NIS2: l’Italia recepisce la direttiva, rafforzando la sicurezza informatica nazionale
Anche l’Italia recentemente si è allineata alla direttiva europea NIS2, approvando lo schema di decreto legislativo che include le misure della Strategia Nazionale di Cybersicurezza, la definizione di soggetti critici e gli obblighi specifici per soggetti essenziali e importanti. Il decreto, in sostanza allinea gli standard italiani a quelli europei. Ricordiamo che la normativa NIS2 è la seconda versione della Direttiva sulla Sicurezza delle Reti e dell’Informazione (NIS), introdotta dall’Unione Europea per rafforzare la resilienza e la sicurezza informatica delle infrastrutture critiche. La NIS2, emanata il 27 dicembre 2022, mira a colmare le lacune della precedente normativa NIS1 per rispondere alle crescenti minacce informatiche in un panorama digitale sempre più complesso e interconnesso.
Gli obiettivi della Normativa NIS2
Lo schema del decreto legislativo introduce diverse misure specifiche, tra cui l’individuazione dei soggetti critici, la valutazione del rischio, l’adozione di misure di sicurezza e la collaborazione tra autorità nazionali. L’obiettivo principale della NIS2 è garantire un elevato livello comune di sicurezza delle reti e dei sistemi informativi all’interno dell’Unione Europea. Questo obiettivo viene perseguito attraverso:
- Ampliamento del campo di applicazione: La NIS2 estende il campo di applicazione rispetto alla direttiva precedente, includendo più settori e servizi essenziali per l’economia e la società.
- Rafforzamento dei requisiti di sicurezza: Le aziende devono adottare misure tecniche e organizzative adeguate a gestire i rischi informatici, inclusi l’implementazione di sistemi di gestione della sicurezza delle informazioni (ISMS), la protezione delle reti, il controllo degli accessi e la gestione delle vulnerabilità.
- Miglioramento della resilienza e della risposta agli incidenti: Le organizzazioni devono avere piani di continuità operativa e di ripristino di emergenza, nonché procedure per la gestione degli incidenti di sicurezza informatica.
- Collaborazione e condivisione delle informazioni: La normativa promuove una maggiore cooperazione tra gli Stati membri dell’UE e incoraggia la condivisione delle informazioni sui rischi e sugli incidenti di sicurezza informatica.
Chi deve Adottare la Normativa NIS2 in Italia?
La direttiva NIS 2 si rivolge a entità essenziali ed entità importanti. Le imprese sono considerate essenziali se operano in uno dei settori ad alta criticità elencati nell’Allegato 1 e hanno più di 250 dipendenti o un fatturato annuo superiore a 50 milioni.
Settori ad Alta Criticità (Allegato 1)
- Energia: Elettricità, petrolio, gas, idrogeno, riscaldamento e raffreddamento
- Trasporti: Strada, ferrovia, aria e acqua
- Bancario: Banche, borse, istituzioni finanziarie
- Sanità: Ospedali, laboratori, centri di ricerca, farmacie e dispositivi medici
- Acqua: Acque reflue e acqua potabile
- Infrastruttura digitale: Data center, cloud computing, fornitori DNS ecc.
- Servizi ICT: Servizi gestiti e servizi di sicurezza gestiti
- Pubblica amministrazione: Entità governative centrali e regionali
- Spazio: Operatori di infrastrutture terrestri
Altri Settori Critici (Allegato 2)
- Posta e corrieri: Spedizione di posta e pacchi
- Gestione dei rifiuti: Raccolta, trattamento e riciclaggio dei rifiuti
- Prodotti chimici: Produzione e distribuzione di prodotti chimici
- Alimentare: Produzione, lavorazione e distribuzione di generi alimentari
- Manifatturiero: Produttori di dispositivi medici, macchinari, veicoli e dispositivi elettrici/elettronici
- Servizi digitali: Motori di ricerca, mercati online e reti sociali
- Ricerca: Organizzazioni di ricerca
Le aziende che non sono considerate essenziali, ma appartengono comunque a uno dei settori elencati nell’Allegato 1 o nell’Allegato 2 e hanno più di 50 dipendenti o un fatturato annuo superiore a 10 milioni di Euro sono considerate entità importanti. In altre parole, la distinzione tra entità essenziali e importanti è la seguente:
- Entità essenziali: Grandi aziende (>250 dipendenti) in un settore dell’Allegato 1.
