Il recepimento italiano della Direttiva NIS 2 per la cybersecurity

La Direttiva NIS 2 è la risposta da parte dell’Unione Europea ai rischi che minacciano la sicurezza informatica. La normativa mira a rafforzare la protezione delle infrastrutture critiche e a garantire un livello uniforme di cybersecurity in tutti gli Stati membri.

La Direttiva è stata recepita in Italia lo scorso 4 settembre, un passo legislativo che porta con sé l’opportunità di rendere più solido e sicuro il nostro ecosistema digitale.

Scopriamo insieme cosa cambia e quali sono gli adempimenti per le imprese.

Cos’è la Direttiva NIS 2?

La Direttiva NIS 2 rappresenta un aggiornamento della Direttiva NIS del 2016. Il suo obiettivo è migliorare la resilienza e la sicurezza informatica delle organizzazioni che operano in settori essenziali e critici, un significativo passo avanti nella strategia dell’UE per la sicurezza informatica, con l’obiettivo di promuovere un quadro europeo più uniforme e coordinato. Nello specifico, la Direttiva NIS 2 punta a migliorare la resilienza delle infrastrutture critiche e la capacità di risposta agli incidenti informatici.

Il recepimento in Italia della Direttiva europea avviene con il decreto legislativo del 4 settembre 2024, n. 138, detto anche Decreto NIS, in vigore dal 16 ottobre. La normativa amplia gli obblighi relativi all’adozione di misure di sicurezza e alla segnalazione degli incidenti e potenzia le competenze delle autorità di controllo.

Il testo legislativo apporta innovazioni nella gestione del rischio da parte degli operatori, imponendo l’adozione di misure di sicurezza proporzionate e un sistema di segnalazione degli incidenti rapido ed efficace. Favorisce, inoltre, la cooperazione e lo scambio di informazioni tra le varie entità coinvolte, sia a livello nazionale che europeo.

Per garantire un’applicazione concreta ed efficiente di una normativa ambiziosa, il decreto pone particolare attenzione al supporto operativo e all’implementazione progressiva e proporzionata degli obblighi previsti.

Obiettivi principali della Direttiva NIS 2

La Direttiva NIS 2 si propone di eliminare le discrepanze nell’attuazione delle normative tra gli Stati membri.

Tra gli obiettivi principali vi sono:

• il rafforzamento della sicurezza delle reti e dei sistemi informativi: le organizzazioni devono adottare misure adeguate per gestire i rischi associati alla sicurezza delle infrastrutture digitali;
• il miglioramento della resilienza delle infrastrutture critiche: si punta a garantire la continuità operativa anche in caso di incidenti informatici;
• il potenziamento della capacità di risposta agli incidenti di cybersecurity: le imprese devono saper identificare e affrontare tempestivamente le minacce informatiche.

Ambito di applicazione

La Direttiva NIS 2 si applica principalmente a organizzazioni di medie e grandi dimensioni, escludendo le imprese con meno di 50 dipendenti o un fatturato annuo inferiore a 10 milioni di euro. Le piccole imprese sono coinvolte solo se operano in determinati settori critici e, indirettamente, se fanno parte della catena di approvvigionamento dei soggetti essenziali.

I settori coinvolti

La direttiva identifica diversi settori considerati altamente critici, tra cui:

• energia (fornitura e distribuzione di elettricità, gas e petrolio);
• trasporti (settori aereo, ferroviario, marittimo e stradale);
• bancario;
• infrastrutture dei mercati finanziari;
• sanità (strutture sanitarie, laboratori e produzione di dispositivi medici);
• infrastrutture digitali (servizi cloud, data center e reti di comunicazione elettronica).

