11 altamente critici e 7 critici.

Quali sono i Soggetti Interessati NIS

La direttiva NIS2 ha individuato 18 settori di attività che rientrano nel campo di applicazione della disciplina, ripartiti in due diversi gruppi:

• Settori altamente critici:
  1. Energia – con i sottosettori: a) Energia elettrica; b) Teleriscaldamento e teleraffrescamento; c) Petrolio; d) Gas; e) Idrogeno
  2. Trasporti – con i sottosettori: a) Trasporto aereo; b) Trasporto ferroviario; c) Trasporto per vie d’acqua; d) Trasporto su strada
  3. Settore bancario
  4. Infrastrutture dei mercati finanziari
  5. Settore sanitario
  6. Acqua potabile
  7. Acque reflue
  8. Infrastrutture digitali
  9. Gestione dei servizi ICT B2B
  10. Pubblica amministrazione
  11. Spazio
• Settori critici:
  1. Servizi postali e di corriere
  2. Gestione dei rifiuti
  3. Fabbricazione, produzione e distribuzione di sostanze chimiche
  4. Produzione, trasformazione e distribuzione di alimenti
  5. Fabbricazione – relativa ai sottosettori: a) dispositivi medici e dispositivi medico-diagnostici in vitro; b) computer e prodotti di elettronica e ottica; c) apparecchiature elettriche; d) macchinari e apparecchiature altre; e) autoveicoli, rimorchi e semirimorchi; f) altri mezzi di trasporto
  6. Fornitori di servizi digitali
  7. Ricerca

Non tutti i soggetti che operano nei settori critici o altamente critici sono necessariamente sottoposti all’applicazione della disciplina NIS: dipende dallo specifico settore, dalla dimensione aziendale e dagli ulteriori criteri che ciascun Stato membro è libero di stabilire nell’ambito della normativa nazionale. In ogni caso, i soggetti che rientrano tra quelli interessati dalla disciplina NIS vengono distinti in due tipologie: soggetti essenziali e soggetti importanti. Naturalmente, ai soggetti essenziali si applicano misure di vigilanza ed esecuzione più stringenti, oltre che sanzioni più elevate, rispetto ai soggetti importanti.

La seguente tabella riepiloga la classificazione dei Soggetti interessati NIS in Italia, secondo le disposizioni del D.Lgs. 138/2024

Gli obblighi per i Soggetti interessati NIS

L’art.7 del D.Lgs. 138/2024 stabilisce la procedura per l’elencazione dei soggetti interessati NIS; il Capo IV del D.Lgs. 138/2024 disciplina gli obblighi dei soggetti interessati NIS in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente.

• Gestione del rischio
  I soggetti interessati devono implementare misure di gestione dei rischi più rigorose, che includono anche adeguate misure per la sicurezza della catena di approvvigionamento secondo un approccio multi-rischio. Ciò comporta non solo l’identificazione e la valutazione dei rischi, ma anche la definizione di politiche e procedure e l’attuazione di programmi di formazione e sensibilizzazione adeguati, sia per la direzione che per i dipendenti.
• Segnalazione degli incidenti
  Il Decreto impone la segnalazione di incidenti significativi entro 24 ore. Occorre familiarizzare con le pratiche e i criteri di segnalazione e assicurarsi che la propria organizzazione disponga di un piano di risposta agli incidenti efficace, che includa canali di comunicazione e procedure di segnalazione chiari.
• Vigilanza e applicazione
  Con l’introduzione di sanzioni amministrative armonizzate e di maggiori poteri di applicazione da parte delle autorità nazionali, la conformità va presa sul serio. Occorre comprendere l’esigenza di diffondere una cultura della sicurezza all’interno dell’organizzazione, mettendosi nelle condizioni di identificare eventuali lacune e sviluppare una tabella di marcia per affrontarle secondo le tempistiche e le scadenze imposte dalla normativa e dalle autorità preposte.
• Mantenimento di una solida postura di sicurezza
  Poter contare su persone ben informate e formate è fondamentale per garantire la resilienza informatica di un’organizzazione e una risposta efficace agli incidenti, entrambi aspetti chiave della direttiva NIS2. La sensibilizzazione e la formazione di tutto il personale aziendale in materia di sicurezza informatica sono considerate componenti essenziali di una efficace strategia di gestione del rischio e dovrebbero essere attuate per garantire la conformità alla normativa.
• Comunicazione e trasparenza
  Mantenere una corretta e trasparente comunicazione sia all’interno che con l’esterno è essenziale per garantire l’efficacia nella gestione dei rischi informatici da parte dell’organizzazione. Lo CSIRT Italia rappresenta il punto di contatto istituito in seno all’ACN sia per tenersi aggiornati sulle evoluzioni del panorama digitale e delle minacce, sia per notificare eventuali incidenti. Inoltre, i soggetti interessati NIS sono tenuti a registrarsi nell’apposito elenco gestito tramite la Piattaforma ACN e a mantenere tali informazioni costantemente aggiornate.

