NIS2: la scadenza di ottobre 2024, gli obblighi e le responsabilità

La recente pubblicazione in Gazzetta Ufficiale del Decreto Legislativo 138 del 2024, che recepisce la Direttiva NIS2, ha definitivamente stabilito le responsabilità e gli obblighi per le aziende italiane e il nuovo decreto NIS2 entra in vigore il 16 ottobre 2024.

In questo articolo

L’obiettivo principale della direttiva NIS2 è aumentare la resilienza e la protezione delle reti e dei sistemi informativi in UE, garantendo uniformità ed efficacia nell’applicazione delle norme di sicurezza informatica, per assicurare maggior protezione alle infrastrutture critiche, alle aziende e ai cittadini.

La Direttiva NIS2 sostituisce la precedente Direttiva NIS emanata nel 2016, e introduce nuovi obblighi di sicurezza per le aziende operanti in settori considerati critici per il corretto svolgimento delle attività sociali ed economiche all’interno dell’Unione Europea, come ad esempio energia, trasporti, sanità e infrastrutture digitali.

In sostanza, una legge aggiornata sulla cybersecurity a livello europeo, un cambiamento necessario sia per adeguare il livello di sicurezza allo stato attuale del panorama cyber, radicalmente mutato negli ultimi anni, sia per migliorare la cooperazione tra le imprese dell’UE (imprese con sede in nazioni diverse ma operanti in UE potranno fare affidamento su standard di sicurezza informatica comuni).

Rispetto alla precedente Direttiva NIS (2016/1148, recepita in Italia con il D.lgs. 65 del 2018, ora abrogata), la NIS2 presenta alcune importanti novità:

• coinvolge un maggior numero di soggetti obbligati
• richiede un’analisi dei rischi più approfondita
• stabilisce che le misure di sicurezza siano proporzionate al contesto

Allo stato dell’arte dell’attuale entrata in vigore, le principali scadenze previste dalla NIS2 possono essere sintetizzate come segue:

• Entro il 17 gennaio 2025, le imprese devono valutare se rientrano nella categoria di soggetto essenziale o importante e procedere con la registrazione sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN). Entro il 15 aprile 2025, sarà l’ACN a confermare ufficialmente se il soggetto rientra tra quelli a cui si applica la direttiva NIS2
• Entro il 1° gennaio 2026, le aziende interessate dovranno adeguarsi all’articolo 25, relativo alla notifica degli incident. Sarà quindi necessario implementare quantomeno un processo per la gestione degli incident di sicurezza
• Sempre entro il 1° gennaio 2026, sarà necessario conformarsi all’articolo 30, che prevede l’aggiornamento annuale delle informazioni sulla piattaforma ACN, includendo l’elenco delle attività e dei servizi offerti, insieme alla descrizione delle loro caratteristiche
• Infine, entro ottobre 2026, le imprese dovranno rispettare gli obblighi previsti dagli articoli 23, 24 e 29. Gli articoli riguardano, rispettivamente, le responsabilità degli organi direttivi, la gestione dei rischi e l’implementazione delle misure di sicurezza, nonché la gestione della banca dati dei nomi a dominio

L’applicabilità della NIS2 è determinata principalmente dai settori di appartenenza e dalla dimensione dell’azienda, che deve avere più di 50 dipendenti e un fatturato superiore a 10 milioni di euro, escludendo quindi le micro e piccole imprese.

A differenza della precedente direttiva, in cui l’autorità nazionale identificava le aziende soggette alla NIS, con la NIS2 spetta alle aziende stesse verificare se rientrano nei criteri di applicabilità e registrarsi autonomamente sulla piattaforma fornita dall’Agenzia per la Cybersicurezza Nazionale (ACN) entro gennaio 2025.

Sulla base di queste registrazioni, entro il 17 aprile 2025, gli Stati membri creeranno un elenco ufficiale delle aziende soggette alla NIS2. In alcuni casi, l’ACN potrebbe notificare che un’azienda registrata non soddisfa i criteri di applicabilità.

Le aziende soggette alla NIS2 si dividono in due categorie (art. 6):

• Soggetti essenziali (essential entities)
• Soggetti importanti (important entities)

La differenza tra queste due categorie risiede principalmente nei controlli e nelle sanzioni applicabili.

La NIS2, come specificato nell’articolo 24 del Decreto Legislativo 138 del 2024, adotta un approccio multirischio, prendendo in considerazione diversi tipi di minacce, tra cui rischi logici, fisici, di governance e tecnologici.

L’obiettivo è garantire un “livello appropriato” di sicurezza, tenendo conto non solo delle vulnerabilità tecniche, ma anche dell’impatto sociale ed economico che un eventuale incident potrebbe generare.

