La Digital Transformation, ormai pervasiva in ogni settore, porta con sé grandi opportunità, ma allo stesso tempo espone le aziende a nuovi e più complessi rischi in materia di cyber sicurezza.
Il Report Clusit 2024 segnala, infatti, un netto peggioramento in termini di numero di incidenti globali, rispetto all’anno precedente preso in esame, con una media di 232 attacchi hacker mensili. Di questi, l’81% risulta di gravità elevata o critica. E l’Italia risulta, oggi, in una posizione di sempre maggiore vulnerabilità. Appare chiaro, dunque, come il tema della sicurezza informatica e della protezione dei dati sia ormai prioritario sia a livello mondiale che nazionale. Che si tratti di PMI, grandi corporazioni, pubblica amministrazione o enti governativi, la cronaca insegna che nessuno è davvero al sicuro dai cyber criminali.
È in questo scenario che si inserisce la nuova Direttiva NIS2, che va a sostituire la precedente NIS per quel che riguarda la regolamentazione europea in materia di sicurezza dei servizi digitali.
NIS2: cos’è e quando entrerà in vigore
La Direttiva NIS2 è una normativa dell’Unione Europea entrata in vigore il 17 gennaio 2023. Con il D.L. n. 138/2024, l’Italia ha recepito la Direttiva, e sono stati fissati gli obblighi di implementazione per le imprese e la Pubblica Amministrazione.
La NIS2 nasce come integrazione e superamento della Direttiva NIS, emanata nel 2016 allo scopo di facilitare il raggiungimento di un livello elevato di sicurezza digitale, comune agli Stati dell’UE. Un’attività di revisione ha rilevato, infatti, carenze e limiti nella norma originaria, che hanno, di fatto, impedito di raggiungere l’obiettivo prefissato.
Adesso l’Unione Europea si prefigge di:
- garantire uniformità di applicazione della normativa all’interno degli Stati;
- rispondere efficacemente alle nuove e sempre maggiori minacce in termini di cybersecurity;
- proteggere gli interessi politico-economici dei Paesi membri, attraverso la protezione di settori cardine come l’Energy, il Finance e la logistica.
Inoltre, la Direttiva NIS2 si inserisce all’interno di un più ampio contesto fatto di norme, regolamenti e linee guida, che l’Europa ha varato in materia di data protection, privacy e sicurezza. Tra questi, il Regolamento DORA, focalizzato sulla resilienza operativa digitale delle entità finanziarie e dei loro fornitori terzi.
Data la complessità delle implementazioni della NIS2, l’UE, tramite l’ENISA – European Netwok and Infrastructure Agency, promuove azioni di condivisione delle conoscenze e guide pratiche per l’implementazione, redatte recependo anche il contributo degli stakeholder.
La guida ENISA pone l’accento sui pillar della NIS2:
- i requisiti tecnici e metodologici;
- gli incidenti significativi e ricorrenti;
- La gestione del rischio e la resilienza operativa;
- la sicurezza della supply chain.
L’implementazione della NIS2, è utile ribadirlo, ha come obiettivo la prevenzione del rischio cyber, la salvaguardia dei dati e la continuità operativa dei servizi e delle attività aziendali.
I settori che dovranno adeguarsi alla Direttiva NIS2
Tra le più importanti novità introdotte da NIS2 vi è certamente l’ampiezza del numero dei settori e delle tipologie di aziende coinvolte. La Direttiva si applica ad aziende pubbliche e private, che rientrano nei settori “ad alta criticità” o in “altri settori critici”, come definito negli Allegati I e II della Direttiva.
Dalle realtà finanziarie al manufacturing, passando per l’Energy, i trasporti, la Pubblica Amministrazione e il sanitario, le industry coinvolte sono, dunque, numerose e articolate.
Nello specifico, dovranno adeguarsi alla direttiva le aziende operanti in settori definiti ad Alta Criticità e in Altri Settori Critici indicati nel testo ufficiale e che rispettano determinati criteri di dimensione e fatturato. Queste organizzazioni sono chiamate ad alzare il livello della propria cybersecurity, adottando misure e tecniche, sia operative che organizzative, adeguate e proporzionate, per garantire una gestione efficace dei rischi connessi alle reti e ai sistemi informatici. Devono, inoltre, impegnarsi a prevenire e ridurre l’impatto di eventuali incidenti sugli utenti e utilizzatori dei servizi, preservando e garantendo la business continuity.
