Contesto

La direttiva NIS2, recentemente adottata dall’Unione Europea, rappresenta un passo significativo nel rafforzamento della sicurezza delle reti e dei sistemi informatici. Essa mira a migliorare la resilienza delle infrastrutture critiche contro le minacce informatiche e a garantire un livello elevato di sicurezza in tutto il continente.
Entrata in vigore il 17 gennaio 2023, la NIS2 sostituisce la precedente NIS1, che aveva introdotto misure di sicurezza per i settori critici nel 2016. Tuttavia, con l’aumento delle minacce cibernetiche sempre più sofisticate e la digitalizzazione in espansione, si è resa necessaria l’implementazione di un quadro normativo più robusto e completo.
La NIS2 si estende a un numero maggiore di settori, inclusi energia, trasporti, sanità e servizi digitali, espandendo così il suo raggio d’azione. Gli Stati membri devono recepire la direttiva nelle loro legislazioni nazionali entro il 18 ottobre 2024. In Italia, è stata recepita il 1° ottobre 2024, aumentando le responsabilità delle organizzazioni in merito alla gestione dei rischi e alla segnalazione degli incidenti.

I soggetti interessati dalla direttiva NIS2 sono compresi nelle seguenti categorie: OSE – Operatori di Servizi Essenziali, e OSI – Operatori di Servizi Importanti. Sebbene la direttiva si applichi principalmente a entità operanti in settori critici e importanti, anche le aziende private che offrono servizi di sicurezza informatica, come le società di consulenza, di integrazione di sistemi o di ricerca e sviluppo – ovvero, i fornitori di servizi digitali (DSP) – possono rientrare nell’ambito della NIS2.

Rapporto Tecnico

La NIS2 introduce obblighi specifici per le organizzazioni, richiedendo loro di adottare misure di sicurezza adeguate e di attuare pratiche di gestione dei rischi che siano efficaci e proporzionate alla loro dimensione e complessità.

I soggetti interessati dalla direttiva NIS2 sono compresi nelle seguenti categorie:
OSE — Operatori di Servizi Essenziali: Settore sanitario, energetico, dei trasporti, finanziario, idrico, aerospaziale, infrastrutture digitali e Pubblica Amministrazione;
OSI — Operatori di Servizi Importanti: Settore postale, chimico, agro-alimentare, del trattamento dei rifiuti, della ricerca e sviluppo, l’industria manifatturiera e i fornitori di servizi digitali (DSP).

OSE e OSI devono adottare misure tecniche e organizzative adeguate sulla base gli Articoli 21 e 23, nello specifico:

Art.21 – Gestione del Rischio:
– Valutazione dei Rischi
– Sicurezza della Supply Chain
– Crittografia, MFA e controllo accessi
– Aggiornamento sistemi e applicazioni
– Sicurezza Delle reti
– Igiene informatica di base e formazione
– Continuità aziendale e Gestione delle crisi
– Obbligo di segnalazione degli incidenti

Art.23 – Obbligo di segnalazione:
– Notifica tempestiva di incidenti al proprio CSIRT o alla propria autorità competente:
– 1^ notifica entro 24 ore dal momento in cui si ha consapevolezza di un incidente significativo
– 2^ notifica Entro 72 ore dal momento in cui si ha consapevolezza di un incidente significativo
– Relazione finale entro 30 giorni dalla prima trasmissione della notifica.

I soggetti appartenenti ai settori e sottosettori definiti dalla nuova direttiva NIS2 (d.lgs. n. 138/2024) sono tenuti a presentare i requisiti dimensionali indicati nell’articolo 3 della direttiva stessa. La registrazione deve avvenire sul Portale ACN tra il 1° gennaio e il 28 febbraio 2025. A seguito della registrazione, il soggetto verrà sottoposto a una fase di verifica. Entro il 31 marzo 2025, l’ACN, in qualità di Autorità Nazionale competente per la NIS2, comunicherà all’organizzazione l’eventuale inclusione nell’elenco dei Soggetti Essenziali o Importanti.
Infine, dal 15 aprile al 31 maggio 2025 l’ACN comunicherà l’elenco delle imprese alla Commissione Europea.

Inoltre, La direttiva promuove una maggiore cooperazione tra gli Stati membri attraverso la creazione di un framework di risposta agli incidenti, che include l’istituzione di punti di contatto nazionali per facilitare la comunicazione e la condivisione di informazioni su minacce e vulnerabilità.
Le aziende devono dimostrare conformità ai requisiti tramite audit interni e mantenere registri dettagliati delle misure di sicurezza.

Le sanzioni per le violazioni possono essere severe, evidenziando l’importanza della conformità:
– Per gli Operatori di Servizi Essenziali (OSE) si prevedono sanzioni pecuniarie amministrative pari a un massimo di 10.000.000€ o a un massimo del 2% del fatturato globale annuo per l’esercizio precedente, se superiore a 10.000.000€.
– Per gli Operatori di Servizi Importanti (OSI) si prevedono sanzioni pecuniarie amministrative pari a un massimo di 7.000.000€ o a un massimo dell’1,4% del fatturato globale annuo per l’esercizio precedente, se superiore a 7.000.000€.

Rimedi

Sulla base della direttiva NIS2, si consiglia alle organizzazioni di adottare le seguenti misure:

– Valutazione delle vulnerabilità interne e delle minacce esterne
– Aggiornamento delle politiche di sicurezza con i requisiti della NIS2
– Monitoraggio dell’intera supply chain digitale e dei fornitori terzi
– Implementazione di sistemi di autenticazione a più fattori (MFA) e di crittografia end-to-end
– Formazione e sensibilizzazione del personale
– Nomina di una figura responsabile della supervisione delle misure di sicurezza
– Conduzione di audit interni e mantenimento di registri dettagliati delle misure di sicurezza adottate
– Collaborazione con le autorità nazionali.