Direttiva NIS 2

La Direttiva NIS 2 (Network and Information Security 2) è la nuova direttiva europea sulla cybersecurity che rafforza e aggiorna la precedente direttiva NIS del 2016. Entrata in vigore il 17 gennaio 2023, rappresenta un importante passo verso la definizione della strategia per la cyber sicurezza dell'Unione Europea. Il suo scopo principale è migliorare il livello di resilienza e sicurezza informatica degli Stati membri dell'UE, predisponendo risposte coordinate e innovative per garantire la continuità dei servizi digitali in caso di incidenti di sicurezza. La NIS 2 nasce da una profonda revisione della precedente Direttiva NIS che, pur avendo contribuito allo sviluppo delle capacità di cybersecurity dell'Unione, ha rivelato carenze che impedivano di affrontare efficacemente le sfide attuali ed emergenti in materia di sicurezza informatica. La nuova direttiva mira a creare un quadro normativo più uniforme e coordinato, eliminando le divergenze nell'attuazione tra gli Stati membri e aggiornando l'elenco dei settori e delle attività soggetti agli obblighi in materia di cybersecurity.

FAQ generata da AI

La Direttiva NIS 2 si applica a un ampio spettro di soggetti, categorizzati come "soggetti essenziali" e "soggetti importanti", superando la precedente distinzione tra operatori di servizi essenziali e fornitori di servizi digitali. Tra i settori essenziali troviamo: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile e infrastrutture digitali. La direttiva estende inoltre la sua applicazione a fornitori di servizi digitali in settori come: servizi cloud, data center, fornitori di reti di distribuzione dei contenuti, servizi fiduciari e altri servizi digitali. La NIS 2 include anche "altri settori critici" come servizi postali, gestione rifiuti, produzione di sostanze chimiche, alimenti, dispositivi medici, computer ed elettronica, macchinari e veicoli, nonché fornitori di servizi digitali e ricerca.

Per la categorizzazione, viene adottato il criterio della dimensione del soggetto: la direttiva si applica a tutti i soggetti pubblici o privati che impiegano più di 50 persone e hanno un fatturato annuo superiore a 10 milioni di euro. Inoltre, rientrano nel perimetro anche altre tipologie di soggetti come i fornitori di reti di comunicazione, quelli che forniscono servizi di registrazione dei nomi di dominio e alcuni enti della pubblica amministrazione, oltre ai soggetti definiti "critici" dalla Direttiva CER.

FAQ generata da AI

La Direttiva NIS 2 impone una serie di obblighi vincolanti ai soggetti essenziali e importanti, richiedendo l'adozione di misure tecniche, operative e organizzative adeguate per gestire i rischi di cybersecurity. Tra i principali obblighi troviamo:

1. Analisi dei rischi e politiche di sicurezza: implementazione di un framework strutturato per l'identificazione, valutazione e gestione dei rischi cyber.

2. Gestione degli incidenti: obbligo di notifica degli incidenti significativi entro 24 ore dalla scoperta, con aggiornamenti dettagliati entro 72 ore e rapporto finale entro un mese.

3. Continuità operativa: sviluppo di piani di business continuity e disaster recovery, con test periodici.

4. Sicurezza della supply chain: valutazione e monitoraggio dei fornitori critici, con clausole contrattuali specifiche.

5. Igiene informatica e formazione: implementazione di pratiche di base come password robuste, MFA, patch management e programmi di security awareness.

6. Crittografia e controllo accessi: protezione dei dati sensibili e implementazione di sistemi di autenticazione avanzati.

7. Governance della sicurezza: definizione chiara di ruoli e responsabilità, con coinvolgimento diretto del top management.

L'articolo 24 del D.lgs. 138/2024 (che recepisce la NIS2 in Italia) definisce con dettaglio le misure di gestione dei rischi di cybersicurezza che i soggetti essenziali e importanti devono implementare, trasformando quelle che prima erano best practice in obblighi giuridici vincolanti.

FAQ generata da AI

L'apparato sanzionatorio della NIS 2 è stato disegnato per essere particolarmente incisivo, con sanzioni amministrative pecuniarie calcolate sul fatturato mondiale, non solo quello italiano. Per le entità essenziali, le violazioni degli obblighi di sicurezza possono comportare sanzioni fino a 10.000.000 di euro o, se superiore, il 2% del fatturato mondiale totale annuo. Anche la mancata registrazione o le omissioni informative minori partono da 0,1% del fatturato mondiale.

