Gli ultimi giorni sono stati molto fitti di avvenimenti per i soggetti in perimetro Direttiva NIS 2.
Ecco i dettagli emersi dall’emanazione da parte di ACN della Determinazione 136118/2025, relativa agli accordi di condivisione di informazione su base volontaria.
Indice degli argomenti
Framework nazionale per la Cybersecurity e la Data Protection versione 2.1
Prima di tutto le tanto attese PEC di conferma o meno della correttezza della valutazione di essere in perimetro da parte dei soggetti che si sono registrati in piattaforma ACN.
Queste PEC confermano, fra l’altro, che anche la gestione di servizi ICT solamente infragruppo è in perimetro.
Abbiamo poi la pubblicazione del Framework nazionale per la Cybersecurity e la Data Protection versione 2.1. Framework atteso perché già le bozze di Obblighi di base, che a suo tempo erano state condivise con i vari tavoli di lavoro, facevano evidentemente riferimento a un framework aggiornato coerente con Cybersecurity Framework del NIST versione 2.0, e quindi sarebbe stato necessario, conseguentemente, l’aggiornamento del framework nazionale. Questo aggiornamento mette nuovamente in evidenza l’anomalia costituita dalla Legge 90/2024, e dalle corrispondenti “Linee Guida per il rafforzamento della resilienza”.
La legge 90/2024 è evidentemente un’anticipazione dei temi della NIS 2, principalmente per le pubbliche amministrazioni, ed è stata emanata pochi mesi prima del recepimento della NIS 2 con il D.Lgs. 138/2024.
Di conseguenza, impone ai soggetti ai quali si applica una serie di obblighi che non sono coordinati efficacemente con la NIS 2.
Le Linee Guida in particolare sono basate sulla vecchia versione del framework nazionale, oltre ad essere comunque un obbligo aggiuntivo rispetto a quanto previsto per la NIS 2.
Un coordinamento fra le due norme non è particolarmente difficile, ma è un’ulteriore complessità che si aggiunge alle tante che devono già essere affrontate.
Determinazione NIS 2 di ACN sulla condivisione di informazioni
Sempre in questi giorni abbiamo poi l’emanazione da parte di ACN della Determinazione 136118/2025, relativa agli accordi di condivisione di informazione su base volontaria.
Dato il titolo, potrebbe passare inosservata, ma questa determinazione affronta il tema, per certi versi curioso, della condivisione di informazioni di cui all’art. 17 del D.Lgs 138/2024, e previsto dall’art. 29 della Direttiva NIS2. Dico curioso, perché questo articolo dovrebbe presumibilmente favorire lo scambio volontario di informazioni fra pari, tipicamente nell’ambito dei cosiddetti ISAC, scambio che è generalmente considerato molto utile per aumentare la capacità dei diversi soggetti di affrontare le minacce esistenti.
Questa attività, volontaria e fra soggetti privati e che dovrebbe essere favorita, è diventata un onere. L’art. 17 infatti inizia con un curioso “I soggetti che rientrano nell’ambito di applicazione del presente decreto e laddove opportuno anche ulteriori soggetti, possono scambiarsi, su base volontaria, pertinenti informazioni sulla sicurezza informatica…”. Come se si trattasse di informazioni coperte da qualche forma di segreto o controllo da parte dello Stato, il quale concede ai soggetti in perimetro la possibilità di scambiarsele.
Una forma diversa da quella della Direttiva NIS 2, che parla di assicurare che i soggetti “siano in grado di scambiarsi, su base volontaria” ovvero un’azione di facilitazione.
L’intenzione di regolamentare uno scambio di informazioni “potenzialmente sensibili” si trova al comma 2, che recita: “Lo scambio di informazioni di cui al comma 1 avviene nell’ambito di comunità di soggetti essenziali e di soggetti importanti e, se opportuno, nell’ambito dei loro fornitori o fornitori di servizi. Tale scambio è attuato mediante accordi di condivisione delle informazioni sulla sicurezza informatica che tengono conto della natura potenzialmente sensibile delle informazioni condivise”.
