Il 16 ottobre 2024 è entrata in vigore la nuova direttiva NIS 2, che va ad integrarsi con le varie normative e linee guida europee in tema di protezione dei dati personali: l’obbiettivo è garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione Europea, in modo da migliorare il funzionamento del mercato interno.

RIFERIMENTI NORMATIVI: D.lgs. 138/2024 che recepisce la Direttiva UE 2022/2555.

INNANZI TUTTO: CHI È SOGGETTO?

I COSÌ DETTI SOGGETTI ESSENZIALI (ALLEGATO I) CHE SUPERANO I MASSIMALI PER LE PICCOLE IMPRESE

(OLTRE 50 DIPENDENTI, FATTURATO O TOTALE DI BILANCIO ANNUO FINO A 10 MILIONI DI EURO):

ENERGIA

Energia elettrica

Impresa elettrica

Gestori del sistema di distribuzione

Gestori del sistema di trasmissione

Produttori

Partecipanti al mercato della energia elettrica

Gestori di un punto di ricarica responsabili della gestione e del funzionamento di un punto di ricarica che fornisce un servizio di ricarica a utenti finali, anche per nome e per contro di un fornitore di servizi di mobilità

Teleriscaldamento e tele raffrescamento

Gestori di teleriscaldamento o tele raffrescamento

Petrolio

Gestori di oleodotti

Gestori di impianti di produzione, raffinazione, trattamento, deposito e trasporto di petrolio

Organismi centrali di stoccaggio

Gas

Imprese fornitrici

Gestori del sistema di retribuzione 

Gestori del sistema di trasporto

Gestori dell’impianto di stoccaggio

Gestori del sistema GNL

Imprese di gas naturale

Gestori di impianti di raffinazione e trattamento di gas naturale

Gestione di impianti di produzione, stoccaggio e trasporto di idrogeno

TRASPORTI

Trasporto aereo

Vettori aerei utilizzati a fini commerciali

Gestori aeroportuali, compresi aeroporti centrali e soggetti che gestiscono impianti annessi situati in aeroporti

Operatori attivi nel controllo della gestione del traffico che forniscono un servizio del controllo del traffico aereo

Trasporto ferroviario

Gestori dell’infrastruttura

Imprese ferroviarie, compresi gli operatori degli impianti di servizio

Trasporto per vie d’acqua

Compagnie di navigazione per il trasporto per vie d’acqua interne, marittimo

e costiero di passeggeri e merci, escluse le singole navi gestite da tali compagnie

Organi di gestione dei porti, compresi i relativi impianti portuali e soggetti che gestiscono  opere e attrezzature all’interno di porti

Gestori di servizi di assistenza al traffico marittimo (VTS)

Trasporti su strada

Autorità stradali esclusi i soggetti pubblici per i quali la gestione del traffico o la gestione dei sistemi di trasporto intelligenti costituiscono soltanto una parte non essenziale della loro attività generale

Gestori di sistemi di trasporto intelligenti

SETTORI BANCARIO

Enti creditizi 

INFRASTRUTTURE DI MERCATI FINANZIARI

Gestori delle sedi di negoziazione 

Controparti centrali (CCP)

SETTORE SANITARIO

Prestatori di assistenza sanitaria 

Laboratori di riferimento dell’UE

Soggetti che svolgono attività di ricerca e sviluppo relative ai medicinali

Soggetti che fabbricano dispositivi medici considerati critici durante una emergenza di sanità pubblica

(elenco dei dispositivi critici per l’emergenza di sanità pubblica)

ACQUA POTABILE

Fornitori e distributori di acque destinate al consumo umano, esclusi i distributori per i quali la distribuzione di acque destinate al consumo umano è una parte non essenziale dell’attività generale di distribuzione di acque destinate al consumo umano è una parte non essenziale dell’attività generale di distribuzione di acque destinate al consumo umano è una parte non essenziale dell’attività generale di distribuzione  di altri prodotti e beni.

ACQUE REFLUE

Imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali, escluse le imprese per cui la raccolta, lo smaltimento o il trattamento di acque reflue urbane, domestiche o industriali è una parte non essenziale della loro vita generale.

INFRASTRUTTURE DIGITALI

Fornitori di punti di intercambio internet 

Fornitori di servizi di sistema dei nomi di dominio (domain name system – DNS),

esclusi gli operatori dei server dei nomi radice (indipendentemente dalle dimensioni)

Gestori di registri dei nomi di dominio di primo livello (top level domain – TLD) (indipendentemente dalle dimensioni)

Fornitori di servizi cloud computing

Fornitori di servizi di data center

Fornitori di reti di distribuzione dei contenuti (content delivery network) (indipendentemente dalle dimensioni)

Prestatori di servizi fiduciari (indipendentemente dalle dimensioni)

Fornitori di rete pubbliche di comunicazione elettronica

Fornitori di servizi di comunicazione elettronica accessibili al pubblico (indipendentemente dalle dimensioni)

GESTIONE DEI SERVIZI TIC (business to business)

Fornitori di servizi gestiti

Fornitori di servizi di sicurezza gestiti

SPAZIO

Operatori di infrastrutture terrestri possedute, gestite e operate dagli stati membri o da privati,

che sostengono la fornitura di servizi spaziali, esclusi i fornitori di reti pubbliche di comunicazione elettronica

I COSÌ DETTI SETTORI CRITICI - IMPORTANTI (ALLEGATO II)

(OLTRE 50 DIPENDENTI, FATTURATO O TOTALE DI BILANCIO ANNUO FINO A 10 MILIONI DI EURO)

