La Direttiva NIS2 per il rafforzamento della sicurezza informatica

Il nostro paese ha recepito ufficialmente la Direttiva NIS 2 (Direttiva UE 2022/2555), chiarendo gli adempimenti necessari per le organizzazioni in Italia. Si tratta di un importante passo avanti nel rafforzamento della sicurezza informatica a livello europeo, con l’obiettivo di innalzare il livello di protezione contro le minacce cyber.

L’entrata in vigore del D.lgs. 138/2024 ha sancito il recepimento della direttiva NIS 2 in Italia, imponendo nuovi obblighi alle organizzazioni che operano in settori essenziali. Di seguito conosciamo quali sono le novità in termini di cybersecurity, chi è coinvolto e quali sono le scadenze da rispettare.

Cosa cambia rispetto alla NIS 1

Rispetto alla precedente Direttiva NIS 1 (2016/1148), la NIS 2 amplia il campo di applicazione, includendo un numero maggiore di organizzazioni e introducendo misure più stringenti. Tra le principali novità:

1. Maggiore applicabilità: Il numero di soggetti coinvolti è aumentato, includendo nuove categorie di imprese e settori, tra cui (in maniera esemplificativa e non esaustiva) trasporto pubblico locale, società partecipate e in house. Oltre 80 tipologie di soggetto, suddivise in 18 settori. Di questi, 11 settori sono considerati altamente critici e 7 settori sono ritenuti critici.
2. Analisi dei rischi: Le organizzazioni devono eseguire una valutazione dei rischi e adottare misure di sicurezza adeguate al proprio contesto operativo.
3. Misure proporzionate: Le misure di sicurezza devono essere compatibili con le capacità economiche delle organizzazioni, garantendo flessibilità nell’attuazione. Le regole per implementare la cybersicurezza devono inoltre essere applicate all’intera infrastruttura ICT (information and communications technology) del soggetto e non solamente alle reti e ai sistemi collegati ai servizi essenziali.

Le scadenze principali

Le organizzazioni interessate dovranno rispettare le seguenti scadenze:

• Entro il 28 febbraio 2025: Autovalutazione per verificare se si rientra tra i soggetti essenziali o importanti e registrazione sulla piattaforma ACN per l’implementazione della risposta ad attacchi hacker.
• Entro il 15 aprile 2025: L’ACN confermerà l’applicabilità della NIS 2 ai soggetti registrati.
• Entro il 1° gennaio 2026: Adeguamento alle misure di gestione degli incidenti (art. 25) e aggiornamento annuale delle informazioni (art. 30).
• Entro ottobre 2026: Adeguamento agli obblighi relativi a gestione dei rischi e misure di sicurezza (artt. 23, 24, 29).

Applicabilità della NIS 2

La direttiva si applica a soggetti essenziali e importanti in settori strategici come energia, trasporti, banche, infrastrutture digitali e sanitari. Le organizzazioni dovranno identificare autonomamente se rientrano nei criteri di applicabilità, valutando il proprio settore e la dimensione aziendale (più di 50 dipendenti e un fatturato superiore ai 10 milioni di euro).

I soggetti coinvolti

Un’importante distinzione nella classificazione dei soggetti obbligati alla compliance normativa è quella che li differenzia in soggetti “essenziali” e “importanti”. Tale suddivisione è operata in modo automatico secondo criteri oggettivi.

Tra i soggetti essenziali rientrano, sulla base di quanto stabilito dall’art. 6 del decreto legislativo n. 138/2024:

• i soggetti che operano nei settori indicati all’allegato I del D.lgs. 138/2024 e che superano i massimali per le “medie imprese”, ovvero le soglie di 250 dipendenti impiegati e 50 milioni di fatturato o 43 milioni totali di bilancio;
• a prescindere dalle dimensioni, gli enti che rientrano tra i “soggetti critici”;
• i fornitori di reti pubbliche di comunicazione elettronica e i fornitori di servizi di comunicazione elettronica accessibili al pubblico, che si considerano “medie imprese”;
• a prescindere dalle dimensioni, i prestatori di servizi fiduciari qualificati e i gestori di registri dei nomi di dominio di primo livello e i prestatori di servizi di sistema dei nomi di dominio;
• a prescindere dalle dimensioni, le pubbliche amministrazioni centrali.