Tra i criteri interpretativi della Commissione Europea nella valutazione dei rischi:

• Sabotaggi
• Furti
• Incendi
• Inondazioni
• Problemi di telecomunicazioni
• Interruzioni di corrente
• Qualsiasi accesso fisico non autorizzato, che possa compromettere la disponibilità, autenticità, integrità o riservatezza dei dati o dei servizi offerti dai sistemi informativi e di rete
• Guasti del sistema
• Errori umani
• Azioni malevole
• Fenomeni naturali

L’approccio multirischio della NIS2 invita le aziende a considerare attentamente non solo le minacce informatiche, ma anche quelle fisiche e operative, per proteggere efficacemente i loro sistemi e dati critici. È essenziale implementare politiche di sicurezza che coprano queste diverse aree di rischio e garantiscano la continuità operativa.

Il Decreto Legislativo 138 del 2024 definisce le misure necessarie per la gestione dei rischi legati alla sicurezza informatica, con alcune piccole aggiunte rispetto alla precedente Direttiva 2055.
Le misure includono:

• Politiche di analisi dei rischi e di sicurezza per i sistemi informativi e reti
• Gestione degli incident, con procedure e strumenti per eseguire le notifiche obbligatorie, come stabilito dagli articoli 25 e 26 della direttiva
• Continuità operativa, comprese gestione dei backup, ripristino in caso di disastro e gestione delle crisi, ove applicabile
• Sicurezza della catena di approvvigionamento, inclusa la protezione dei rapporti tra l’azienda e i suoi fornitori diretti o fornitori di servizi
• Sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi informativi e di rete, con particolare attenzione alla gestione e divulgazione delle vulnerabilità
• Politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica
• Pratiche di igiene informatica di base e formazione sulla sicurezza, che includono anche l’obbligo, previsto dall’articolo 23, di formare gli organi di amministrazione e i dirigenti sulla sicurezza informatica
• Politiche sull’uso della crittografia e della cifratura, sebbene la distinzione tra questi due termini (cryptography ed encryption) non sia chiaramente definita, come già osservato nella direttiva stessa
• Sicurezza e affidabilità del personale, con politiche di controllo degli accessi e gestione delle risorse e degli asset aziendali
• Utilizzo di soluzioni di autenticazione a più fattori o autenticazione continua, e protezione delle comunicazioni vocali, video e testuali, così come dei sistemi di comunicazione di emergenza interni, dove necessario

La NIS2 prevede anche l’analisi della supply chain, imponendo che le aziende considerino le vulnerabilità specifiche di ciascun fornitore e la qualità generale dei loro prodotti e delle pratiche di sicurezza informatica.

L’attenzione, quindi, è anche alle procedure di acquisizione dei fornitori ed è necessario tenere conto dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche, condotte dal Gruppo di cooperazione NIS.

Di conseguenza, sarà importante migliorare i processi di selezione, valutazione e rivalutazione dei fornitori. Oltre ai tradizionali questionari di valutazione, spesso inefficaci, dovranno essere implementate soluzioni sempre più avanzate per garantire una valutazione accurata e sicura.

La Direttiva prevede che entro il 17 ottobre 2024 la Commissione Europea adotti atti esecutivi che definiscano i requisiti tecnici e metodologici delle misure per i fornitori di:

• Servizi DNS
• Registri dei nomi di dominio di primo livello (TLD)
• Servizi di cloud computing
• Servizi di data center
• Reti di distribuzione dei contenuti
• Servizi gestiti
• Servizi di sicurezza gestiti
• Marketplace online
• Motori di ricerca online
• Piattaforme di social network
• Prestatori di servizi fiduciari

Per quanto riguarda il Decreto Legislativo 138 italiano, gli articoli 30, 31 e 32 stabiliscono che l’ACN può richiedere l’adozione di “misure minime”, denominate “obblighi”.

L’articolo 28 indica che l’ACN promuoverà l’uso di standard tecnici europei e internazionali, aprendo la possibilità all’adozione di standard ISO, EN ed ETSI.

È ancora in discussione se verranno utilizzati anche altri standard, come il NIST CSF o il Framework nazionale per la cybersecurity e la data protection, che attualmente sono richiesti dall’ACN per i soggetti regolati dalla NIS.

