Introduzione: un nuovo paradigma di sicurezza informatica

‍

La Direttiva NIS2, entrata in vigore il 17 gennaio 2023 (il 16 ottobre in Italia), rappresenta un cambiamento profondo rispetto alla precedente Direttiva NIS. Questo quadro normativo si propone di creare una strategia cyber comune a tutti gli stati membri dell'Unione Europea, con l'obiettivo principale di aumentare i livelli di sicurezza dei servizi digitali in tutto il territorio comunitario

‍

La stagione dell'attuazione della direttiva europea NIS2 è iniziata ufficialmente, rappresentando una modifica più che significativa dell'approccio alla gestione della sicurezza delle informazioni.

‍

Nell'apprezzare lo sforzo comunicativo dell'Agenzia per la Cybersicurezza Nazionale (ACN), che mette in secondo piano l'aspetto del processo repressivo e sanzionatorio rispetto alla promozione della partecipazione attiva, è evidente che il processo di attuazione degli obiettivi della Direttiva non può risolversi soltanto in un ossequio formale al sistema di gestione della sicurezza – quella che si definisce comunemente "security di carta" – ma richiede invece uno sforzo sostanziale per la definizione di obiettivi concreti e sostenibili di sicurezza.

L'ampliamento del perimetro: chi è coinvolto nella NIS2

La direttiva NIS2 rappresenta un passo significativo verso una maggiore sicurezza informatica e una resilienza condivisa a livello europeo. Quando si tratta di regolamenti e direttive, molte aziende considerano la conformità come l'obiettivo finale: qualcosa a cui devono adeguarsi soddisfacendo i requisiti minimi. Tuttavia, questa dovrebbe essere vista come il punto di partenza per raggiungere livelli più elevati di cybersicurezza.

La Direttiva NIS2 nasce da una profonda revisione della NIS e segna un altro importante passo verso la piena definizione della strategia cyber europea, predisponendo adeguate risposte coordinate e innovative da parte degli Stati membri per garantire la continuità dei servizi digitali in caso di incidenti di sicurezza.

‍

La NIS2 amplia significativamente il campo di applicazione rispetto alla precedente Direttiva NIS, includendo settori cruciali come la gestione dei rifiuti, il trasporto, l'industria alimentare, la fornitura e distribuzione di acqua potabile, le infrastrutture digitali, la pubblica amministrazione, la produzione, la ricerca e lo sviluppo di medicinali e dispositivi medici, e il settore spaziale.

‍

Il Decreto Legislativo 138/2024, che recepisce nel nostro ordinamento la Direttiva NIS2, stabilisce che le disposizioni si applicheranno a decorrere dal 16 ottobre 2024.

‍

La normativa non si applicherà alle piccole imprese a meno che l'ente non sia identificato come "critico" ai sensi della Direttiva RCE, fornitore di reti pubbliche di comunicazione elettronica, prestatore di servizi fiduciari, o rientri in altre specifiche categorie considerate essenziali.

‍

La NIS2 si applica anche alle aziende con meno di 50 dipendenti se forniscono un servizio essenziale in uno Stato membro, se il loro servizio è cruciale per la sicurezza pubblica, la sicurezza o la salute o se fanno parte della catena di fornitura di un'azienda essenziale o importante.

‍

Le principali criticità per le imprese

‍

1. Complessità del modello a strati e problemi di classificazione

Questa complessità operativa si riflette nella scelta del legislatore italiano che disegna un modello "a strati". Il primo strato è quello standard, ossia dei soggetti essenziali o importanti, che superano i limiti dimensionali per le piccole imprese. Il secondo strato è costituito da quei soggetti che, indipendentemente dalla loro dimensione o dal volume di affari, ricadono in specifiche categorie previste.

‍

Un problema significativo riguarda la reale misura dell'aspetto dimensionale, per effetto del richiamo alla nozione di "imprese collegate" su cui, nel mondo delle imprese, non vi è sempre un'assoluta chiarezza di visione.

‍

Il collegamento tra due o più imprese prescinde, in linea teorica, dalla volontà di costituzione di un vero e proprio gruppo formalizzato, con la conseguenza di escludere dal novero delle piccole e medie imprese quelle entità che, seppur individualmente considerate non raggiungerebbero i limiti dimensionali previsti dalla norma.

‍

2. Oneri economici e organizzativi

Quando dall'idealità del processo si scende all'approccio concreto, la questione è piuttosto diversa, in quanto si scontra su una dimensione economica di un Paese la cui struttura fondamentale è costituita da una quantità di piccole e medie imprese. Questo rappresenta una sfida significativa nell'implementazione della NIS2, che potrebbe risultare eccessivamente onerosa per realtà più piccole.

