Il 16 ottobre del 2024 è entrato ufficialmente in vigore il decreto legislativo n. 138, con cui l'Italia recepisce la direttiva NIS2 in materia di sicurezza informatica. A recepimento della normativa europea, il decreto italiano mira a garantire un elevato livello di sicurezza nazionale e comune, migliorando il funzionamento del mercato europeo, ponendo la cooperazione come elemento fondamentale.
Il rischio legato alla sicurezza informatica è potenzialmente significativo e diffuso. Quali misure dovrebbero essere adottate? Chi deve adoperarsi? Con questo articolo verrà fatta chiarezza sul contenuto del decreto introducendo i soggetti più vulnerabili, i sistemi di risposta agli incidenti informatici e i sistemi preventivi.
La direttiva NIS2 e il relativo decreto hanno come obiettivo principale la garanzia della sicurezza informatica per le infrastrutture critiche nazionali e su scala europea. Per raggiungere questo scopo, la normativa prevede l'integrazione di un quadro di gestione delle crisi informatiche nel contesto nazionale, introducendo l'Autorità competente centrale (in Italia, Agenzia per la Cybersciurezza nazionale - ACN), nel ruolo di coordinatore generale.
Proprio perché l'obiettivo di gestione della sicurezza informatica è oltre i confini territoriali nazionali, il decreto legislativo fa leva sull'attività di cooperazione tra Stati membri e soggetti coinvolti, creando una rete per la comunicazione e lo scambio di informazioni su incidenti e crisi di sicurezza che contribuisca a promuovere le migliori pratiche adottate dalle diverse Autorità nazionali competenti in materia di cybersecurity.
Altro punto fondamentale della normativa di recepimento della Direttiva NIS2 è la formazione, la quale si traduce in una serie di attività rivolte ai soggetti e ai loro operatori, nonché a coloro che potrebbero essere coinvolti dall'impatto di un incidente informatico, con l'obiettivo di aumentare la consapevolezza sulla sicurezza informatica e l'apprendimento di pratiche di "igiene" informatica. L'aspetto formativo si traduce in obblighi imposti agli organi direttivi e amministrativi delle imprese ed è severamente punito con sanzioni amministrative pecuniarie.
Tra i primi obblighi previsti dalla normativa si individua l’obbligo per i soggetti di registrarsi alla piattaforma digitale di gestione dell’Agenzia per la Cybersicurezza Nazionale. La registrazione, da effettuarsi entro il 31 gennaio di ogni anno, è necessaria ai fini dell’inserimento in elenco dei soggetti essenziali e dei soggetti importanti, azione da cui deriveranno gli obblighi, graduali e adeguati.
Il decreto legislativo sottolinea l'obbligo di strutturare e implementare misure di gestione dei rischi per la sicurezza informatica, adottando un approccio multi-rischio che tenga conto delle minacce a cui ciascun soggetto è esposto, nonché delle dimensioni. Le misure preventive e correttive poste in essere sono adeguate e proporzionate alle caratteristiche del soggetto quali il livello di gravità degli incidenti e la probabilità che questi si verifichino, fatta considerazione della significatività dell'impatto economico e sociale qualora il servizio fornito venga compromesso.
L'Autorità nazionale competente NIS definisce termini, modalità specifiche nonché i tempi graduali di implementazione degli obblighi anche differenziandoli sulla base del settore e del sotto-settore, considerando il livello di sicurezza informatica da cui ciascun soggetto parte.
Ad interessare la generalità dei soggetti che rientrano nell’ambito applicativo è l’obbligo di notifica degli incidenti di sicurezza informatica. Tale notifica permette infatti al gruppo di risposta degli incidenti informatici (CSIRT Italia) istituito presso l'ACN, di stimare l'estensione dell'incidente, di dare comunicazione ai soggetti interessati e di intervenire laddove necessario, prestando supporto tecnico e consulenza, non solo ai soggetti il cui servizio è stato colpito, ma anche da altri soggetti interessati dall'estensione dell'incidente.
La direttiva NIS2 e il suo decreto di recepimento da poco entrato in vigore non si applicano a tutti indistintamente. Gli obblighi che gravano sui soggetti interessati - così come le sanzioni - sono adeguati e proporzionati sulla base di determinate caratteristiche, quali il settore (la "industry") e le dimensioni.
A tal fine, le disposizioni tracciano una chiara linea di demarcazione tra chi è soggetto al decreto e chi ne è esonerato, distinguendo ulteriormente al suo interno i soggetti destinatari degli obblighi. Il criterio di separazione, al pari di altre normative europee, è basato sulla dimensione ( "sized-cup rule" ) . In generale, rientrano nel campo di applicazione della normativa le imprese con un fatturato e un bilancio annuo superiori a 10 milioni di euro e con più di 50 dipendenti, che perciò superano i massimali definiti per la piccola impresa, in alcuni casi anche le microimprese e numerose pubbliche amministrazioni.