Per le entità importanti, il regime è leggermente meno severo ma comunque rilevante: fino a 7.000.000 di euro o 1,4% del fatturato mondiale per violazioni gravi, e 0,07% per inadempimenti formali come la registrazione tardiva.

Le pubbliche amministrazioni hanno un regime diverso, con sanzioni fisse che vanno da 10.000 a 50.000 euro per le PA locali, fino a 100.000 euro per quelle centrali.

Oltre alle sanzioni pecuniarie, l'articolo 34 della Direttiva prevede anche sanzioni accessorie che possono essere devastanti, come la sospensione di certificazioni o autorizzazioni, l'imposizione di audit esterni a carico dell'ente, o l'obbligo di adottare misure correttive specifiche. Il meccanismo della reiterazione aggrava ulteriormente il quadro: chi commette violazioni simili nell'arco di cinque anni vede le sanzioni raddoppiate o triplicate.

FAQ generata da AI

Secondo la Direttiva NIS 2, un incidente è considerato "significativo" quando soddisfa specifici criteri oggettivi. Le Linee guida – Specifiche di base dell'ACN specificano che per classificare un evento come "incidente significativo", occorre verificare la violazione di almeno uno dei criteri oggettivi previsti. Tra questi, il criterio IS-3 cita espressamente la "violazione dei livelli di servizio attesi".

Un incidente è generalmente considerato significativo se:

1. Ha causato o può causare perturbazioni operative sostanziali o perdite finanziarie per l'entità interessata
2. Ha interessato o può interessare altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli
3. Viola i livelli di servizio attesi precedentemente definiti e documentati

La misura/subcategoria DE.CM-01 del FNCDP 2.1, richiamata nelle linee guida dell'ACN, impone ai soggetti NIS di definire e documentare preventivamente i livelli di servizio attesi (SL) dei propri servizi e/o delle proprie attività, proprio al fine di rilevare tempestivamente gli incidenti significativi. Questo approccio trasforma la sicurezza da un modello fondato sull'adempimento a uno centrato sulla misurabilità delle prestazioni.

Per rilevare un incidente significativo, quindi, non basta identificare un'anomalia, ma occorre anche dimostrare di averne definito in anticipo la soglia di tolleranza, misurando la deviazione rispetto a ciò che è stato dichiarato come "normale".

FAQ generata da AI

La Direttiva NIS 2 è entrata in vigore il 17 gennaio 2023 e gli Stati membri dell'UE avevano tempo fino al 17 ottobre 2024 per recepirla nelle rispettive legislazioni nazionali. In Italia, il recepimento è avvenuto con il D.lgs. 138/2024, entrato in vigore il 16 ottobre 2024.

Per quanto riguarda l'implementazione, è prevista una roadmap con scadenze scaglionate secondo una logica di gradualità:

- 31 luglio 2024: termine entro cui ogni soggetto essenziale o importante doveva completare la registrazione nel portale dell'Agenzia per la Cybersicurezza Nazionale (ACN)

- Gennaio 2026: entro questa data deve essere implementato il sistema di notifica degli incidenti significativi

- Ottobre 2026: termine per l'implementazione delle altre misure di sicurezza previste dagli obblighi di base

Inoltre, gli Stati membri devono definire, entro e non oltre il 17 aprile 2025, un elenco dei soggetti essenziali e importanti che saranno chiamati a fornire le necessarie informazioni. Tale elenco dovrà poi essere riesaminato e aggiornato almeno ogni due anni.

Per i fornitori di servizi DNS e altri soggetti specifici menzionati all'art. 29 del decreto NIS, è previsto un termine di 18 mesi per adeguarsi e adottare politiche e procedure che devono essere approvate dagli organi di amministrazione e direttivi.

FAQ generata da AI

La Direttiva NIS 2 introduce una distinzione fondamentale tra "entità essenziali" (EE) ed "entità importanti" (EI), che non è meramente classificatoria ma determina l'intensità degli obblighi, la frequenza dei controlli e, soprattutto, l'entità delle sanzioni.

Le entità essenziali operano nei settori considerati altamente critici, quali:
- Energia
- Trasporti
- Sanità
- Infrastrutture digitali
- Acqua potabile
- Settore bancario
- Mercati finanziari
- Spazio

Queste organizzazioni sono soggette a vigilanza rafforzata: l'ACN può disporre ispezioni in loco senza preavviso e richiedere audit straordinari.

