NIS2, cosa comporterà per le imprese italiane? Alcune anticipazioni dalla bozza del disegno di legge per il recepimento della direttiva europea

Stiamo velocemente avvicinandoci alla data fatidica di recepimento della direttiva europea 2022/2555 (meglio conosciuta come NIS2) del 18 ottobre 2024 ed iniziano a diradarsi le nebbie relativamente al lavoro che si sta effettuando in sede del Consiglio dei ministri in vista della presentazione del decreto di legge per l’attuazione di questa direttiva.

Vale a questo punto tentare di approfondire, grazie alle nuove informazioni contenute in una bozza del decreto, approvato in maniera preliminare, alcuni punti rimasti intenzionalmente ad alto livello nel documento della direttiva originale.

NIS2, chi sarà coinvolto?

Uno dei punti della NIS2 in cui si sta facendo lo sforzo maggiore è certamente l’individuazione della platea delle aziende e organizzazioni, pubbliche o private, soggette alla nuova direttiva (quello che viene definito l’ambito di applicazione).

Nell’ambito di applicazione del futuro decreto dovrebbero quindi rientrare i soggetti pubblici e privati altamente critici e critici, nonché i relativi sottosettori e le tipologie di soggetti che sono sottoposti alla giurisdizione nazionale (bisogna ricordare infatti che uno degli obiettivi della direttiva è l’armonizzazione delle politiche di sicurezza tra i vari stati considerando anche le realtà che operano a livello multinazionale), come già indicato nelle tabelle della direttiva originale (Tab.1 e Tab.2).

Inoltre, sono state inserite categorie di pubbliche amministrazioni e ulteriori tipologie di soggetti, esplicitate mediante alcune tabelle integrative (al momento non ancora disponibili).

Dal punto di vista dimensionale il decreto si dovrebbe applicare ai soggetti altamente critici e critici, che superano i 10 milioni di euro di fatturato (o di bilancio totale) annuo e occupano più di 50 persone.

Ma anche, indipendentemente dalle loro dimensioni:

• i soggetti indicati dalla direttiva europea CER (Critical Entities Resilience) e dal suo decreto di recepimento;
• i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
• i prestatori di servizi fiduciari;
• i gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;
• i fornitori di servizi di registrazione dei nomi di dominio.

Ed ancora ad alcune amministrazioni centrali, regionali, locali e di altra tipologia.

Compaiono poi altre tipologie specifiche di aziende considerate ad alto rischio per la pubblica amministrazione e in definitiva per lo Stato.
Insomma, si sta parlando di un numero veramente elevato di organizzazioni, da alcune simulazioni si ipotizza un numero superiore a 15.000 soggetti.

Ma tutte queste aziende e organizzazioni come sapranno effettivamente di essere soggette alla direttiva?

In pratica, successivamente alla data di entrata in vigore del decreto legislativo, le aziende si dovranno registrare o aggiornare la propria registrazione su una piattaforma digitale resa disponibile dall’Autorità nazionale competente NIS (ovvero l’Agenzia per la Cybersicurezza Nazionale – ACS).

Entro l’anno successivo l’Autorità nazionale competente NIS redigerà l’elenco dei soggetti essenziali e importanti, sulla base delle registrazioni effettuate. Questo meccanismo “attivo” renderà obbligatorio un approccio molto preliminare, cautelativo e consapevole alla normativa da parte delle organizzazioni.

Quali saranno gli obblighi imposti dalla nuova direttiva NIS2?

Si delineano due principali obblighi:

Un obbligo relativo alle misure di gestione dei rischi per la sicurezza dei sistemi informativi da intraprendere.

Le misure della direttiva NIS2 si intendono basate su un approccio multirischio (ovvero con una valutazione che prenda in considerazione l’insieme complessivo dei rischi, anche quelli eventualmente concatenati), teso a proteggere da incidenti i sistemi informativi e di rete nonché il loro ambiente fisico.