La definizione dei soggetti “essenziali” è rilevante anche per stabilire il perimetro dei soggetti considerati “importanti”, ovvero quelli che rientrano nell’art. 3 del decreto citato ma che sono fuori dalla definizione di soggetti essenziali.

Sono chiamati al rispetto degli obblighi introdotto all’interno dell’ordinamento italiano i soggetti che sono categorizzati come medie e grandi imprese, secondo la classificazione della Raccomandazione 2003/361/CE. Sono invece generalmente escluse dagli stessi obblighi le micro e le piccole imprese.

Oltre alla distinzione tra soggetti essenziali e importanti il dlgs n. 138/2024 prevede il rafforzamento dell’obbligo di implementazione delle misure di sicurezza in almeno dieci ambiti, attraverso un approccio multi-rischio che preveda misure proporzionali rispetto al sistema informativo e di rete. A tale rafforzamento si aggiunge una più complessa articolazione della notifica degli incidenti.

Cybersecurity: i soggetti interessati dalla scadenza del 28 febbraio 2025

Il coordinamento dell’attuazione della normativa collegata alla Direttiva europea NIS 2 è compito dell’Agenzia per la Cybersicurezza Nazionale, ACN.

L’adeguamento normativo prevede uno specifico calendario ed ha come prima “tappa” la registrazione all’apposito portale dei servizi dell’ACN.

Il primo termine già superato del 2025, fissato al 17 gennaio, interessava un numero ristretto di soggetti, quelli indicati all’articolo 42, comma 1, lettera a) del d.lgs. n. 138/2024. Dall’obbligo erano interessati i fornitori di cloud computing, data center, servizi gestiti e mercati online.

Il 28 febbraio 2025 è invece fissata una nuova scadenza che interessa tutti gli altri soggetti inclusi nell’ambito di applicazione del decreto.

Il termine è particolarmente rilevante perché la registrazione avrà la funzione di censimento dei soggetti che operano nei settori individuati dalla Direttiva NIS 2 e dlgs n. 138/2024.

Tali soggetti dovranno comunicare diversi dati, tra i quali:

• la ragione sociale;
• l’indirizzo e i recapiti aggiornati;
• la designazione di un punto di contatto indicando il suo ruolo e la qualifica presso il soggetto;
• nel caso in cui sia possibile, la selezione di uno o più settori o sottosettori in cui operano, tra quelli previsti dagli allegati I, II e III;
• qualora possibile, la tipologia di soggetto in cui si identificano, sulla base di quelle indicate negli allegati I, II, III e IV.

Dopo la scadenza del 28 febbraio sono fissati in calendario diversi altri termini, che saranno ripetuti per ciascun anno successivo a quello di approvazione del decreto legislativo n. 138/2024.

I requisiti richiesti dalla NIS2

Tra i diversi requisiti principali della nuova Direttiva NIS2 che le organizzazioni devono soddisfare, emergono la gestione degli incidenti, la continuità operativa, la sicurezza dell’acquisizione, sviluppo e manutenzione dei sistemi informatici e di rete e le politiche di analisi dei rischi.

In questo momento è fondamentale, per le aziende, il supporto di consulenti esperti, che possano guidarle verso la corretta adesione alla Direttiva NIS2. Per implementarla, infatti, è necessario effettuare un’analisi dei rischi e una valutazione della condizione dell’impresa, in modo da scegliere le misure da apportare.
Un altro aspetto fondamentale è la formazione regolare dei dipendenti, in modo da istituire una vera e propria cultura dell’igiene digitale: la cybersecurity è un concetto di vitale importanza al giorno d’oggi, per cui è altrettanto importante mantenere aggiornati i propri dipendenti sulle varie novità, tramite una formazione continua e in progress.

La consulenza, in questo caso, può facilitare il lavoro alle imprese, creando dei piani d’azione che possano l’adozione e l’implementazione di queste nuove direttive.

Alpha Network vanta professionisti in grado di supportare le organizzazioni aziendali soggette a tali adempimenti di conformità per tutti gli aspetti normativi, tecnologici e organizzativi legati alla cybersecurity e alla protezione dei dati personali.

#consulenza #cybersecurity #privacy #NIS2 #digitalinnovation #hacking