CYBERSECURITY: RECEPITA IN ITALIA LA DIRETTIVA NIS2

È stato pubblicato nella Gazzetta Ufficiale del 1° ottobre 2024 il Decreto Legislativo 4 settembre 2024, n. 138 che recepisce la Direttiva (UE) 2022/2555, nota come NIS2. Questo decreto, entrato in vigore il 16 ottobre 2024, stabilisce misure per garantire un elevato livello di sicurezza informatica in Italia, contribuendo a rafforzare la cybersecurity a livello europeo.

Mettiamo a disposizione il testo del decreto, scaricabile gratuitamente in allegato.

CAMPO DI APPLICAZIONE DELLA NIS2: AMPLIAMENTO DEI SETTORI COINVOLTI

Il Decreto Legislativo 138/2024 recepisce per la Cybersecurity la Direttiva NIS2 “Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n.  910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148” ha visto un significativo ampliamento del campo di applicazione rispetto alla normativa precedente (Direttiva NIS – Network and Information Security del 2016).

I settori coinvolti sono suddivisi in “altamente critici” (allegato I del decreto legislativo) e “critici” (allegato II del decreto legislativo), e i soggetti sono distinti tra essenziali e importanti in base al livello di criticità intrinseca dei settori e delle tipologie di soggetti in relazione al rischio informatico.

SETTORI ALTAMENTE CRITICI:

1. Energia: elettricità, gas, petrolio, idrogeno.
2. Trasporti: aerei, ferrovie, strade, vie navigabili, porti e aeroporti.
3. Banche.
4. Infrastrutture dei mercati finanziari.
5. Sanità: ospedali, cliniche, laboratori di analisi.
6. Acqua potabile e distribuzione idrica.
7. Acque reflue.
8. Infrastrutture digitali: data center, DNS, reti di comunicazione elettronica.
9. Amministrazioni pubbliche.
10. Spazio: infrastrutture satellitari.

SETTORI CRITICI:

1. Servizi postali e di corriere.
2. Gestione dei rifiuti, inclusi rifiuti pericolosi.
3. Fabbricazione di sostanze chimiche.
4. Fabbricazione di alimenti.
5. Fabbricazione di macchinari critici, quali dispositivi medici, computer e prodotti di elettronica e ottica, ecc.
6. Fornitori di servizi digitali: piattaforme, marketplace, motori di ricerca.
7. Organizzazioni di ricerca.

Questo ampliamento coinvolge circa 50.000 nuovi soggetti, secondo stime dell’Agenzia per la Cybersicurezza Nazionale (ACN).

OBBLIGHI SULLA CYBERSECURITY PREVISTI DALLA DIRETTIVA NIS2 PER LE ORGANIZZAZIONI

Le organizzazioni pubbliche o private interessate dalla nuova direttiva NIS2 per la cybersecurity devono adottare misure specifiche, in particolare, il D.Lgs. 138/2024 introduce i seguenti obblighi per i soggetti che si riconoscono in uno dei settori/sottosettori/tipologie previsti dalla nuova direttiva NIS2:

• Registrazione e aggiornamento dati (articolo 7): le organizzazioni devono registrarsi sulla piattaforma messa a disposizione dall’ACN, fornendo dati aggiornati e identificando un punto di contatto.
• Responsabilità degli organi direttivi (articolo 23): gli organi di amministrazione devono supervisionare l’implementazione delle misure e rispondere di eventuali violazioni.
• Misure di sicurezza informatica (articolo 24): adozione di misure tecniche, operative e organizzative adeguate e proporzionate per la gestione dei rischi, tra cui analisi, gestione incidenti, sicurezza della catena di approvvigionamento e formazione del personale in materia di sicurezza informatica.
• Notifica degli incidenti (articolo 25): gli incidenti significativi devono essere notificati al CSIRT Italia (Computer Security Incident Response Team) entro 24 ore (pre-notifica), 72 ore (notifica completa) e un mese (relazione finale).
• Banca dati di registrazione di nomi di dominio (articolo 29): obblighi specifici per i gestori di domini per garantire dati accurati e completi.

RUOLO DELL’AGENZIA PER LA CYBERSICUREZZA NAZIONALE (ACN)

Il decreto conferma l’ACN come Autorità nazionale competente NIS e Punto di contatto unico NIS ai sensi della Direttiva (UE) n. 2022/2555 (FAQ 1.1), svolgendo una funzione di collegamento per garantire la cooperazione transfrontaliera delle autorità nazionali con le autorità pertinenti degli altri Stati membri, la Commissione e l’ENISA.

Tra i principali compiti dell’ACN troviamo:

• sovrintendere all’implementazione e all’attuazione del decreto per recepire la Direttiva NIS2 per la cybersecurity;
• svolgere le funzioni e le attività di regolamentazione di cui al d.lgs. 138/2024, anche adottando linee guida, raccomandazioni e orientamenti non vincolanti;
• elaborare e adottare l’elenco dei soggetti NIS;
• partecipare al Gruppo di cooperazione NIS, nonché ai consessi e alle iniziative promosse a livello di Unione europea per l’attuazione della Direttiva (UE) n. 2022/2555;
• definire gli obblighi di cui all’articolo 7, comma 6, e al capo IV. (Obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente);
• svolgere le attività ed esercita i poteri di monitoraggio, vigilanza ed esecuzione.

PROSSIMI PASSI PER LE ORGANIZZAZIONI: QUALI SONO LE PRINCIPALI SCADENZE?

Tutte le organizzazioni pubbliche e private rientranti nel campo di applicazione NIS devono registrarsi sulla piattaforma dedicata ACN tra il 1° gennaio e il 28 febbraio di ogni anno, con prima scadenza fissata quindi già al 28 febbraio 2025.

Tuttavia, per fornitori di servizi specifici (domini, cloud, data center, mercati online, motori di ricerca, social network), la registrazione è obbligatoria entro il 17 gennaio 2025.

In fase di prima applicazione, al fine di agevolare i soggetti, sarà possibile avviare il processo di registrazione già a partire dal 1° dicembre 2024.

I soggetti pubblici e privati rientranti nel D.Lgs. 138/2024 (NIS) devono rispettare gli obblighi previsti, inclusa la registrazione sulla piattaforma ACN. L’Agenzia analizzerà le registrazioni e comunicherà l’inserimento nell’elenco dei soggetti essenziali o importanti entro il 31 marzo 2025. Ad aprile 2025, notificherà ai registrati se rientrano nell’ambito del decreto, chiarendo la loro posizione normativa.

COME REGISTRARSI SULLA PIATTAFORMA ACN?

Dal 1° dicembre 2024 è attiva la piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN) per la registrazione obbligatoria delle organizzazioni pubbliche o private rientranti nella normativa NIS. La registrazione è gestita autonomamente e prevede la designazione di un punto di contatto, responsabile della procedura e delle comunicazioni con l’ACN.

Il punto di contatto accede alla piattaforma con l’identità digitale SPID e il processo successivo comprende:

• Associazione del punto di contatto all’organizzazione (tramite codice fiscale o codice IPA).
• Convalida tramite PEC inviata dall’ACN all’organizzazione.
• Inserimento dei dati dell’organizzazione e autovalutazione, da parte del punto di contatto, dello status dell’organizzaizone come “essenziale”, “importante” o “fuori ambito”.

Entro aprile 2025, l’ACN notificherà il risultato della valutazione al domicilio digitale dei registrati.