- Entità importanti: Aziende di medie dimensioni (>50 dipendenti) dell’Allegato 1 e aziende grandi e medie dell’Allegato 2.
Le aziende con meno di 50 dipendenti possono comunque essere soggette alla NIS 2 se sono l’unico fornitore di un servizio essenziale all’interno di uno Stato membro o se l’interruzione del loro servizio avrebbe un impatto significativo sulla sicurezza pubblica o sulla salute. Inoltre, le pubbliche amministrazioni e alcuni servizi digitali rientrano nella NIS 2 indipendentemente dalle loro dimensioni.
Quali sono gli obblighi per le imprese coinvolte dalla NIS2?
Le aziende che rientrano nel campo di applicazione della NIS2 devono:
- Condurre Valutazioni dei Rischi: ossia identificare e valutare i rischi associati ai loro sistemi informativi e implementare misure adeguate a mitigare tali rischi.
- Implementare Misure di Sicurezza: adottare misure tecniche e organizzative per garantire la sicurezza delle loro reti e sistemi informativi, in linea con le migliori pratiche del settore.
- Monitorare e Segnalare gli Incidenti: stabilire processi per la rilevazione, la gestione e la segnalazione degli incidenti di sicurezza informatica alle autorità competenti.
- Formazione e Sensibilizzazione: Formare il personale sulle pratiche di sicurezza informatica e sensibilizzare sull’importanza della protezione dei dati e delle infrastrutture critiche.
- Continuità operativa e gestione backup e ripristino: stabilire procedure per il ripristino in tempi rapidi dell’operatività aziendale a seguito di eventi disastrosi.
Le misure della direttiva NIS2 sono obbligatorie?
Il decreto legislativo di attuazione della NIS2 prevede elementi di attenzione ben precisi per il comparto manageriale:
- Gli organi direttivi delle entità essenziali e importanti devono mettere in campo azioni concrete di gestione del rischio cyber per conformarsi alle misure minime di sicurezza cibernetica previste della Direttiva NIS2 (Articolo 21).
- Questi ne supervisionano l’attuazione e possono essere ritenuti responsabili per le violazioni di tale articolo da parte del soggetto di controllo, che nel caso dell’Italia è l’Agenzia per la Cybersicurezza Nazionale (ACN), che ha costituito al suo interno un’apposita divisione dedicata ad effettuare i controlli e a comminare le sanzioni.
- I manager, pubblici o privati, dei soggetti interessati dalla NIS2 sono tenuti a formarsi, anche attraverso corsi e dovrebbero incoraggiare le proprie organizzazioni di appartenenza a fornire regolarmente una formazione analoga verso i propri dipendenti.
Conclusioni
In un mondo sempre più digitale e connesso, la sicurezza informatica non è solo una necessità tecnica, ma un imperativo strategico per la sicurezza, la continuità e il successo a lungo termine dell’Unione Europea. Attraverso l’adozione delle misure previste dalla NIS2, le organizzazioni saranno in grado di migliorare la loro capacità di prevenire, rilevare e rispondere alle minacce informatiche, proteggendo così i loro asset e la fiducia dei loro clienti.
Con soluzioni e tecnologie all’avanguardia, che rispondono ai più stringenti requisiti di sicurezza imposti dalla normativa NIS2 siamo in grado di accompagnare le imprese coinvolte nell’adozione di tutti i requisiti previsti, garantendo protezione e compliance in tutta la catena del valore.
Articolo a cura di Pier Ogliari
CTO G&B Group