La Direttiva 2022/2555 o NIS 2 è una normativa dell’Unione Europea, entrata in vigore il 17 gennaio 2023, che, sostituendosi alla precedente Direttiva NIS 1, ne cambia profondamente i presupposti di applicabilità. L’Italia ha recepito la Direttiva NIS 2 con la pubblicazione in Gazzetta Ufficiale del decreto legislativo n. 138/2024 (il “Decreto”).
La NIS 2, così come il Decreto, si integrano con le altre normative e linee guida Europee in tema di protezione dati e privacy, prima fra tutte il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (GDPR), oltre al Regolamento DORA, la Direttiva CER, il Cyber Resilience Act e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.
Obiettivo della NIS 2 è quello di rafforzare le misure di cybersecurity, soprattutto in quei settori critici che potrebbero seriamente compromettere intere nazioni come energia, trasporti e servizi finanziari.
Schema temporale degli adempimenti NIS 2
Il Decreto delinea un cronoprogramma degli adempimenti di compliance che le organizzazioni coinvolte dalla NIS 2 dovranno espletare nei prossimi mesi e anni:
Entro il 31/12/2024: le organizzazioni devono fare un self-assessment per verificare se il Decreto sia a loro applicabile.
Tra l’01/01 e il 28/02/2025: le organizzazioni che ritengono di rientrare nell’ambito di applicazione della NIS 2, dovranno registrarsi sulla piattaforma digitale che l’ACN (Agenzia Nazionale per la Cybersicurezza) metterà a disposizione, nonché designare un referente di contatto.
Entro il 17/01/2025: i fornitori di taluni servizi digitali dovranno formalizzare la registrazione sulla piattaforma (servizi di sistema di nomi di dominio, gestori di registri dei nomi di dominio di primo livello, servizi di registrazione dei nomi di dominio, cloud computing, data center, reti di distribuzione dei contenuti, servizi gestiti, servizi di sicurezza gestiti, mercati online, motori di ricerca online e social network).
A partire dall’01/01/2026: le organizzazioni dovranno adempiere all’obbligo di notifica degli incidenti cyber al CSIRT.
A partire dall’01/10/2026: le organizzazioni dovranno rendersi compliant ai nuovi standard di cybersicurezza stabiliti dal Decreto che impongono ai vertici di includere la sicurezza informatica nella strategia aziendale.
Requisito settoriale
La Direttiva NIS 2 introduce – rispetto alle superate categorie di operatori di servizi essenziali (OSE) e fornitori di servizi digitali (DSP) di cui alla NIS 1 – nuove categorie di soggetti impattati: i Soggetti Essenziali e i Soggetti Importanti.
Tra i Soggetti Essenziali rientrano soggetti, pubblici e privati, che operano nei seguenti settori, considerati ad alta criticità:
produzione e distribuzione di energia (elettrica, teleriscaldamento/raffrescamento, petrolio, gas, idrogeno);
fornitura e distribuzione di acqua potabile;
acque reflue;
servizi sanitari;
trasporto di passeggeri e merci (aereo, ferroviario, su acqua, su strada);
servizi bancari e finanziari;
infrastrutture digitali (servizi data center, cloud computing, DNS, TLD ecc.);
gestione dei servizi ICT management,
pubblica amministrazione
servizi aereo-spaziali.
Tra i Soggetti Importanti rientrano soggetti, pubblici e privati, che operano nei seguenti settori, considerati “altri settori critici”:
servizi postali e di corriere;
gestione dei rifiuti;
produzione, trasformazione e distribuzione di prodotti alimentari;
produzione, trasformazione e distribuzione di prodotti chimici;
fabbricazione di dispositivi medici e medico-diagnostici;
fabbricazione di computer, apparecchiature elettroniche e ottica;
fabbricazione di macchinari e apparecchiature di tipo n.c.a. (non classificati altrove);
fabbricazione di mezzi di trasporto;
fornitura di servizi digitali (fornitori di online marketplace, motori di ricerca online, piattaforme di social network);
organizzazioni di ricerca.
Requisito dimensionale
La NIS 2 si applica ai soggetti appartenenti ai settori sopra elencati solo se sono medie o grandi imprese. Sono escluse dall'applicazione della NIS 2 le organizzazioni con meno di 50 dipendenti ed un fatturato annuo inferiore a 10 milioni di euro.
Eccezioni al requisito dimensionale per particolari settori e soggetti
Il Decreto individua anche ulteriori settori cui la NIS 2 si applica, in deroga al summenzionato requisito dimensionale, come, ad esempio:
gestori di reti di comunicazione elettronica pubbliche/servizi di comunicazione accessibili al pubblico;
fornitori di servizi di registrazione dei nomi di dominio DNS e gestori di registri di dominio di primo livello TLD;
prestatori di servizi fiduciari qualificati.
Infine, i nuovi standard saranno richiesti anche ad alcune imprese sotto soglia, che verranno meglio individuate con successiva determinazione dell’ACN. Tra queste ultime il Decreto menziona, ad esempio, i seguenti tipi di imprese:
definite “critiche” ai sensi della Direttiva CER;
costituenti elementi critici della catena di approvvigionamento di Soggetti Essenziali o Importanti;
collegate a Soggetti Essenziali o Importanti, se coinvolte nella sicurezza informatica di tali Soggetti;
che effettuano servizi, la cui interruzione potrebbe generare un rischio sistemico significativo;
attive nel trasporto pubblico locale, nella ricerca o in attività di interesse culturale;
costituite in forma di società in house, a partecipazione pubblica o a controllo pubblico.