Le entità importanti, invece, operano in settori considerati critici ma con un livello di priorità inferiore:
- Servizi postali
- Gestione rifiuti
- Industria alimentare
- Manifattura
- Ricerca
- Altri servizi digitali

Queste entità godono di un regime di vigilanza leggermente meno stringente, ma gli obblighi tecnici di sicurezza rimangono sostanzialmente gli stessi per entrambe le categorie.

La differenza si riflette anche nell'apparato sanzionatorio: per le EE le multe possono arrivare fino a 10 milioni di euro o al 2% del fatturato mondiale annuo, mentre per le EI il tetto scende a 7 milioni di euro o all'1,4% del fatturato. È importante sottolineare che la differenza tra EE ed EI riguarda principalmente l'intensità della vigilanza e l'entità delle sanzioni, non la sostanza degli obblighi tecnici di sicurezza.

FAQ generata da AI

La Direttiva NIS 2 rappresenta un'evoluzione significativa rispetto alla precedente Direttiva NIS del 2016. Le principali differenze includono:

1. Ampliamento del campo di applicazione: mentre la NIS copriva solo 7 settori critici, la NIS 2 estende il perimetro a 18 settori (11 altamente critici e 7 critici), coinvolgendo oltre 80 tipologie di soggetti. Settori come la gestione dei rifiuti, il food supply o la produzione manifatturiera, prima esclusi, sono ora inclusi.

2. Nuova categorizzazione: la NIS 2 supera la precedente distinzione tra "operatori di servizi essenziali" e "fornitori di servizi essenziali", introducendo le categorie di "soggetti essenziali" e "soggetti importanti" con criteri uniformi per una più semplice identificazione.

3. Criteri dimensionali rivisti: la NIS 2 abbandona la logica puramente dimensionale, includendo anche medie imprese e, in alcuni casi specifici, PMI e microimprese che forniscono servizi essenziali.

4. Obblighi più dettagliati: la nuova direttiva impone requisiti di sicurezza più specifici e vincolanti, trasformando molte best practice in obblighi di legge.

5. Maggiori poteri alle autorità: la NIS 2 concede maggiori poteri alle autorità competenti, in particolare per quanto riguarda il monitoraggio e le sanzioni, che sono significativamente aumentate.

6. Armonizzazione: la NIS 2 mira a eliminare le divergenze nell'attuazione tra Stati membri, creando un quadro normativo più uniforme e coordinato, con una maggiore cooperazione.

7. Focus sulla supply chain: la nuova direttiva pone particolare attenzione ai rischi della supply chain e alla compliance della catena di fornitura, soprattutto per quanto riguarda i fornitori più critici.

8. Responsabilità del management: la NIS 2 introduce una responsabilità diretta degli organi di amministrazione e direttivi per l'implementazione delle misure di sicurezza.

FAQ generata da AI

La Direttiva NIS 2 richiede l'adozione di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi di cybersecurity. L'articolo 21 della Direttiva, replicato nell'ordinamento nazionale dall'art. 24 del D.lgs.138/2024, elenca le seguenti misure di gestione del rischio:

1. Politiche di analisi dei rischi e della sicurezza: implementazione di un framework strutturato per identificare, valutare e gestire i rischi cyber.

2. Gestione degli incidenti: procedure per la prevenzione, il rilevamento, la risposta e il recupero da incidenti, inclusi meccanismi di notifica tempestiva.

3. Continuità operativa: piani di business continuity e disaster recovery, con backup regolari e test di ripristino.

4. Sicurezza della supply chain: valutazione e monitoraggio dei fornitori critici, con clausole contrattuali specifiche.

5. Sicurezza nell'acquisizione, sviluppo e manutenzione: pratiche sicure per lo sviluppo software, gestione delle vulnerabilità e patch management.

6. Valutazione dell'efficacia: politiche e procedure per testare regolarmente l'efficacia delle misure implementate.

7. Igiene informatica: pratiche di base come password robuste, aggiornamenti regolari, backup e formazione sulla sicurezza.

8. Crittografia e autenticazione: protezione dei dati sensibili e implementazione di sistemi di autenticazione avanzati, inclusa la MFA.

9. Sicurezza delle risorse umane: screening del personale, formazione continua e procedure per la cessazione del rapporto di lavoro.

10. Controllo degli accessi: gestione delle identità e dei privilegi, con particolare attenzione agli account amministrativi.

