Direttiva NIS 2: dal Governo lo schema di Decreto attuativo

Con il Consiglio dei Ministri del 7 agosto 2024 si avvicina per l'Italia l'obbligo relativo ai nuovi adempimenti della Direttiva Network Security 2. L'abrogazione della Direttiva 2016/1148/UE e l'introduzione della NIS 2 riflette la volontà dell'Unione di adattarsi a un panorama di cybersicurezza in rapida evoluzione e riconosce, così, l'interdipendenza economica e sociale degli Stati membri e la necessità di una strategia di sicurezza informatica più inclusiva e armonizzata. La principale novità riguarda l'ambito soggettivo di applicazione che si allarga e include le imprese con almeno 250 dipendenti di determinati settori merceologici individuate negli allegati dello Schema di Decreto.

Lo schema di Decreto istituisce la Strategia nazionale di cybersicurezza e integra il quadro di gestione delle crisi informatiche, collocandolo nel contesto dell'organizzazione nazionale per la gestione delle crisi che coinvolgono aspetti di cybersicurezza, come previsto dall'art. 10, DL 4 giugno 2021, n. 82, convertito, con modificazioni, dalla L. 4 agosto 2021, n. 109. L'Agenzia per la Cybersicurezza Nazionale è confermata quale Autorità nazionale competente NIS, con poteri d'implementazione e attuazione del Decreto e funge da punto di contatto unico NIS e assicura il raccordo tra livello nazionale e transfrontaliero. L'Agenzia per la cybersicurezza nazionale unitamente al Ministero della Difesa, è designata come autorità per la gestione delle crisi informatiche su vasta scala per garantire coerenza con il quadro nazionale esistente in materia di gestione delle crisi.

Applicazione

Lo schema di Decreto si applica a una gamma diversificata di soggetti pubblici e privati, specificati negli Allegati I, II, III e IV del Decreto stesso. Gli allegati, che costituiscono parte integrante del Decreto, delineano in modo dettagliato i settori e le categorie di soggetti sottoposti alla giurisdizione nazionale ai sensi dell'art. 5.

L'art. 6 dello schema di Decreto disciplina la classificazione dei soggetti essenziali e importanti; i soggetti essenziali, come definiti dal Decreto, includono gli Enti che operano in settori di importanza critica per la sicurezza e l'economia del paese. Tali soggetti comprendono le organizzazioni che superano i massimali per le medie imprese, come stabilito nella Raccomandazione 2003/361/CE. Si tratta di aziende che operano in settori strategici quali l'energia, i trasporti e la sanità. Invero, rientrano tra i soggetti essenziali anche quelle entità che, indipendentemente dalle loro dimensioni, sono identificate come critiche ai sensi del D.Lgs. che recepisce la Direttiva 2022/2557/UE.

Si ricomprendono nei soggetti essenziali anche i fornitori di reti pubbliche di comunicazione elettronica e di servizi di comunicazione elettronica accessibili al pubblico, i prestatori di servizi fiduciari qualificati, i gestori di registri dei nomi di dominio di primo livello e i prestatori di servizi di sistema dei nomi di dominio. Rientrano nei soggetti essenziali anche le Pubbliche Amministrazioni centrali. I soggetti importanti sono definiti come quelle entità che, pur non rientrando nei criteri per essere considerate essenziali, operano comunque in settori rilevanti per la sicurezza informatica nazionale. Tali soggetti sono elencati nell'art. 3 del Decreto e includono organizzazioni che, sebbene non superino i massimali per le medie imprese o non siano identificate come critiche, devono comunque adottare misure di sicurezza informatica adeguate a proteggere le loro reti e sistemi informativi. L'Autorità nazionale competente NIS ha il compito di individuare ulteriori soggetti essenziali, secondo modalità specificate nel Decreto. Il processo d'identificazione ha lo scopo di fare in modo che tutte le entità rilevanti, indipendentemente dalle loro dimensioni, siano sottoposte a misure di sicurezza appropriate per proteggere la sicurezza nazionale e la continuità dei servizi essenziali. Il Decreto classifica i soggetti in base alla loro importanza strategica e al settore in cui operano, dalla classificazione ne discendono obblighi di sicurezza differenziati in virtù della funzione per garantire un adeguamento bilanciato degli oneri derivanti dalla normativa.

Gli adempimenti

Per quanto riguarda, invece, gli adempimenti previsti dal Decreto, questi si possono classificare principalmente in oneri procedurali e obblighi di gestione del rischio. Riguardo ai primi, i soggetti obbligati dalla normativa saranno tenuti a registrarsi o aggiornare la propria registrazione annualmente sulla piattaforma digitale dell'Autorità. L'obbligo di notifica che impone una comunicazione tempestiva all'Autorità per il verificarsi di incidenti di sicurezza, inoltre, impone anche all'organizzazione destinataria della normativa l'implementazione di procedure (tanto interne, quanto esterne) di gestione della notifica.

Per quanto attiene agli obblighi relativi alla gestione del rischio, gli Enti saranno tenuti ad adottare politiche di sicurezza, piani di emergenza, e procedure per la gestione delle vulnerabilità e degli incidenti attraverso misure tecniche e organizzative adeguate. Sono richiesti audit periodici per verificare la conformità agli obblighi di sicurezza informatica. Centrale sarà la sicurezza della catena di approvvigionamento per garantire la sicurezza dei prodotti e servizi TIC, inclusi i requisiti di sicurezza negli appalti pubblici e nella gestione delle vulnerabilità.

La collaborazione

Tra gli obblighi rientra l'onere di collaborazione con le Autorità competenti e per condividere informazioni su rischi, minacce e incidenti per supportare una risposta coordinata a livello nazionale e transfrontaliero. In tale disegno, è prevista la possibilità di partecipare ai gruppi di cooperazione NIS per facilitare il coordinamento e la condivisione delle informazioni.

Le disposizioni previste dal Decreto si applicheranno a partire dal 18 ottobre 2024, i termini degli obblighi di registrazione sono, invece, definiti dall'art. 42 e si differenziano sulla base della natura degli operatori (essenziali e importanti).

Monitoraggio

Il Capo V definisce i poteri di monitoraggio, sorveglianza ed esecuzione da parte dell'Autorità: il regime d'intervento sanzionatorio e provvedimentale seguirà il criterio della gradualità. In particolare, sono considerate gravi le violazioni ripetute, la mancata notifica d'incidenti significativi, il mancato rimedio a tali incidenti, il mancato rispetto delle istruzioni vincolanti emesse dall'Autorità, l'ostacolo alle attività di vigilanza e la fornitura d'informazioni false o gravemente inesatte. La durata della violazione rappresenta un altro indicativo critico unitamente ad eventuali precedenti violazioni commesse dal soggetto interessato che possono influenzare la severità delle misure adottate. Il danno materiale o immateriale causato, comprese le perdite finanziarie, gli effetti sugli altri servizi e il numero di utenti interessati costituirà un ulteriore elemento per valutare l'impatto complessivo della violazione.

Sono previsti, inoltre, audit sulla sicurezza ad opera di organismi indipendenti e si basano su valutazioni del rischio effettuate dall'Autorità o dal soggetto sottoposto ad audit, o su altre informazioni disponibili in relazione ai rischi. L'Autorità potrà richiedere di acquisire gli esiti di tali audit e scansioni di sicurezza, i cui costi resteranno a carico del soggetto sottoposto ad audit, salvo alcuni ipotesi, conformi al piano di risposta agli incidenti e alle crisi informatiche su vasta scala.