Le novità della normativa NIS

La nuova Direttiva NIS 2 coinvolge un numero maggiore di soggetti e settori rispetto alla precedente versione. In particolare, sono stati individuati oltre 80 tipi di organizzazioni, suddivisi in 18 settori, di cui 11 sono considerati altamente critici, 3 in più rispetto alla precedente normativa, mentre 7 settori sono stati aggiunti come critici, categoria che prima non esisteva. Le nuove disposizioni si applicano ora all’intera infrastruttura ICT di un’organizzazione e non più solo alle reti e ai sistemi funzionali ai servizi essenziali.

Per quanto riguarda l’identificazione dei soggetti obbligati, la normativa introduce un meccanismo automatico di identificazione basato su criteri oggettivi. Tutte le medie e grandi imprese che appartengono ai settori individuati sono ora soggette agli obblighi della NIS 2, mentre le micro e piccole imprese ne sono escluse, salvo particolari eccezioni. L’Autorità nazionale competente per la cybersicurezza, su segnalazione delle Autorità di settore, ha poi il potere di includere ulteriori soggetti.

Obblighi per le imprese

Il rafforzamento degli obblighi di sicurezza prevede che le imprese adottino misure di protezione in almeno dieci ambiti specifici, seguendo un approccio basato sulla valutazione e sulla gestione del rischio. Inoltre, il sistema di notifica degli incidenti diventa più strutturato e dettagliato.

In particolare, le organizzazioni rientranti nell’ambito di applicazione della NIS 2 sono tenute a:

• adottare misure di sicurezza adeguate: implementare politiche e procedure per gestire i rischi legati alla sicurezza delle informazioni;
• notificare gli incidenti: comunicare tempestivamente alle autorità competenti eventuali incidenti che possano avere un impatto significativo sui servizi offerti;
• collaborare con le autorità: fornire informazioni e supporto durante le attività di monitoraggio e controllo.

Il mancato rispetto degli obblighi previsti dalla normativa può comportare sanzioni significative per le imprese, proporzionate alla gravità della violazione e alle dimensioni dell’organizzazione. Sono stati introdotti poteri ispettivi e sanzionatori più incisivi, con sanzioni che si allineano a quelle previste dal GDPR. Le autorità competenti hanno il potere di effettuare ispezioni e richiedere informazioni per verificare la conformità alla normativa.

Per le imprese, l’adeguamento alla NIS 2 non è solo un obbligo normativo, ma anche un’opportunità per rafforzare la propria sicurezza e competitività. Le aziende dovranno investire in tecnologie avanzate di cybersecurity, formare il personale e adottare strategie di gestione del rischio più efficaci.

Le imprese, oltre che effettuare valutazioni di rischio periodiche e stabilire piani di risposta agli incidenti informatici, dovranno collaborare con partner e fornitori per garantire la sicurezza lungo tutta la catena del valore.

Le tappe dell’adeguamento

Il 28 febbraio scorso è scaduto il termine per il primo adempimento, ossia la registrazione sulla piattaforma ACN da parte dei soggetti che rientrano nell’ambito di applicazione della disciplina NIS.

Una volta ricevuta la notifica di inserimento nell’elenco nazionale, i soggetti NIS dovranno avviare il processo di aggiornamento delle informazioni in conformità con l’articolo 7, commi 4, 5 e 7, del decreto NIS. In particolare, dal 15 aprile al 31 maggio, dovranno fornire tutte le informazioni richieste, che saranno ulteriormente dettagliate entro il 31 marzo 2025 con l’aggiornamento della determinazione ACN 38565 del 26 novembre 2024, e mantenerle costantemente aggiornate nel tempo.

La NIS 2 rappresenta un passo fondamentale per rafforzare la resilienza digitale dell’Europa. Le aziende che si preparano in anticipo non solo eviteranno sanzioni, ma potranno anche migliorare la propria posizione sul mercato, guadagnando la fiducia di clienti e partner.

Per maggiori informazioni, visita il sito dell’Agenzia per la cybersicurezza nazionale, l’Autorità competente NIS e punto di contatto unico > acn.gov.it

Immagine di copertina di Freepik.

Immagine nel testo di Freepik.