Altri articoli che trattano le misure di sicurezza:

• L’articolo 27 prevede che l’ACN possa imporre l’uso di prodotti certificati
• L’articolo 29 riguarda i nomi di dominio, ma non introduce misure di sicurezza specifiche
• Gli articoli 35 e 36 consentono all’ACN di imporre test di vulnerabilità (VA-PT) o audit condotti da soggetti selezionati

È importante notare che queste misure devono essere applicate a tutte le operazioni e servizi dell’azienda, non solo alle risorse informatiche specifiche o ai servizi critici. Questo approccio evita che eventuali lacune in servizi considerati “non sicuri” possano essere sfruttate per compromettere successivamente anche i servizi “sicuri” attraverso movimenti laterali.
Infine, come esclusione, l’articolo 33 stabilisce che le imprese incluse nel Perimetro di Sicurezza Nazionale Cibernetica (PNSC) non sono tenute ad applicare le misure della NIS2.

Come già stabilito dalla precedente Direttiva NIS1, anche la NIS2 impone l’obbligo di notificare al CSIRT e alle autorità competenti, nonché ai destinatari del servizio, gli incident informatici che potrebbero avere un impatto significativo sulla continuità del servizio.

Le notifiche al CSIRT dovranno seguire una tempistica precisa e avere caratteristiche ben precise:

• Entro 24 ore dalla scoperta dell’incident, con una notifica di preallarme. Una tempistica che dovrebbe permettere di contenere la potenziale diffusione dell’incident e, se necessario, richiedere assistenza
• La notifica deve includere solo le informazioni essenziali, soprattutto se l’incident sembra derivare da atti malevoli o illegittimi, o nel caso potesse avere un impatto transfrontaliero
• Deve contenere una valutazione preliminare dell’incident, indicando la sua gravità, l’impatto ed eventuali indicatori di compromissione, se disponibili
• Entro 72 ore dalla scoperta dell’incident, è richiesto un aggiornamento delle informazioni iniziali fornite in fase di preallarme
• Entro un mese dalla scoperta dell’incident, deve essere presentata una relazione finale, che completi il processo di notifica. La relazione tecnica dovrà comprendere una valutazione dettagliata della gravità e dell’impatto dell’incident, la minaccia o la causa principale che lo ha generato, le misure di mitigazione adottate e in corso, e l’eventuale impatto transfrontalieroSe l’incident non è stato ancora risolto, la normativa fornisce ulteriori indicazioni su come proseguire. Sono previste alcune eccezioni per i prestatori di servizi fiduciari e per i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (PNSC), secondo quanto stabilito dall’articolo 33.
  L’articolo 23 prevede che gli organi di amministrazione e i dirigenti dei soggetti NIS2 siano informati tempestivamente degli incident. Alcune aziende potrebbero trovarsi a dover rispettare più normative, con modalità di notifica differenti, rendendo il processo di conformità più complesso.
  La normativa offre la possibilità di richiedere assistenza al CSIRT durante la gestione dell’incident e infine, il Decreto Legislativo 138 fornisce anche indicazioni sulle comunicazioni da effettuare ad altri soggetti che potrebbero essere impattati dall’incident. Prima di procedere con questa tipologia di notifiche, è necessario consultare il CSIRT Italia.

Il Decreto Legislativo 138 del 2024, all’articolo 25, comma 4, definisce un “incident significativo” come un evento che ha causato o potrebbe causare una grave interruzione operativa nei servizi, con perdite finanziarie rilevanti per l’azienda interessata, oppure che ha avuto o potrebbe avere ripercussioni su altre persone fisiche o giuridiche, provocando danni materiali o immateriali considerevoli.

Le aziende, nelle loro procedure di gestione degli incident, dovrebbero affinare la definizione di “incident significativo” in base a questi criteri, per garantire una gestione più precisa e reattiva.

Viene inoltre introdotto il concetto di “quasi incident” (“near-miss” in inglese), riferito a un evento che avrebbe potuto configurarsi come un incident, ma che è stato evitato o non si è verificato. La definizione nella direttiva NIS2 differisce leggermente: un quasi incident è un evento che avrebbe potuto compromettere la disponibilità, autenticità, integrità o riservatezza dei dati o dei servizi gestiti dai sistemi informatici e di rete, ma che è stato evitato o non si è manifestato.
Un punto rilevante della NIS2 è l’istituzione della rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe), che ha il compito di rafforzare la risposta coordinata a livello europeo in caso di crisi informatiche.

L’articolo 16 del Decreto Legislativo 138 del 2024 stabilisce che il CSIRT è responsabile della diffusione di informazioni relative alle vulnerabilità informatiche e permette a chiunque di segnalarle. Una misura che mira a promuovere una maggiore consapevolezza e a facilitare la condivisione tempestiva delle minacce emergenti.
L’articolo 17 introduce la possibilità, su base volontaria, di condividere tra le aziende informazioni pertinenti riguardo la sicurezza informatica. Questa collaborazione è considerata un passo avanti significativo per migliorare la resilienza complessiva di tutto il sistema.

