Recepimento Direttiva UE sulla Cybersicurezza in GU

Recepimento Direttiva UE sulla Cybersicurezza in GU

È stato pubblicato ieri in GU il Decreto Legislativo 4 settembre 2024, n. 138, che recepisce la Direttiva (UE) 2022/2555 (NIS2), con l’obiettivo di garantire un alto livello di cibersicurezza nell’Unione Europea. Il decreto, composto da sei capi, abroga il D. Lgs. 65/2018, che aveva precedentemente recepito la Direttiva NIS (UE 2016/1148). Le nuove norme mirano a migliorare la sicurezza informatica sia a livello nazionale che europeo, contribuendo al buon funzionamento del mercato interno.

Nel decreto vengono introdotte diverse definizioni chiave in materia di cibersicurezza, importanti anche per i soggetti già obbligati al rispetto del Regolamento DORA, come gli operatori bancari e finanziari.

Le keyword sono:

  • SICUREZZA DEI SISTEMI INFORMATIVI E DI RETE
  • SICUREZZA INFORMATICA
  • CYBERSICUREZZA
  • INCIDENTE
  • QUASI-INCIDENTE
  • INCIDENTE DI SICUREZZA INFORMATICA SU VASTA SCALA
  • GESTIONE DEGLI INCIDENTI
  • MINACCIA INFORMATICA
  • MINACCIA INFORMATICA SIGNIFICATIVA
  • PRODOTTO, SERVIZIO E PROCESSO TIC

Tra queste keyword, “Sicurezza dei sistemi informativi e di rete” viene definita come la capacità di tali sistemi di resistere ad eventi che possano compromettere la disponibilità, integrità, autenticità o riservatezza dei dati o dei servizi offerti. La “Sicurezza informatica” è descritta come l’insieme delle attività volte a proteggere sistemi informativi, utenti e soggetti interessati da minacce informatiche.

La definizione di “incidente” riguarda un evento che compromette la disponibilità, autenticità, integrità o riservatezza dei dati o servizi dei sistemi informativi e di rete, mentre un “quasi-incidente” è un evento che avrebbe potuto configurarsi come tale, senza però verificarsi concretamente. Si fa riferimento anche a “incidenti di sicurezza informatica su vasta scala“, ovvero quegli incidenti che causano perturbazioni superiori alla capacità di risposta di un singolo Stato membro o che influenzano almeno due Stati membri.

 

Viene inoltre evidenziata la definizione di “minaccia informatica“, che comprende qualsiasi circostanza o evento capace di danneggiare o perturbare i sistemi informativi. Una “minaccia informatica significativa” è, invece, una minaccia che può avere gravi ripercussioni sui sistemi informativi o sui servizi offerti.

Il decreto si applica a una serie di soggetti pubblici e privati, elencati negli allegati I, II, III e IV del provvedimento. Gli allegati I e II descrivono i settori considerati altamente critici, come il settore bancario e delle infrastrutture di mercato finanziario, e i relativi sottosettori. Gli allegati III e IV, invece, si concentrano su categorie di pubbliche amministrazioni e altri soggetti rilevanti.

Le norme contenute nel decreto mirano a rafforzare la capacità di prevenzione, rilevamento e gestione degli incidenti di sicurezza informatica, migliorando la risposta a eventuali attacchi e garantendo una maggiore resilienza dell’infrastruttura digitale in Europa.

 

Il testo si focalizza sull’identificazione dei soggetti obbligati dal decreto di recepimento della direttiva NIS2, che mira a garantire un livello elevato di cibersicurezza in settori chiave. Tra i soggetti inclusi ci sono:

  • Pubbliche Amministrazioni centrali, con la possibilità per gli Stati membri di includere anche le PA locali in base a una valutazione del rischio per attività sociali o economiche critiche in caso di perturbazioni.
  • Piccole e micro-imprese che operano in settori strategici, purché superino i massimali comunitari per le piccole imprese (più di 50 dipendenti, fatturato annuo superiore a 10 milioni di euro o bilancio annuo oltre 43 milioni).
  • Soggetti privati che superano i limiti suddetti e operano in ambiti chiave.

Il decreto si applica anche, indipendentemente dalle dimensioni, a:

  • Soggetti critici secondo il decreto di recepimento della Direttiva CER (2022/2557),
  • Fornitori di reti e servizi di comunicazione elettronica pubblici,
  • Prestatori di servizi fiduciari,
  • Gestori di registri e fornitori di servizi di nomi di dominio di primo livello,
  • Soggetti già identificati come operatori di servizi essenziali secondo il D. Lgs. 65/2018.