NIS2: lo stato dell’arte in Italia
Quasi contemporaneamente al recepimento della Direttiva NIS2 in Italia, è stata recepita con il D.Lgs. 2024/134 anche la direttiva CER (Critical Entities Resilience), volta ad individuare i settori critici e a garantirne la sicurezza e resilienza operativa, coprendo una vasta gamma di minacce che includono non solo i rischi cibernetici (già regolati dalla Direttiva NIS2), ma anche quelli fisici, naturali, accidentali e terroristici.
La CER stabilisce che i soggetti considerati critici dovranno effettuare un risk assessment e adottare misure adeguate a garantire la propria resilienza e disaster recovery. Saranno, inoltre, obbligati a inviare notifiche tempestive alle autorità preposte in caso di incidenti che possano impattare in modo significativo la fornitura di servizi essenziali.
I punti salienti dello schema sono:
- ruolo centrale dell’ACN: l’Agenzia per la Cybersicurezza Nazionale (ACN) viene confermata come Autorità Nazionale Competente NIS2, e le vengono attribuiti dei poteri per l’implementazione e attuazione del decreto;
- Ministero della Difesa: ha un ruolo specifico nella gestione delle crisi informatiche che coinvolgono la sicurezza militare;
- tavolo permanente: creazione di un tavolo permanente per l’attuazione della Direttiva NIS2;
- registrazione dei soggetti: obbligo di registrazione per i soggetti inclusi nel perimetro NIS2.
A questo proposito vale la pena osservare che il decreto propone anche l'introduzione di criteri supplementari per determinare la sfera di applicazione delle norme, quali:
- Unicità del fornitore: se un soggetto è l'unico fornitore nazionale di un servizio essenziale per il mantenimento di attività sociali o economiche fondamentali, deve essere registrato. Questo criterio assicura che i fornitori unici di servizi critici siano monitorati e regolamentati.
- Impatto sulla sicurezza pubblica: i soggetti la cui perturbazione del servizio potrebbe avere un impatto significativo sulla sicurezza pubblica, l'incolumità pubblica o la salute pubblica devono essere registrati. Questo criterio è stato introdotto per garantire che i servizi che hanno un impatto diretto sulla sicurezza e il benessere pubblico siano inclusi nel perimetro NIS2.
- Rischio sistemico significativo: i soggetti la cui perturbazione del servizio potrebbe comportare un rischio sistemico significativo, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero, devono essere registrati. Questo criterio è stato introdotto per garantire che i soggetti che operano in settori con un alto rischio di impatto transfrontaliero siano inclusi nel perimetro NIS2.
- Importanza a livello nazionale o regionale: i soggetti che sono considerati critici in ragione della loro particolare importanza a livello nazionale o regionale per un particolare settore o tipo di servizio devono essere registrati. Questo criterio assicura che i soggetti di importanza strategica siano inclusi nel perimetro NIS2.
- Elemento sistemico della catena di approvvigionamento: i soggetti che sono considerati critici come elementi sistemici della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti devono essere registrati. Questo criterio è stato introdotto per garantire che i soggetti che giocano un ruolo chiave nella catena di approvvigionamento siano inclusi nel perimetro NIS2.
- supporto e responsabilità: definizione delle responsabilità e del supporto per i soggetti inclusi nel perimetro. CSIRT e ACN;
- misure di mitigazione dei rischi: implementazione di misure per mitigare i rischi informatici;
- eccezione per le Pubbliche Amministrazioni: alcune eccezioni specifiche per le Pubbliche Amministrazioni;
- cooperazione tra autorità: rafforzamento della cooperazione tra le autorità competenti;
- sanzioni e responsabilità: introduzione di sanzioni per il mancato rispetto degli obblighi di sicurezza;
- strategia nazionale di cybersicurezza: coordinamento con la strategia nazionale ed europea di cybersicurezza.
Con la ricezione del D.L. 138/2024, l’ACN ha definito i contenuti e la timeline per l’adozione della normativa, suddivisa in tre fasi attuative, l’ultima delle quali avrà inizio ad Aprile 2026.
NIS2: come prepararsi al meglio
A partire dal 17 ottobre 2024, gli Stati hanno recepito, dunque, la normativa e hanno cominciato a definire con maggior precisione gli obblighi per i soggetti coinvolti, tenendo conto anche delle peculiarità dei diversi contesti nazionali. In Italia, ad esempio, la Determinazione del Direttore dell’ACN n. 38565/2024 ha definito le modalità di interazione tra il "punto di contatto" aziendale e l'ACN stessa.
Come si è detto, la timeline per gli adeguamenti normativi è molto precisa. Una volta capito se si rientra nell’insieme dei settori e attività interessati, è consigliabile, quindi, valutare il proprio livello di compliance e pianificare eventuali azioni per l’adeguamento, attraverso una roadmap ben precisa e affidandosi, se necessario, ad un partner esperto e con competenze di dominio.