In sintesi, per determinare l’applicabilità delle nuove disposizioni, oltre ai criteri dimensionale e settoriale, ci sono altri fattori determinanti da considerare. Possono infatti influire anche l’appartenenza ad una catena di approvvigionamento o ad un gruppo societario rilevante, nonché l'importanza critica dell'organizzazione.
Come adeguarsi alla NIS 2
FASE 1
Self-assessment sull’applicabilità della NIS2
Stante l’intreccio dei vari criteri di applicabilità previsti dal Decreto, sarà necessario che ogni organizzazione effettui un adeguato self-assessment per stabilire se si è impattati dal Decreto.
FASE 2
Registrazione sulla piattaforma dell’ACN
Una volta appurata l’applicabilità del Decreto, le organizzazioni dovranno registrarsi sulla piattaforma di registrazione che verrà resa operativa dall’ACN. In particolare, dovranno indicare le proprie attività/servizi nonché altri elementi caratterizzanti. Entro i 90 giorni successivi alla registrazione riceveranno una risposta sulla qualificazione come Soggetti Essenziali o Importanti.
FASE 3
Analisi dei rischi
Al fine di rendere la propria struttura compliant alla NIS 2 e quindi resiliente alle minacce di cybersicurezza, l’organizzazione deve adottare un approccio proattivo e risk based e valutare i rischi cyber, non solo connessi alla sicurezza dei sistemi informatici e delle reti che utilizzano lungo tutta la catena di fornitura dei servizi, ma anche quelli relativi agli incidenti, inclusi i rischi dovuti al fattore umano e quelli connessi alla continuità aziendale.
FASE 4
Governance
All’esito dell’attività di risk assessment e gap analysis di cui alla Fase 3, sarà necessario definire un modello di governance per la prevenzione e la gestione di incidenti informatici, all’interno del quale si dovranno prevedere:
politiche di coinvolgimento del management per la gestione della sicurezza;
valutazioni del rischio e politiche di sicurezza per i sistemi informativi;
politiche e procedure per la valutazione dell'efficacia delle misure di sicurezza;
politiche e procedure per l'uso della crittografia e, se del caso, della cifratura;
un piano per la gestione degli incidenti di sicurezza;
processi atti a garantire la sicurezza nell'approvvigionamento, sviluppo e funzionamento dei sistemi;
politiche per la gestione e la segnalazione delle vulnerabilità;
politiche per la gestione della Business Continuity;
procedure di accesso e sicurezza per i soggetti che hanno accesso ai dati;
visione d'insieme di tutte le risorse rilevanti per garantire che siano utilizzate e gestite in modo appropriato;
un piano per la gestione delle operazioni aziendali pre/post incidente di sicurezza;
un piano per garantire l'accesso ai sistemi IT e alle loro funzioni operative durante e dopo un incidente di sicurezza;
procedure per la valutazione del livello di sicurezza complessivo di tutti i fornitori.
FASE 5
Formazione
L’organizzazione dovrà infine prevedere attività di formazione al fine di innalzare la consapevolezza sui rischi e diffondere capillarmente la conoscenza del modello di policy e procedure implementate per la gestione dei rischi cyber e degli incidenti.
Il ruolo del management
Il Decreto – nell’attribuire agli organi di gestione i compiti di approvare le misure di sicurezza informatica nonché di sovraintendere alla loro implementazione – rende il management responsabile della violazione dei nuovi obblighi.
Sanzioni
Le sanzioni pecuniarie amministrative previste dal Decreto per il mancato rispetto degli obblighi demandati agli organi di gestione nonché quelli relativi alle misure di sicurezza, sono le seguenti:
Soggetti Essenziali: fino a un massimo di 10 milioni di euro o il 2% del fatturato mondiale annuo totale dell'azienda, se superiore.
Soggetti Importanti: fino a un massimo di 7 milioni di euro o l'1,4% del fatturato mondiale annuo totale dell'azienda, se superiore.
Le sanzioni pecuniarie amministrative stabilite invece per la mancata registrazione, comunicazione o aggiornamento delle informazioni sulla piattaforma ACN, sono le seguenti:
Soggetti Essenziali: fino a un massimo dello 0,1% del fatturato annuo mondiale.
Soggetti Importanti: fino a un massimo dello 0,07% del fatturato annuo mondiale.
Inoltre, il Decreto prevede:
misure correttive come istruzioni vincolanti e ordini (ad esempio sull'implementazione di misure di sicurezza obbligatorie o sull'attuazione delle raccomandazioni di un audit);
sanzioni rivolte non solo alle aziende, ma anche alle persone fisiche che ricoprono posizioni dirigenziali, inclusa la temporanea interdizione dalle funzioni manageriali;
l'obbligo per le organizzazioni colpite da violazioni di pubblicare l'informazione sui propri canali;
la sospensione temporanea di certificazioni o autorizzazioni.
Alla luce di quanto sopra, la compliance alla NIS 2 richiede una pianificazione strategica, che non implica solo il soddisfacimento di requisiti burocratici, ma anche la costruzione di un sistema di sicurezza IT che protegga in modo efficace dalle minacce informatiche, sempre più diffuse. In conclusione, l’esigenza di tradurre le nuove disposizioni in azioni concrete e continuative rappresenta un’opportunità per le aziende di potenziare la propria protezione informatica e garantire continuità operativa in un contesto sempre più interconnesso e vulnerabile.
Autore: Dott. Jakob Kathrein
Contatto: Avv. Eduardo Guarente e.guarente@bergsmore.com