La normativa distingue tra soggetti "importanti" e "essenziali", basandosi sulla registrazione presso la piattaforma digitale gestita dall'Autorità nazionale competente in materia di sicurezza informatica (ACN), a cui i soggetti sono tenuti entro il 31 gennaio di ogni anno. In linea di massima:
Tuttavia, tenuto conto di peculiarità dell’ente, dell’importanza del servizio fornito e della significatività dell’impatto sulla generalità che un incidente informatico potrebbe avere, l'Autorità nazionale competente NIS (In Italia, Agenzia per la Cybersicurezza Nazionale - ACN) può individuare altri soggetti che prescindono dal requisito dimensionale e che dunque possono essere ricondotti:
I settori e sotto-settori che ricadono nell’ ambito applicativo sono riportati nei quattro Allegati:
Data la presenza di numerose eccezioni, l'ambito applicativo è ulteriormente chiarito in forma illustrata.
Allegato I: Settori altamente critici
| SETTORE | grandi imprese | Medie imprese | piccole e micro imprese |
| Energia | ! | !! | |
| Trasporti | ! | !! | |
| Settore bancario* | ! | !! | |
|
Infrastrutture dei mercati finanziari * |
! | !! | |
|
Settore sanitario |
! | !! | |
|
Acqua potabile |
! | !! | |
| Acque reflue | ! | !! | |
| Infrastrutture digitali |
essenziali o importanti a seconda della tipologia di soggetto (sotto-settore) |
importanti o fuori ambito a seconda della tipologia di soggetto**(sotto-settore) |
|
| Gestione dei servizi TIC (b2b) | ! | !! | |
| Spazio | ! | !! |
Allegato II: Settori critici
| SETTORE | grandi imprese | Medie imprese | piccole e micro imprese |
| Servizi postali e di corriere | ! | ! | !! |
| Gestione dei rifiuti | ! | ! | !! |
| Fabbricazione, produzione e distribuzione di alimenti | ! | ! | !! |
|
Fabbricazione |
! | ! | !! |
|
Fornitori di servizi digitali
|
! | ! | !! |
|
Fornitori di servizi di registrazione dei nomi di dominio (sotto-settore) |
! | ! | ! |
| Ricerca | ! | ! | !! |
Allegato III: Amministrazioni centrali, regionali, locali e di altro tipo
| SETTORE | grandi imprese | Medie imprese | piccole e micro imprese |
|
Pubblica Amministrazione centrale |
|||
|
Pubblica Amministrazione regionale e locale |
! | ! | ! |
Allegato IV: Ulteriori tipologie di soggetti
| SETTORE | grandi imprese | Medie imprese | piccole e micro imprese |
|
Ulteriori tipologie di soggetti |
Il decreto designa l'Agenzia per la Cybersicurezza Nazionale (ACN) come l'ente responsabile per l'attuazione del decreto, accuratamente pianificata nella Strategia nazionale per la Cybersicurezza. Oltre alla sua funzione regolamentare, l'ACN contribuisce allo scambio di informazioni con gli altri Stati membri, fungendo da punto di contatto unico NIS e rappresentando lo Stato nelle collaborazioni transfrontaliere con le altre Autorità nazionali competenti, a ulteriore dimostrazione dell'importanza che ha la collaborazione - sia tra soggetti, sia tra Stati membri - nella buona implementazione di un sistema di sicurezza informatica comune.
Considerata la vasta gamma di settori interessati dal decreto, l'implementazione è coordinata attraverso il Tavolo per l'attuazione della disciplina NIS, istituito presso l'Agenzia per la Cybersicurezza Nazionale, dove partecipano e collaborano l'Autorità centrale e le diverse autorità di settore, il cui intervento è richiesto in base all'ambito di discussione.
All'interno dell' Agenzia per la Cybersicurezza Nazionale è stato istituito un gruppo di risposta agli incidenti di sicurezza informatica (CSIRT), incaricato di monitorare gli incidenti e le crisi nel campo della cybersicurezza, oltre che diffondere informazioni rilevanti su incidenti, minacce, quasi-incidenti e preallarmi, con l'obiettivo di sensibilizzare i soggetti coinvolti e consentire loro di adottare misure preventive e correttive adeguate.
L'Agenzia per la Cybersicurezza Nazionale riveste un ruolo fondamentale non solo come collaboratore e intermediario con gli altri stati membri, ma detiene anche poteri esecutivi e sanzionatori. Questi vengono esercitati sulla base dei risultati del monitoraggio e dell'analisi dei soggetti sottoposti agli obblighi del decreto di recepimento della direttiva NIS2.
