I soggetti interessati dalla disciplina NIS sono sottoposti agli obblighi dettati dal Capo IV del D.Lgs. 138/2024 (“decreto NIS”) che recepisce in Italia la Dir. (UE) 2022/2555 (“direttiva NIS2”).
La direttiva è stata introdotta a livello europeo per garantire un livello comune elevato di sicurezza e resilienza informatica dei soggetti che operano in settori ritenuti critici per il funzionamento del tessuto socio/economico di ogni Stato membro, tanto più se aventi rilevanza transfrontaliera.
In un tale contesto, la gestione efficace dei rischi e degli incidenti di sicurezza informatica richiede evidentemente uno specifico coordinamento a livello nazionale, compito che in Italia è demandato all’ACN (Agenzia per la Cybersicurezza Nazionale) in qualità di “Autorità nazionale competente NIS”.
Occorre dunque che i soggetti interessati, oltre che dal punto di vista tecnologico e operativo, siano anche adeguatamente strutturati sul fronte organizzativo, in modo da rispondere agli obblighi imposti dal decreto NIS in linea con il processo di coordinamento nazionale e di interlocuzione con i soggetti interessati gestito da ACN.
In particolare, il quadro normativo identifica alcuni ruoli chiave all’interno dei soggetti interessati NIS, a cui sono demandati compiti e responsabilità ben precisi: da una parte, si ribadisce il ruolo fondamentale degli organi amministrativi e direttivi dell’azienda (CdA e Direzione), e dunque anche la loro responsabilità ultima, nel far sì che gli obblighi normativi siano soddisfatti ed efficacemente implementati in azienda; dall’altro, si introduce la nuova figura del “Punto di contatto”, con il compito di curare l’attuazione delle disposizioni del decreto NIS e di interloquire con ACN per conto dell’azienda.
L’art.23 del decreto NIS stabilisce i compiti e le responsabilità degli organi di amministrazione e direttivi:
- Approvano le modalità di implementazione delle misure di sicurezza adottate
- Sovrintendono all’implementazione degli obblighi in materia di gestione dei rischi informatici e notifica di incidenti, nonché a quelli di registrazione e aggiornamento delle informazioni rilevanti sulla Piattaforma ACN
- Sono responsabili delle violazioni alla disciplina NIS
- Sono tenuti a seguire una formazione in materia di sicurezza informatica, e promuovono analoga offerta formativa per il personale dipendente dell’azienda
- Vengono informati periodicamente, o subito se necessario, degli incidenti di sicurezza e delle notifiche allo CSIRT
La determinazione ACN n. 38565 del 26/11/2024, invece, all’art.4 descrive compiti e caratteristiche del Punto di contatto:
- È la persona fisica designata dall’azienda che, in nome e per conto dell’azienda stessa, cura l’attuazione delle disposizioni del decreto NIS, a partire dalla registrazione sulla Piattaforma ACN, e interloquisce con l’ACN.
- Può essere il rappresentante legale dell’azienda o un suo procuratore generale, oppure un dipendente dell’azienda opportunamente delegato.1
- Il Punto di contatto riferisce direttamente al vertice gerarchico dell’azienda, nonché agli organi di amministrazione e direttivi.
- Il Punto di contatto può avvalersi di personale esterno all’azienda, quale supporto nell’esercizio delle proprie funzioni.
Dato il suo ruolo chiave nell’attuare in azienda le disposizioni della normativa in tema di sicurezza informatica e notifica degli incidenti, e dovendo inoltre riportare direttamente alla direzione aziendale, è ragionevole immaginare che la figura del “Punto di contatto” sia ricoperta dal CISO dell’azienda (“Chief Information Security Officer”) che riporti direttamente al CEO, se non direttamente da un membro stesso del board appositamente delegato.
Quale che sia la soluzione organizzativa adottata dall’azienda per identificare il Punto di contatto, resta evidentemente ferma la necessità, per un soggetto interessato NIS, di prevedere un’unità o funzione aziendale dedicata alla gestione dei rischi informatici e degli incidenti di sicurezza relativi, sotto la guida di un Responsabile per la Sicurezza Informatica dotato di livelli di autonomia decisionale adeguati.
In questo senso risulta particolarmente utile, per il Punto di contatto, la possibilità di avvalersi di personale esterno, laddove l’azienda, specialmente se più piccola, non disponga al proprio interno di tutte le competenze necessarie.
