Pubblicato il decreto NIS 2

Gianpaolo Todisco - Partner

È stato pubblicato nella Gazzetta Ufficiale del 1° ottobre 2024 il Decreto Legislativo n. 138, che recepisce la direttiva (UE) 2022/2555, nota come NIS 2. Le disposizioni previste entreranno in vigore a partire dal 18 ottobre 2024.

Questo provvedimento rappresenta un passo significativo per l’Italia nella gestione della sicurezza informatica, con l’introduzione di misure volte a garantire un elevato livello comune di cyber security sia a livello nazionale che nell’intera Unione Europea.

L’adozione di questo decreto avviene in un contesto sempre più digitalizzato, in cui la sicurezza informatica si è affermata come una priorità cruciale. Le minacce informatiche, infatti, diventano sempre più sofisticate, mettendo in pericolo la stabilità delle infrastrutture critiche e la protezione dei dati sensibili.

In questo scenario, il Decreto Legislativo che attua la direttiva NIS 2 si configura come una tappa fondamentale per il rafforzamento della sicurezza informatica, sia per l’Italia che per l’Unione Europea.

Il provvedimento mira principalmente a proteggere le infrastrutture essenziali, introducendo nuovi obblighi per le aziende considerate cruciali per l’economia e la società. Queste misure sono pensate per aumentare la resilienza e ridurre la vulnerabilità nei confronti delle crescenti minacce cibernetiche.

Requisiti tecnici

Uno degli obiettivi principali del regolamento è garantire che le entità soggette alla Direttiva NIS 2 adottino misure tecniche e metodologiche proporzionate per gestire i rischi informatici. Tali misure devono essere adeguate ai rischi specifici a cui le entità sono esposte, considerando fattori come la loro dimensione, la probabilità di incidenti e la gravità degli stessi, compresi gli impatti economici e sociali. I requisiti tecnici si basano su standard internazionali riconosciuti, come ISO/IEC 27001 ed ETSI EN 319, e devono essere adattati alle caratteristiche operative di ciascuna entità.

Il regolamento richiede l'adozione di un approccio sistematico alla gestione del rischio, comprendente politiche dedicate alla sicurezza delle reti e dei sistemi informativi. Tra le misure consigliate vi sono la gestione degli accessi e la segmentazione della rete, per garantire che solo persone e sistemi autorizzati possano accedere alle risorse critiche.

Un aspetto rilevante riguarda le piccole e medie imprese (PMI), che possono adottare misure compensative in caso di difficoltà nel soddisfare completamente i requisiti tecnici o metodologici. Tuttavia, è necessario che tali misure siano documentate e che vengano implementate soluzioni alternative per mitigare i rischi.

Incidenti significativi

Un punto centrale del regolamento è la definizione di "incidente significativo" (art. 3), che si verifica quando è soddisfatto almeno uno dei seguenti criteri:

  • Danno economico diretto superiore a 500.000 euro o al 5% del fatturato totale annuo dell’entità (se inferiore);

  • Esfiltrazione di segreti commerciali ai sensi della direttiva (UE) 2016/943;

  • Morte di una persona fisica;

  • Danni significativi alla salute di una persona fisica.

Sono esclusi gli eventi programmati, come interruzioni pianificate, che non rientrano nella categoria degli incidenti significativi.

Per valutare l'impatto degli incidenti, il regolamento stabilisce che le entità considerino il numero di utenti direttamente interessati, includendo sia clienti finali sia entità che utilizzano i servizi forniti.

Il regolamento introduce anche il concetto di incidenti ricorrenti (art. 4). Se più incidenti minori con una causa comune si verificano in un periodo di sei mesi e insieme soddisfano i criteri di un incidente significativo, vengono trattati come un unico grande incidente. Questo approccio punta a identificare carenze sistemiche nella gestione dei rischi e rafforzare la sicurezza complessiva.

La gestione del rischio

Le entità devono sviluppare un piano di gestione del rischio che includa l'identificazione, l'analisi e il trattamento dei rischi legati alla sicurezza di reti e sistemi informativi. Questo piano deve essere rivisto almeno una volta all’anno o in occasione di cambiamenti operativi significativi.

Un aspetto chiave è l'adozione di pratiche di cyber hygiene di base, come:

  • Segmentazione delle reti;

  • Autenticazione multifattoriale;

  • Aggiornamenti regolari del software;

  • Protezione contro il phishing e altre tecniche di ingegneria sociale.

Inoltre, le entità devono promuovere programmi di sensibilizzazione e formazione per dipendenti e fornitori, con aggiornamenti periodici per tenere conto delle evoluzioni nel panorama delle minacce. La loro efficacia deve essere verificata tramite test regolari.

Per garantire la resilienza operativa, le entità sono tenute a predisporre piani di continuità operativa e disaster recovery. Questi devono includere analisi dell'impatto aziendale, obiettivi di ripristino e ruoli e responsabilità in caso di emergenza. I piani devono essere testati e aggiornati regolarmente per garantirne l’efficacia.

La supply chain

La gestione del rischio si estende anche ai fornitori e partner della catena di fornitura. Il regolamento prevede che le entità stabiliscano politiche specifiche per la sicurezza della supply chain, inclusi criteri di selezione e contrattualizzazione dei fornitori. Questi criteri devono valutare le pratiche di sicurezza informatica e la capacità dei fornitori di soddisfare i requisiti previsti.

Le entità devono monitorare continuamente i fornitori e aggiornare i contratti per assicurare il rispetto delle specifiche di sicurezza. L’utilizzo di certificazioni di cybersecurity è incoraggiato per garantire che prodotti e servizi soddisfino standard adeguati di protezione.

In sintesi, il regolamento mira a costruire un ecosistema più sicuro e resiliente, rafforzando la sicurezza informatica a tutti i livelli, dalle singole entità alle intere catene di fornitura, promuovendo la prevenzione e la gestione efficace dei rischi.