Altri soggetti obbligati includono:

  • Fornitori di servizi essenziali unici a livello nazionale,
  • Operatori il cui servizio potrebbe influenzare la sicurezza, salute o incolumità pubblica, o comportare rischi sistemici,
  • Soggetti critici per la loro importanza a livello nazionale o regionale, o per la catena di approvvigionamento, anche digitale.

Restano esclusi dal decreto i soggetti operanti in sicurezza nazionale, pubblica sicurezza e difesa, così come il Parlamento, l’Autorità Giudiziaria e la Banca Centrale.

 

Il recepimento della Direttiva NIS2 identifica due categorie di soggetti: essenziali e importanti. I soggetti essenziali includono: quelli indicati nell’Allegato I che superano le dimensioni delle medie imprese, i soggetti critici ai sensi della Direttiva CER, i fornitori di reti pubbliche di comunicazione elettronica e i prestatori di servizi di comunicazione elettronica accessibili al pubblico, i prestatori di servizi fiduciari qualificati, i gestori di registri dei nomi di dominio di primo livello, le pubbliche amministrazioni centrali (come indicato nell’Allegato III), e i soggetti individuati come critici dall’Agenzia per la Cybersicurezza Nazionale (ACN). Tutti gli altri soggetti che non rientrano in queste definizioni sono considerati soggetti importanti.

Misure organizzative, tecniche e operative richieste

Sia i soggetti essenziali che quelli importanti devono adottare misure adeguate per gestire i rischi relativi alla sicurezza dei sistemi informativi e di rete che utilizzano. Queste misure devono prevenire o ridurre al minimo l’impatto degli incidenti, garantendo così la sicurezza dei servizi forniti. Tra le misure tecniche richieste ci sono politiche di analisi dei rischi, gestione degli incidenti, continuità operativa (inclusa gestione dei backup, ripristino post-disastro e gestione delle crisi), sicurezza della catena di approvvigionamento, pratiche di formazione in sicurezza informatica, crittografia, autenticazione a più fattori, sicurezza del personale e controllo degli accessi.

L’ACN ha il compito di definire obblighi proporzionati al grado di esposizione al rischio, alle dimensioni dei soggetti e alla gravità degli incidenti potenziali, tenendo conto dell’impatto sociale ed economico. Gli obblighi dovranno essere implementati gradualmente per permettere alle organizzazioni di adeguarsi alle normative.

Autorità Nazionali competenti

L’Agenzia per la Cybersicurezza Nazionale (ACN) è l’Autorità nazionale competente per l’applicazione della NIS2 e funge anche da punto di contatto unico per la cooperazione transfrontaliera tra gli Stati membri, la Commissione Europea e l’ENISA (l’Agenzia dell’Unione Europea per la Cybersicurezza). Il CSIRT Italia, il Gruppo nazionale di risposta agli incidenti informatici, è responsabile della gestione degli incidenti di sicurezza informatica.

Obblighi dei soggetti

I soggetti essenziali e importanti sono obbligati a registrarsi nella piattaforma ACN, designando un punto di contatto all’interno dell’organizzazione. Devono notificare ogni incidente con impatto significativo al CSIRT Italia e inviare una relazione intermedia e finale. La relazione finale deve essere presentata entro un mese dalla notifica dell’incidente.

Sanzioni

Il decreto di recepimento della NIS2 prevede sanzioni significative per le violazioni. L’ACN può stabilire criteri specifici per la determinazione dell’importo delle sanzioni, garantendo che siano proporzionate, dissuasive ed efficaci. Le persone fisiche responsabili di un soggetto essenziale o che agiscono come suoi rappresentanti legali, con l’autorità di prendere decisioni o esercitare controllo sul soggetto stesso, possono essere ritenute responsabili in caso di violazione.

Per i soggetti essenziali (ad esclusione delle pubbliche amministrazioni), le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale, a seconda di quale importo sia superiore. Per i soggetti importanti, le sanzioni possono raggiungere i 7 milioni di euro o l’1,4% del fatturato annuo globale.

Queste misure e sanzioni puntano a rafforzare la sicurezza informatica in Italia, assicurando un’adeguata protezione delle infrastrutture critiche e dei servizi essenziali, con un approccio proporzionato alle dimensioni e alla rilevanza dei soggetti coinvolti.

Approfondisci il contenuto creato dal Comitato Scientifico Cybersecurity ASSO DPO qui

Qui a partire dalla pagina 64 fino a pagina 70 i settori ad alta criticità della direttiva.