‍

Nata con l'obiettivo di migliorare la sicurezza informatica dell'Unione Europea, le sanzioni della Direttiva NIS2 sono prettamente amministrative e penali. Gli operatori essenziali potranno essere sottoposti a sanzioni pecuniarie amministrative pari a un massimo di 10 mln di euro o il 2% del totale del fatturato mondiale globale. Gli operatori importanti, invece, potranno essere soggetti a sanzioni pari a un massimo di 7 mln di euro o a fino ad un massimo del 1,4% del totale del fatturato mondiale globale.

‍

3. Responsabilità del management

Il Decreto Legislativo introduce una certezza: vi sarà una responsabilità degli organi di amministrazione e direttivi. Gli organi di gestione delle società saranno chiamati ad avere un ruolo attivo nella compliance alla normativa, dovranno approvare le modalità di implementazione delle misure per la gestione dei rischi per la sicurezza, sovrintendere all'implementazione degli obblighi stabiliti dalla normativa e saranno considerati responsabili per le violazioni.

4. Notifica degli incidenti e gestione dei rischi

Il Decreto di recepimento rinforza gli obblighi di notifica degli incidenti, prevedendo che dovranno essere segnalati al CSIRT Italia, senza ingiustificato ritardo, gli incidenti che hanno un impatto significativo sulla fornitura dei servizi. Il processo di notifica prevede tempistiche serrate: una prenotifica entro 24 ore, una notifica entro le 72 ore dall'evento, e una relazione finale entro un mese dall'evento.

‍

La direttiva NIS2 stabilisce una serie di requisiti principali che le organizzazioni devono soddisfare per garantire un elevato livello di sicurezza informatica. Questi requisiti includono: politiche di analisi dei rischi e di sicurezza dei sistemi informatici, strategie per valutare l'efficacia delle misure di gestione dei rischi, e pratiche di igiene digitale di base e formazione in materia di cybersicurezza.

‍

5. Focus sulla catena di approvvigionamento

Emerge che la normativa di recepimento della Direttiva NIS2 non si focalizza solo sui settori ritenuti ad alta criticità o critici, ma, in maniera lungimirante, anche sui loro fornitori andando ad ampliare notevolmente il novero di soggetti che verosimilmente saranno interessati dall'applicazione del Decreto Legislativo.

‍

La Direttiva NIS 2 prevede che i soggetti obbligati dovranno adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e delle reti, considerando anche la sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi.

‍

Le scadenze chiave da rispettare

Comincia quindi la corsa per l'adeguamento, che dovrà essere completo entro ottobre 2026. Entro inizio 2025, le imprese identificate come soggetti NIS2 dovranno essere operative con tutte le misure previste, inclusi sistemi di gestione della sicurezza informatica e responsabilità del management. Entro maggio 2025, le imprese devono aggiornare i propri dati nella piattaforma istituzionale. A gennaio 2026 entra in vigore l'obbligo formale di notifica tempestiva degli incidenti significativi, mentre entro settembre 2026 le organizzazioni devono avere implementato tutte le misure di sicurezza richieste.

‍

Dal 16 ottobre 2024 è in vigore la nuova normativa Network and Information Security (NIS). ACN è l'Autorità competente NIS e punto di contatto unico. Dal 1° dicembre 2024 al 28 febbraio 2025, le medie e grandi imprese, in alcuni casi anche le piccole e microimprese, e le Pubbliche amministrazioni a cui si applica la nuova normativa devono registrarsi sul portale servizi ACN.

‍

Conclusioni: un cambio di paradigma necessario ma impegnativo

La crescente interconnessione e digitalizzazione della società ha reso istituzioni, imprese e cittadini sempre più esposti alle minacce informatiche.

‍

I vertici dell'Agenzia per la Cybersicurezza Nazionale hanno assunto un impegno pubblico a rendere sostenibile questo processo, che può segnare realmente un punto di svolta per la capacità del Paese di fronteggiare le crescenti minacce. Sarà necessario attendere per riscontrare come il tessuto produttivo ed amministrativo del Paese saprà corrispondere a quella che è, in piena evidenza, una svolta culturale profonda e che, come è intuitivo, non sarà né una passeggiata di salute e neppure "ad invarianza di costi".

‍

Adeguarsi quindi alla NIS2 non serve solo a mettersi a norma, bensì può essere l'occasione buona per introdurre in azienda una cultura della sicurezza nonché best-practices tecniche ed organizzative che possono alzare di molto il livello della sicurezza informatica. È importante comunque cominciare a predisporre fin da subito un piano di adeguamento al fine di uniformare per gradi i vari asset aziendali e il personale con opportuni cicli formativi periodici.

Anche se non rientri tra le imprese obbligate a rispettare la Direttiva NIS2, avviare un percorso di consapevolezza sui rischi informatici è importante per proteggere il futuro della tua attività.

‍

La NIS2 rappresenta dunque una sfida complessa ma necessaria per le imprese italiane. Se da un lato impone nuovi obblighi e responsabilità che possono sembrare gravosi, dall'altro offre l'opportunità di ripensare la sicurezza informatica come un elemento strategico e non semplicemente come un costo.