In pratica l’obiettivo non sarà semplicemente la protezione dei dati e delle informazioni ma, altresì, la continuità del business e, non di meno, la sicurezza fisica delle persone.

In quest’ottica si renderà necessaria la creazione di un sistema di gestione complessivo della Cybersecurity che dovrà conformarsi certamente agli standard IEC 27000 e ISA/IEC 62443 considerando quindi l’insieme dei processi e dei sistemi del perimetro aziendale (IT e OT), senza sottovalutare gli aspetti legati alla supply chain.

Le misure dovranno comprendere almeno i seguenti elementi:

1. politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete;
2. gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche obbligatorie (vedere il punto successivo);
3. continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro, ove applicabile, e gestione delle crisi;
4. sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
5. sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità;
6. politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica;
7. pratiche di igiene di base e di formazione in materia di sicurezza informatica;
8. politiche e procedure relative all’uso della crittografia e, ove opportuno, della cifratura;
9. sicurezza e affidabilità del personale, politiche di controllo dell’accesso e gestione dei beni e degli assetti;
10. uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno.

Una volta definite le misure per la gestione del rischio si delinea il secondo obbligo relativo alla notifica degli incidenti e delle informazioni di sicurezza informatica, ove necessario.

L’obbligo relativo alla notifica degli incidenti e delle informazioni di sicurezza informatica

Ai fini della notifica, la direttiva NIS2 stabilisce che i soggetti interessati sono obbligati a comunicare al CSIRT Italia (instituito sempre in seno all’Agenzia di Cybersicurezza Nazionale):

1. senza ingiustificato ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo, una pre-notifica che, ove possibile, indichi se l’incidente significativo possa ritenersi il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero;
2. senza ingiustificato ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell’incidente significativo, una notifica dell’incidente che, ove possibile, aggiorni le informazioni e indichi una valutazione iniziale dell’incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione;
3. su richiesta del CSIRT Italia, una relazione intermedia su aggiornamenti pertinenti della situazione;
4. una relazione finale entro un mese dalla trasmissione della notifica dell’incidente, che comprenda:
   o una descrizione dettagliata dell’incidente, ivi inclusi la sua gravità e il suo impatto;
   o il tipo di minaccia o la causa originale (root cause) che ha probabilmente innescato l’incidente;
   o le misure di attenuazione adottate e in corso;
   o ove noto, l’impatto transfrontaliero dell’incidente;
5. in caso di incidente in corso al momento della trasmissione della relazione finale, una relazione mensile sui progressi e una relazione finale entro un mese dalla conclusione della gestione dell’incidente.

Ma chi effettuerà le ispezioni e come verranno effettuate?

L’Autorità nazionale competente NIS, nell’esercizio dei poteri di verifica e ispettivi nei confronti dei soggetti che rientrano nell’ambito di applicazione del presente decreto, potrà sottoporre questi ultimi a:

• verifiche della documentazione e delle informazioni trasmesse all’Autorità nazionale competente NIS ai sensi del presente decreto;
• ispezioni in loco e a distanza, compresi controlli casuali;
• richieste di accesso a dati, documenti e altre informazioni necessari allo svolgimento dei poteri di cui al presente articolo, dichiarando la finalità della richiesta e specificando le informazioni richieste ai soggetti.

Nei confronti dei soggetti importanti, i poteri di verifica e ispettivi si applicano unicamente qualora l’Autorità nazionale competente NIS acquisisca o riceva elementi di prova, indicazioni o informazioni che suggeriscano possibili violazioni del presente decreto.

NIS2, cosa si rischia?

Le violazioni alla direttiva potranno portare a sanzioni:

• Per i soggetti essenziali, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di 10.000.000 euro o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto;
• per i soggetti importanti, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di 7.000.000 euro o del 1,4% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto:
• per le pubbliche amministrazioni con sanzioni amministrative pecuniarie da euro 25.000 a euro 125.000.