Questa dizione sembra portare in perimetro gli accordi con i fornitori che prevedono lo scambio di informazioni su incidenti, ovvero, se il soggetto gestisce bene la propria sicurezza e conformità, i contratti con i fornitori.
Al comma 4 si trova però la parte peggiore, ovvero, in questo caso coerentemente con il comma 4 dell’art. 29 della direttiva NIS 2, che “I soggetti essenziali e i soggetti importanti notificano all’Autorità nazionale competente NIS la loro partecipazione agli accordi di condivisione delle informazioni sulla sicurezza informatica di cui al comma 2 al momento della conclusione di tali accordi o, ove applicabile, del loro ritiro da tali accordi, una volta che questo è divenuto effettivo”.
A fronte di questo requisito, l’ACN non poteva che dare delle indicazioni sulle modalità di notifica di queste informazioni, cosa che fa con la suddetta determinazione.
Ad aumentare ulteriormente la complessità, l’art. 4 della determinazione precisa che questi elenchi devono essere mantenuti aggiornati notificando “qualsiasi modifica, ivi incluse la sottoscrizione di nuovi accordi, la risoluzione degli accordi già sottoscritti, le variazioni del testo o dei partecipanti, tempestivamente e, in ogni caso, entro quattordici giorni dalla data della modifica”. Abbastanza da assicurare che i soggetti in perimetro includano nei propri rapporti con i fornitori accordi sullo scambio di informazioni e la gestione di incidenti solo dove strettamente necessario.
Il tutto, è bene precisarlo di nuovo, parte dalla Direttiva NIS2, dove una cattiva formulazione o un eccessivo desiderio di informazioni si trasformano in una grossa complessità da gestire per i soggetti in perimetro.
La determinazione NIS 2 di ACN sulle modalità di registrazione alla piattaforma
Sempre fra le determinazioni appena pubblicate, abbiamo poi l’aggiornamento delle modalità di registrazione alla piattaforma, necessario per affrontare gli obblighi di inserimento di ulteriori informazioni con scadenza 31 maggio.
Qui abbiamo prima di tutto l’utile inserimento del ruolo di “segreteria”, da attribuire presumibilmente ad una figura più junior che curi materialmente l’inserimento di informazioni in piattaforma. Questa figura è utile particolarmente in considerazione della mole di informazioni relative agli IP pubblici e nomi di dominio che alcuni soggetti dovranno inserire.
Qui, per molti soggetti l’onere importante sarà spesso l’attività di censimento (la cui necessità è nota peraltro da mesi). Un esempio storico di difficoltà da questo punto di vista sono i domini registrati dalle funzioni commerciali riconducibili a possibili nomi di nuovi prodotti, che poi, se il prodotto avrà un nome diverso, vengono abbandonati a sé stessi, senza che la Direzione ICT ne venga neppure a conoscenza, ma che rimangono comunque riconducibili all’azienda.
L’elenco dei componenti degli organi di amministrazione e direttivi
L’altro grosso tema che però sta creando fibrillazione in questo periodo è quello dell’elenco “dei componenti degli organi di amministrazione e direttivi, quali persone fisiche responsabili ai sensi dell’articolo 38, comma 5, del decreto NIS”, che richiederebbe una maggiore chiarezza su cosa siano in particolare questi organi.
Obblighi di base: la terza determinazione NIS 2 di ACN
Il documento più corposo è la determinazione 164179 che definisce, nella sostanza, gli obblighi di base, ovvero le misure di sicurezza tecniche e organizzative che i soggetti in perimetro NIS 2 devono adottare, dettagliati negli allegati 1 e 2 rispettivamente per i soggetti importanti ed essenziali, nonché una tassonomia degli incidenti significativi negli allegati 3 e 4.