11. Gestione degli asset: inventario completo e aggiornato di tutti i dispositivi e sistemi, con classificazione basata sulla criticità.

12. Sicurezza fisica: protezione degli ambienti fisici che ospitano sistemi critici.

L'ENISA ha pubblicato una guida tecnica all'implementazione di queste misure, fornendo indicazioni metodologiche e pratiche per ciascun requisito.

FAQ generata da AI

L'Agenzia per la Cybersicurezza Nazionale (ACN) svolge un ruolo centrale nell'implementazione della Direttiva NIS 2 in Italia, essendo stata designata come Autorità nazionale competente. Le sue funzioni principali includono:

1. Coordinamento e vigilanza: l'ACN coordina l'attuazione della normativa e vigila sul rispetto degli obblighi da parte dei soggetti essenziali e importanti, con poteri ispettivi e sanzionatori.

2. Gestione del registro dei soggetti: l'ACN gestisce il portale di registrazione dove tutti i soggetti essenziali e importanti devono registrarsi, come previsto dalla scadenza del 31 luglio 2024.

3. Definizione delle specifiche tecniche: attraverso determinazioni come quella n. 379907/2025, l'ACN stabilisce le "specifiche di base" che traducono gli obblighi normativi in requisiti tecnici concreti e verificabili.

4. Punto di contatto nazionale: l'ACN funge da punto di contatto unico per la cooperazione transfrontaliera con le autorità di altri Stati membri e con gli organismi europei.

5. Gestione degli incidenti: attraverso il CSIRT Italia (Computer Security Incident Response Team), l'ACN riceve le notifiche degli incidenti significativi e coordina la risposta a livello nazionale.

6. Pubblicazione di linee guida: l'ACN elabora e pubblica linee guida operative per supportare i soggetti nell'implementazione delle misure di sicurezza richieste, come le "Linee guida NIS – Specifiche di base sulla definizione del processo di gestione degli incidenti di sicurezza informatica".

7. Supporto metodologico: l'ACN fornisce strumenti e metodologie per aiutare le organizzazioni a valutare la propria conformità e pianificare gli interventi necessari.

L'ACN opera quindi come regolatore, supervisore e facilitatore nell'ecosistema della cybersecurity nazionale, con l'obiettivo di garantire un'implementazione efficace e coerente della Direttiva NIS 2.

FAQ generata da AI

La Direttiva NIS 2 si inserisce in un ecosistema normativo europeo sempre più articolato sulla sicurezza informatica, con collegamenti e allineamenti specifici con altre normative chiave:

1. Direttiva CER (Direttiva UE 2022/2557): va di pari passo con la NIS 2, accordando il concetto di sicurezza fisica con quello della sicurezza logica o cyber. Mentre la NIS 2 si occupa specificamente della sicurezza cyber delle entità critiche, la CER si focalizza sulla loro resilienza fisica di fronte a minacce come terrorismo, sabotaggio, disastri naturali ed emergenze sanitarie.

2. Regolamento DORA (Digital Operational Resilience Act): specifico per il settore finanziario, si allinea con la NIS 2 per garantire coerenza negli obblighi di sicurezza informatica per banche, assicurazioni e altri operatori finanziari.

3. GDPR (General Data Protection Regulation): mentre il GDPR si concentra sulla protezione dei dati personali, la NIS 2 ha un focus più ampio sulla sicurezza delle reti e dei sistemi informativi. Tuttavia, molte misure tecniche e organizzative richieste si sovrappongono, creando sinergie nell'implementazione.

4. Cyber Resilience Act: proposta di regolamento che mira a garantire che i prodotti con elementi digitali siano sicuri lungo l'intera catena di approvvigionamento, complementando l'approccio della NIS 2 focalizzato sulle organizzazioni.

5. eIDAS 2.0: il regolamento sui servizi fiduciari e l'identità digitale si integra con la NIS 2, in particolare per quanto riguarda i fornitori di servizi fiduciari che sono esplicitamente inclusi nel perimetro NIS 2.

Questo allineamento normativo garantisce maggiore chiarezza giuridica e coerenza tra le diverse direttive, evitando sovrapposizioni contraddittorie e creando un quadro complessivo di cyber resilience europea. La NIS 2 funge da pilastro centrale di questo ecosistema, stabilendo standard minimi di sicurezza che vengono poi integrati e specificati da normative settoriali.

FAQ generata da AI