Tempistiche

E se non sono un Soggetto Interessato NIS?

Si potrebbe pensare che un soggetto che non rientra tra quelli direttamente interessati dalla disciplina NIS non debba preoccuparsi di affrontare queste tematiche. Tuttavia, in realtà non è proprio così.

Per una serie di ragioni, anche i soggetti che in prima battuta non rientrano tra quelli interessati NIS possono doversi confrontare con le disposizioni della normativa; infatti:

• Nel settore privato, la direttiva NIS2 si applica tendenzialmente alle sole aziende medio/grandi;² tuttavia, sulla base di valutazioni specifiche legate alla particolare attività e al contesto in cui opera, l’ACN, in qualità di “Autorità nazionale competente NIS”, ha il potere di identificare l’azienda come soggetto importante o soggetto essenziale a prescindere dalla dimensione
• La normativa prevede, in ogni caso, che i soggetti interessati NIS tengano un “approccio multi-rischio” nella valutazione delle misure di sicurezza informatica; tale approccio include, tra gli altri, anche la sicurezza della catena di approvvigionamento, per garantire la quale i soggetti interessati tengono conto delle vulnerabilità specifiche dei propri fornitori diretti (di prodotti e/o servizi) e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica di tali fornitori, comprese le loro procedure di sviluppo sicuro. Pur non ricadendo tra i soggetti interessati NIS, una impresa potrebbe dunque essere tenuta ad adottare pratiche e procedure adeguate di sicurezza informatica su richiesta dei propri clienti, laddove questi ultimi fossero soggetti interessati NIS
• L’art. 26 del D.Lgs. 138/2024, riguardante la notifica volontaria di informazioni pertinenti allo CSIRT Italia, prevede espressamente la possibilità per qualunque soggetto di notificare incidenti che hanno un impatto significativo sulla fornitura dei propri servizi, o segnalazioni riguardanti minacce o quasi-incidenti, indipendentemente dal fatto che il soggetto ricada o meno nell’ambito di applicazione del Decreto.

Come adeguarsi

Nei dettagli, gli obblighi di base in materia di misure di sicurezza informatica e notifica degli incidenti sono stabiliti dall’Autorità competente NIS (ossia l’ACN) con apposita determinazione da adottare entro il 16 Aprile 2025.

Tuttavia, la normativa identifica i requisiti generali di sicurezza, come descritti sopra, a cui tali obblighi fanno riferimento: si tratta di requisiti che rappresentano in realtà gli aspetti portanti di un qualsiasi Sistema di Gestione della Sicurezza Informatica (SGSI) rispondente alle migliori pratiche internazionali consolidatesi nel tempo.

Tali aspetti sono ripresi, in particolare, anche dallo standard ISO/IEC 27001, che definisce i requisiti e le caratteristiche dei Sistemi di Gestione aziendali per la Sicurezza Informatica e la protezione dei dati.

In effetti, sebbene la direttiva NIS2 non richieda obbligatoriamente l’implementazione di sistemi di gestione certificati, tuttavia la famiglia degli standard ISO/IEC 27000 viene citata nelle premesse come possibile metodo per implementare le misure di gestione dei rischi informatici, e la direttiva incoraggia l’uso di standard internazionali.

Adeguarsi alla direttiva NIS2 attraverso l’adozione di un SGSI certificato secondo lo standard ISO/IEC 27001, che tenga conto degli specifici requisiti di sicurezza e di notifica richiesti dalla norma, rappresenta dunque un’ottima soluzione al problema, oltre che un importante elemento utilizzabile per dimostrare l’aderenza ai requisiti normativi da parte dei soggetti interessati NIS.

NEUS ha maturato una lunga esperienza nel settore dell’innovazione tecnologica e della sicurezza informatica, ed è in grado di mettere le sue competenze a disposizione delle aziende che intendono migliorare la propria postura di cybersecurity, supportandole nell’implementazione di sistemi di gestione e nell’adozione di soluzioni in grado di rispondere ai requisiti normativi.

Se vuoi saperne di più, scrivici compilando la form di questa pagina: siamo a tua disposizione per approfondire.

1. vi rientrano in dettaglio: alcune tipologie di soggetti appartenenti al gruppo 8 dei settori altamente critici (segnatamente: fornitori di servizi di sistema dei nomi di dominio, gestori di registri dei TLD, fornitori di servizi di cloud computing o di data center, fornitori di reti di distribuzione dei contenuti), nonché i soggetti appartenenti al gruppo 9 dei settori altamente critici (gestori dei servizi ICT B2B) o al gruppo 6 dei settori critici (Fornitori di Servizi Digitali) ↩︎
2. fanno eccezione i soggetti critici secondo la direttiva CER, che la disciplina NIS classifica come soggetti essenziali a prescindere dalla dimensione, così come le aziende che operano nelle infrastrutture digitali o che forniscono servizi digitali, le quali, a talune condizioni, sono identificate dalla norma come soggetti importanti o essenziali, indipendentemente dalla loro dimensione ↩︎