Vuoi ricevere una consulenza sulla Direttiva NIS2? Compila subito il form

L’Agenzia per la Cybersicurezza Nazionale (ACN) svolge un ruolo centrale nell’applicazione della NIS2 in Italia, supervisionando l’implementazione delle misure di sicurezza e fornendo linee guida alle aziende.

Oltre a verificare le registrazioni sulla piattaforma, l’ACN è responsabile del coordinamento delle notifiche degli incident e del monitoraggio continuo della sicurezza informatica. Il suo ruolo comprende anche l’imposizione di misure minime obbligatorie per le aziende considerate essenziali o importanti, secondo quanto stabilito dal Decreto Legislativo 138 del 2024.

La NIS2 introduce un importante elemento di cooperazione internazionale, con la creazione di reti di collegamento tra gli Stati membri dell’UE, come la rete europea per la gestione delle crisi informatiche EU-CyCLONe. Un’iniziativa che ha lo scopo di migliorare la capacità dell’Unione Europea di rispondere in modo coordinato a gravi crisi informatiche, potenziando la resilienza collettiva e la risposta rapida a incident su scala internazionale.

Maggiori dettagli sulla rete EU-CyCLONe sono disponibili sulla pagina ufficiale della Commissione Europea a questo link.

Un aspetto innovativo della NIS2 è l’obbligo di formazione per gli organi di amministrazione e i dirigenti aziendali in materia di sicurezza informatica, come previsto dall’articolo 23 del Decreto Legislativo 138 del 2024. Questo obbligo garantisce che la leadership aziendale sia adeguatamente preparata a gestire i rischi legati alla sicurezza informatica e a rispondere tempestivamente agli incident. In questo modo, la direttiva contribuisce a una maggiore consapevolezza e cultura della sicurezza a livello strategico.

Le PMI di dimensioni maggiori devono conformarsi a specifiche misure di sicurezza. Una sfida per aziende con risorse limitate, ma anche un’opportunità di migliorare la resilienza digitale. Adeguarsi alla direttiva non solo rafforza la sicurezza aziendale, ma può anche aumentare la fiducia dei clienti e migliorare la competitività.

Esamina con attenzione i requisiti stabiliti dall’Articolo 21 della direttiva NIS2 per garantire la conformità. È fondamentale andare oltre i modelli di sicurezza tradizionali, adottando soluzioni più moderne come il modello Zero Trust, l’Autenticazione a più fattori (MFA) e la crittografia. Ogni paese mette a disposizione risorse specifiche per supportarti in questo percorso: in Italia puoi fare riferimento al CSIRT, mentre in altri paesi, come la Germania e la Francia, esistono enti come il BSI e l’ANSSI.

Verifica se la tua azienda dispone già di certificazioni rilevanti, come l’ISO27001, e se ha istituito un Security Operations Center (SOC). Esegui un’analisi per identificare eventuali aree di miglioramento e assicurarti che le tue pratiche di sicurezza siano allineate ai requisiti minimi della NIS2.

Effettua una mappatura dei tuoi fornitori per capire come i loro servizi influiscono sulla sicurezza aziendale rispetto alla NIS2. Programma incontri con loro per verificare la loro conformità alle nuove normative e assicurarti che rispettino le leggi vigenti, con particolare attenzione alla sicurezza della supply chain.

La formazione continua del personale è fondamentale per creare una cultura aziendale consapevole rispetto ai rischi informatici. Garantire che i tuoi dipendenti siano aggiornati sulle minacce e sappiano come prevenirle contribuisce a mantenere in sicurezza le operazioni quotidiane in azienda. Una forza lavoro formata è meglio equipaggiata per affrontare le minacce informatiche.

Stanzia un budget adeguato per la sicurezza informatica in vista delle prossime sfide.
Questo investimento non deve essere considerato solo in funzione di un nuovo requisito normativo, ma una scelta strategica per garantire la business continuity dell’azienda. Implementa una reportistica periodica e trasparente per informare gli stakeholder sui progressi e sui rischi, coinvolgendoli nel miglioramento continuo delle best practice di sicurezza.

BeeCyber offre servizi di cyber security completi e personalizzati per proteggere le aziende da minacce informatiche. BeeCyber fornisce una valutazione approfondita dei rischi, gestione delle identità, sistemi di protezione dei dati, monitoraggio continuo delle minacce e risposte rapide agli incident.
I servizi includono penetration test, vulnerability assessment e consulenza strategica per garantire conformità alle normative come NIS2, GDPR, ISO 27001 e altri requisiti specifici del settore.
Le soluzioni su misura di BeeCyber, insieme alla formazione del personale, aiutano a mantenere i sistemi aziendali sicuri e operativi.

Vuoi ricevere una consulenza per la Direttiva NIS2? Prenota subito una call 
Compila il form