Vale la pena, infatti, ricordare gli obblighi che la normativa impone ai Soggetti interessati NIS:
- Adottare misure di sicurezza tecniche, operative ed organizzative adeguate e proporzionate alla gestione dei rischi ai sistemi e reti aziendali, nonché per prevenire gli incidenti e minimizzarne l’impatto per gli utenti dei propri servizi, secondo un approccio multi-rischio che comprenda almeno le misure seguenti:
- politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete;
- gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche allo CSIRT Italia;2
- continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro, ove applicabile, e gestione delle crisi;
- sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
- sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità;
- politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica;
- pratiche di igiene di base e di formazione in materia di sicurezza informatica;
- politiche e procedure relative all’uso della crittografia e, ove opportuno, della cifratura;
- sicurezza e affidabilità del personale, politiche di controllo dell’accesso e gestione dei beni e degli assetti;
- uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno.
- Comunicare allo CSIRT Italia ogni incidente significativo, mettendosi nelle condizioni di:
- Trasmettere una pre-notifica entro 24 ore dal rilevamento dell’incidente;
- Inviare la notifica (comprensiva di una prima valutazione dell’impatto causato dall’incidente) entro 72 ore;
- Inviare una relazione finale (o un aggiornamento se l’incidente è ancora in corso) entro 1 mese dalla notifica.
- Rispondere tempestivamente alle richieste dello CSIRT Italia e alle segnalazioni riguardanti nuove minacce e vulnerabilità.
Cosa occorre fare
A partire dal 1° dicembre 2024 e fino al 28 Febbraio 2025 (oppure entro il 17 Gennaio 2025 per alcuni fornitori di servizi e infrastrutture digitali o di servizi ICT B2B)3, il Punto di contatto di ciascun soggetto interessato NIS ha tempo per registrarsi sulla Piattaforma ACN e, seguendo le istruzioni fornite, comunicare le informazioni richieste ai fini dell’inserimento della propria azienda nell’elenco dei soggetti NIS, la cui definizione finale è prevista entro il 16 Aprile 2025.
Entro la stessa data, l’ACN stabilirà nel dettaglio, con apposita determinazione, anche gli obblighi di base in materia di misure di sicurezza informatica e notifica degli incidenti.
Tuttavia, come abbiamo visto sopra, la normativa identifica già i requisiti generali di sicurezza a cui tali obblighi fanno riferimento: è opportuno quindi che i soggetti interessati NIS si adoperino fin da subito per pianificare le attività necessarie a soddisfare tali requisiti, in modo da farsi trovare pronti quando sarà il momento.
Trattandosi di aspetti che fanno riferimento alle migliori pratiche in tema di sicurezza informatica, gli standard internazionali in materia, come la norma ISO/IEC 27001, rappresentano il punto di partenza più naturale per affrontare il problema.
Adeguarsi alla decreto NIS attraverso l’adozione di un SGSI certificato secondo lo standard ISO/IEC 27001, che tenga conto degli specifici requisiti di sicurezza e di notifica richiesti dalla norma, rappresenta infatti un’ottima soluzione, oltre che un importante elemento utilizzabile per dimostrare l’aderenza ai requisiti normativi da parte dei soggetti interessati NIS.
NEUS ha maturato una lunga esperienza nel settore dell’innovazione tecnologica e della sicurezza informatica, ed è in grado di mettere le sue competenze a disposizione delle aziende che intendono migliorare la propria postura di cybersecurity, supportandole nell’implementazione di sistemi di gestione e nell’adozione di soluzioni in grado di rispondere ai requisiti normativi.
Se vuoi saperne di più, scrivici compilando la form di questa pagina: siamo a tua disposizione per approfondire.
- L’ACN ha predisposto e reso disponibile un apposito modello di delega che può essere utilizzato dalle aziende per delegare un proprio dipendente quale Punto di contatto. ↩︎
- Lo CSIRT Italia (Cyber-Security Incident Response Team) è l’unità operativa dell’ACN che svolge la funzione di “Gruppo di intervento per la sicurezza informatica in caso di incidente in ambito nazionale” ↩︎
- vi rientrano in dettaglio: tra i servizi altamente critici, alcune tipologie di fornitori di infrastrutture digitali (segnatamente: fornitori di servizi di sistema dei nomi di dominio, gestori di registri dei TLD, fornitori di servizi di cloud computing o di data center, fornitori di reti di distribuzione dei contenuti), nonché i gestori dei servizi ICT B2B; inoltre, tra i servizi critici, anche i Fornitori di Servizi Digitali (mercati online, motori di ricerca, piattaforme di social network, registrazione di nomi di dominio) ↩︎