Partendo da questi ultimi, chi sperava in un chiarimento di cosa sia un incidente significativo con un dettaglio analogo a quello del Regolamento di esecuzione UE/2690/2024 (che, ricordiamo, si applica ad esempio a tutti quei soggetti individuati in questi mesi come fornitori di servizi ICT gestiti), è rimasto probabilmente deluso.
I due allegati sono infatti molto scarni e, se applicati così come sono, comportano la notifica allo CSIRT della quasi totalità degli incidenti di cyber security, anche minori, che un’azienda possa avere.
Viceversa, se gli incidenti vanno comunque filtrati secondo la definizione data dall’art. 25 comma 4 del D.Lgs. 138/2024, allora permane la poca chiarezza su cosa sia una “grave perturbazione operativa” e se debba essere considerata qualsiasi perdita finanziaria.
Al centro della determinazione ci sono però gli allegati 1 e 2, ovvero i tanto attesi (e temuti) obblighi di base, che indirizzeranno buona parte degli interventi e degli investimenti in cyber security nei prossimi anni.
Insieme agli analoghi documenti degli altri paesi europei (quando si decideranno a recepire a loro volta la Direttiva), costituiranno di fatto anche un riferimento e benchmark per i livelli di sicurezza minimi attesi per un’azienda europea, con un impatto non solo sulle filiere di fornitura ai soggetti in perimetro, ma di fatto sulla totalità delle aziende.
Rispetto alle bozze circolate nei diversi tavoli di lavoro, si nota certamente il recepimento di indicazioni volte a migliorare i singoli controlli, come anche, tutto sommato comprensibilmente considerando il periodo, una certa frettolosità in alcune modifiche.
Le differenze fra soggetti essenziali ed importanti
Complessivamente, gli obblighi di base sembrano adeguatamente differenziati fra soggetti essenziali ed importanti, considerando che fra questi ultimi ci sono moltissime medie imprese con una bassa maturità su questi temi e risorse limitate da investire, ma questo non vuole dire che non si tratti di interventi spesso ampi ed impegnativi anche per queste ultime.
Si nota l’attenzione a confermare che i rischi di cyber security devono essere considerati rischi aziendali (in particolare con il controllo GV.RM-03), ma nello stesso tempo non vi sono particolari indicazioni sulla struttura organizzativa per la gestione della cyber security, cosa che invece avrebbe dato ai soggetti interni alle aziende una ulteriore leva per ribadire la rilevanza del ruolo e del tema.
Per quanto riguarda le singole misure, c’è sicuramente un onere importante in termini di adempimenti formali (documentazione, censimenti eccetera), ma anche l’attenzione a strutturare un sistema di gestione complessivo.
La continuità operativa
L’approccio è fortemente orientato alla gestione del rischio, coerentemente con le buone pratiche di settore, con poche misure tecnologiche specificamente indicate.
Fra gli ambiti più onerosi c’è sicuramente il tema, centrale, della continuità operativa che, seppure le indicazioni siano abbastanza generali, comporta azioni ampie e che coinvolgono tutta l’azienda. Le aziende più strutturate si troveranno probabilmente già conformi a buona parte dei requisiti, anche se difficilmente per qualcuno non ci saranno azioni da fare.
Per contro, le aziende meno mature dovranno comunque lavorare molto, ed è bene che si attivino fin da ora.
Rimane sempre il nodo dei soggetti più piccoli, che saranno in difficoltà ad affrontare questi requisiti. Per questi soggetti, può certamente essere opportuno provare ad appoggiarsi ad associazioni imprenditoriali, dato che interi settori sono interessati con requisiti simili, quando non identici fra le diverse aziende del settore, e quindi potendo definire dei framework che i singoli soggetti possono adottare con una personalizzazione e quindi un onere più limitato.
Certamente, al rientro dalle ferie pasquali ci sarà molto da fare per tutti, ma possiamo dire che d’ora in poi il percorso che dovrà essere seguito almeno nei prossimi due anni è sostanzialmente tracciato.