Per garantire l'applicazione di sanzioni amministrative proporzionate e per porre fine alle violazioni del decreto, l'Autorità nazionale competente NIS può servirsi di numerosi mezzi per raccogliere prove sufficienti a dimostrare l'esistenza di una violazione e di un potenziale incidente per la sicurezza informatica. Può appunto richiedere dati che attestino l'implementazione di politiche di sicurezza informatica e condurre ispezioni - in loco o a distanza - coadiuvata da esperti e funzionari.
L'autorità ha il potere di sospendere, totalmente o parzialmente, fino all'adozione delle misure correttive e alla cessazione della violazione, la certificazione o l'autorizzazione dei servizi e imporre istruzioni vincolanti per evitare il verificarsi di un incidente o per rimediarvi qualora l'evento sia già in corso.
Per quanto concerne l'azione sanzionatoria, l'Agenzia per la Cybersicurezza nazionale punisce le violazioni degli obblighi in materia di sicurezza informatica con sanzioni amministrative pecuniarie, che il decreto differenzia sulla base del grado della violazione e a seconda che il soggetto inadempiente sia essenziale o importante o altro ente.
La mancata notifica degli incidenti o l'assenza di un sistema di gestione dei rischi per la sicurezza informatica, o il mancato rispetto delle disposizioni dell'Autorità nazionale competente NIS, è punita con sanzioni fino a un massimo di 10 milioni di euro e del 2% del fatturato annuo globale per i soggetti essenziali. Per i soggetti importanti, la sanzione può raggiungere un massimo di 7 milioni di euro o l'1,4% del fatturato annuo globale.
In caso di violazioni relative alla mancata comunicazione delle informazioni o mancata implementazione degli obblighi relativi all'uso di schemi di certificazione, alla banca dei dati di registrazione dei nomi di dominio ovvero alla mancata collaborazione con l'Autorità competente in materia di sicurezza informatica, le sanzioni pecuniarie sono ridotte.
Il decreto introduce una disciplina specifica per le violazioni reiterate, prevedendo un aumento delle sanzioni fino al doppio o al triplo rispetto a quelle normalmente stabilite, a seconda che la reiterazione della violazione sia rispettivamente specifica o non specifica.
| Violazioni | Soggetti essenziali | Soggetti importanti | P.A. e soggetti ulteriori* |
|
- inosservanza degli obblighi imposti agli organi direttivi e all’ amministrazione
|
fino a euro 10.000.000 o fino a un massimo del 2% del totale fatturato annuo su scala mondiale (per l’esercizio precedente del soggetto) |
fino a euro 7.000.000 o fino a un massimo del 1,4% del totale fatturato annuo su scala mondiale (per l’esercizio precedente del soggetto) |
se soggetti essenziali: da euro 25.000 a euro 125.000 se soggetti importanti: riduzione a un terzo |
|
- mancata registrazione e comunicazione informazioni utili ai fini dell’elenco dei soggetti;
- mancata collaborazione con l’ autorità nazionale competente NIS nello svolgimento dei suoi poteri esecutivi e sanzionatori; |
fino a un massimo dello 0,1% del totale del fatturato annuo su scala mondiale per l'esercizio precedente del soggetto, |
fino a un massimo dello 0,07% del totale del fatturato annuo su scala mondiale per l'esercizio precedente del soggetto, |
pubbliche amministrazioni
|
|
- mancata o tardiva registrazione |
contestazione di tutte le suddette violazioni e applicazione della sanzione prevista per la violazione più grave aumentata del triplo |
contestazione di tutte le suddette violazioni e applicazione della sanzione prevista per la violazione più grave aumentata del triplo |
contestazione di tutte le suddette violazioni e applicazione della sanzione prevista per la violazione più grave aumentata del triplo |
|
- solo amministrazioni (Allegato III) e soggetti ulteriori(allegato IV, punto 1 e 4) : mancata osservanza degli obblighi di notifica |
|
|
applicazione solo in caso di reiterazione specifica nell'arco di cinque anni |
*soggetti ulteriori di cui all' Allegato IV ai punti:
1. Soggetti che forniscono servizi di trasporto pubblico locale (partecipati o sottoposti a controllo pubblico)
4. Società in house, società partecipate e società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n.
175.
Il recepimento della direttiva NIS2 è entrato in vigore. Tuttavia, la strada per la sua completa applicabilità è ancora lunga. L' Agenzia per la Cybersicurezza Nazionale ha scandito 3 fasi di attuazione differenti:
Per informazioni più dettagliate sugli step della normativa italiana NIS2, ecco gli step di attuazione:
Decreto legislativo n.138/2024 - recepimento della Direttiva NIS2 | LINK
Agenzia per la Cybersicurezza nazionale | LINK