La nuova direttiva europea NIS 2 rappresenta un significativo passo avanti nella regolamentazione della sicurezza informatica, ma al contempo introduce nuove complessità per le organizzazioni che operano in settori critici e rilevanti. Il Decreto Legislativo n. 138/2024, con cui l’Italia ha recepito la Direttiva (UE) 2022/2555, ha ampliato e approfondito gli obblighi e le responsabilità in materia di sicurezza cibernetica.
Entrato in vigore il 16 ottobre 2024, questo provvedimento impone alle imprese di implementare misure proporzionate per proteggere i sistemi informativi, segnalare gli incidenti con tempistiche precise e garantire un controllo rigoroso sui fornitori critici. Tali obblighi riflettono un approccio più ampio e pervasivo rispetto alla normativa precedente, mirato a rafforzare la resilienza dell’intero sistema economico e sociale europeo di fronte alle crescenti minacce informatiche.
L’obiettivo di questa analisi è esaminare le principali novità introdotte dal decreto, esplorando le implicazioni operative e le questioni interpretative che le aziende devono affrontare per garantire la conformità.
1. Ambito di applicazione e soggetti destinatari
La direttiva NIS 2 si distingue per un ampliamento significativo dell’ambito di applicazione. Questa espansione si basa su due direttrici principali:
- Ampliamento dei settori coinvolti, inclusi quelli ad alta criticità e rilevanza strategica.
- Integrazione di nuovi soggetti nella catena di fornitura, riconoscendo il loro ruolo chiave nella resilienza cibernetica complessiva.
Il decreto definisce i settori interessati attraverso quattro allegati:
- Allegato I: Settori ad alta criticità come energia, trasporti, sanità, infrastrutture digitali e spazio.
- Allegato II: Settori rilevanti, tra cui gestione dei rifiuti, produzione di alimenti e dispositivi medici.
- Allegati III e IV: Settori specifici per il contesto italiano, come le amministrazioni pubbliche, il trasporto pubblico locale e gli istituti di ricerca.
Inoltre, la normativa introduce una classificazione dettagliata basata sulle dimensioni delle organizzazioni:
- Soggetti essenziali: Grandi imprese nei settori critici (Allegato I).
- Soggetti importanti: Medie imprese nei settori rilevanti (Allegato II).
Le organizzazioni con meno di 50 dipendenti e un fatturato inferiore a 10 milioni di euro sono generalmente escluse, salvo eccezioni specifiche previste dal decreto.
2. Focus sulla gestione della supply chain
Un aspetto cruciale della NIS 2 è l’attenzione rivolta alla catena di approvvigionamento. La sicurezza della supply chain è considerata un elemento centrale per garantire la resilienza cibernetica complessiva. Il decreto introduce obblighi specifici per il monitoraggio e la qualificazione dei fornitori critici, indipendentemente dalle loro dimensioni.
Le organizzazioni devono condurre analisi approfondite sui fornitori, valutandone non solo le vulnerabilità tecniche, ma anche la qualità complessiva delle pratiche di sicurezza e delle procedure di sviluppo sicuro. Inoltre, la normativa consente all’autorità nazionale competente di classificare i fornitori critici come soggetti essenziali, qualora il loro ruolo sia particolarmente rilevante.
Questo approccio riconosce l’interconnessione dei sistemi informativi moderni e la necessità di un controllo efficace su tutti i livelli della catena di fornitura.
3. Obblighi di notifica e gestione degli incidenti
La gestione degli incidenti cibernetici è un pilastro fondamentale della normativa NIS 2. Il decreto richiede alle organizzazioni di adottare un approccio strutturato alla gestione del rischio, implementando misure tecniche e organizzative proporzionate alle specificità dimensionali e settoriali.
Il sistema di notifica degli incidenti è articolato in tre fasi principali:
- Notifica preliminare (entro 24 ore):
Deve contenere informazioni essenziali per consentire al CSIRT Italia di avviare un’analisi dell’incidente, come la natura dell’evento e i potenziali impatti. - Notifica dettagliata (entro 72 ore):
Fornisce una valutazione approfondita dell’incidente, incluse le misure adottate per contenerlo e i dettagli sulle vulnerabilità sfruttate. - Relazione finale (entro un mese):
Presenta un quadro completo, con analisi delle cause, impatti effettivi, misure correttive adottate e piani per prevenire il ripetersi dell’incidente.
In caso di incidenti che coinvolgano la supply chain, l’organizzazione colpita deve informare tempestivamente i fornitori critici e le parti potenzialmente interessate, previa consultazione con il CSIRT Italia.
4. Sistema di registrazione e sanzioni
A partire dal 1° dicembre 2024, le organizzazioni essenziali e importanti devono registrarsi sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN), nominando un punto di contatto NIS 2 e fornendo una dichiarazione sullo stato delle loro pratiche di sicurezza.
Il sistema sanzionatorio è particolarmente severo:
- Soggetti essenziali: Fino a 10 milioni di euro o il 2% del fatturato annuo mondiale.
- Soggetti importanti: Fino a 7 milioni di euro o l’1,4% del fatturato annuo mondiale.
Sono previste anche sanzioni accessorie, come la sospensione di certificazioni o l’interdizione temporanea di dirigenti coinvolti in violazioni gravi.
5. Sfide e priorità operative
La conformità alla NIS 2 richiede un’accurata pianificazione. Tra le priorità operative:
- Gap analysis: Identificare le lacune rispetto ai requisiti normativi.
- Aggiornamento delle procedure interne: Rivedere le policy di gestione degli incidenti e i contratti con i fornitori.
- Formazione del personale: Garantire che le competenze tecniche e organizzative siano adeguate alle nuove sfide.
Un’implementazione efficace dipende da un approccio multidisciplinare, che integri competenze tecniche, legali e di business continuity.