FABBRICAZIONE

Fabbricazione di dispositivi medici e di dispositivi medico diagnostici in vitro

Soggetti che fabbricano dispositivi medici e soggetti che fabbricano dispositivi medico-diagnostici in vitro

Fabbricazione di computer e prodotti di elettronica e ottica

Gestori del sistema di distribuzione

Imprese che svolgono attività economiche 

Fabbricazione di apparecchiature elettriche

Imprese che svolgono attività economiche

Fabbricazione di macchinari e apparecchiature nca

Imprese che svolgono attività economiche

Fabbricazione di autoveicoli, rimorchi e semirimorchi

Imprese che svolgono attività economiche

Fabbricazione di altri mezzi di trasporto

Imprese che svolgono attività economiche

FORNITORI DI SERVIZI DIGITALI

Fornitori di mercati online

Fornitori di motori di ricerca online

Fornitori di piattaforme di social network

Fornitori di servizi di registrazione dei nomi di dominio (indipendentemente dalla dimensione)

RICERCA

Organizzazioni di ricerca

SERVIZI POSTALI E DI CORRIERE

Fornitori di servizi postali, tra cui i fornitori di servizi di corriere

GESTIONE DEI RIFIUTI

Imprese che si occupano della gestione dei rifiuti, escluse quelle per cui la gestione la gestione dei rifiuti non è la principale attività economica

FABBRICAZIONE, PRODUZIONE E DISTRIBUZIONE DI SOSTANZE CHIMICHE

Imprese che si occupano della fabbricazione di sostanze e della distribuzione di sostanze

o miscele ed imprese che si occupano della produzione di sostanze e miscele

PRODUZIONE, TRASFORMAZIONE E DISTRIBUZIONE DI ALIMENTI

Imprese alimentari che si occupano della distribuzione all’ingrosso e della produzione industriale e trasformazione

AMMINISTRAZIONI CENTRALI, REGIONALI, LOCALI E DI ALTRO TIPO (ALLEGATO III) INDIPENDENTMENTE DALLE DIMENSIONI

1.     AMMINISTRAZIONI CENTRALI

a)     Organismi costituzionali e di rilievo costituzionale

b)     La Presidenza del Consiglio dei Ministri e Ministeri

c)     Agenzie fiscali

d)     Autorità amministrative indipendenti

2.     AMMINISTRAZIONI REGIONALI

a)     Regioni e Provincie autonome

3.     AMMINISTRAZIONI LOCALI

a)     Le città metropolitane

b)     I comuni con popolazione superiore a 100.000 abitanti

c)     I comuni capoluoghi di regione

d)     Le aziende sanitarie locali

4.     ALTRI SOGGETTI PUBBLICI

a)     Gli enti di regolazione dell’attività economica

b)     Gli enti produttori di servizi economici

c)     Gli enti a struttura associativa

d)     Gli enti produttori di servizi assistenziali, ricreativi e culturali

e)     Gli enti e le istituzioni di ricerca

f)      Gli istituti zooprofilattici sperimentali

ULTERIORI TIPOLOGIE DI SOGGETTI (ALLEGATO IV)

1.     Soggetti che forniscono servizi di trasporto pubblico locale

2.     Istituti di istruzione che svolgono attività di ricerca

3.     Soggetti che svolgono attività di interesse culturale

4.     Società in house, società partecipate e società a controllo pubblico

IMPORTANTE! ULTERIORI SOGGETTI ASSOGETTATI: le dimensioni non vengono considerate: laddove il soggetto sia l’unico fornitore nazionale di un servizio che è essenziale per il mantenimento di attività economiche o sociali fondamentali; laddove una perturbazione del servizio fornito dal soggetto potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica; laddove una perturbazione del servizio fornito dal soggetto potrebbe comportare un rischio sistemico significativo, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero; laddove il soggetto sia critico in ragione della sua particolare importanza a livello nazionale o regionale per quel particolare settore o tipo di servizio o per altri settori indipendenti nel territorio dello Stato; laddove il soggetto sia considerato critico, quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti. Lo stesso vale infine per le imprese collegate ad un soggetto essenziale o importante se soddisfa almeno uno dei seguenti requisiti: a) adotta decisioni o esercita una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale; b) detiene o gestisce sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale; c) effettua operazioni di sicurezza informatica del soggetto importante o essenziale; d) fornisce servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale.

SCADENZE (ART. 7)

DAL 1° GENNAIO AL 28 FEBBRAIO DI OGNI ANNO: i soggetti assoggettati alla NIS 2 devono registrarsi od aggiornare la propria registrazione  sulla piattaforma digitale dall’autorità nazionale competente NIS (ossia l’ACN => Agenzia Cybersicurezza Nazionale), ai fini dello svolgimento delle funzioni attribuite all’Agenzia per la Cybersicurezza nazionale. I dati che questi soggetti devono fornire sono: ragione sociale, indirizzo e recapiti aggiornati, compresi indirizzi mail e numeri di telefono, la designazione di un punto di contatto, indicando il ruolo presso il soggetto e relativi recapiti aggiornati, compresi gli indirizzi mail e numeri di telefono.

ENTRO IL 31 MARZO DI OGNI ANNO: l’Autorità nazionale competente NIS (ossia l’ACN => Agenzia Cybersicurezza Nazionale), redige, l’elenco dei soggetti essenziali e dei soggetti importanti, sulla base delle registrazioni e delle decisioni adottate. Tramite la piattaforma digitale l’Autorità nazionale competente NIS (ossia l’ACN => Agenzia Cybersicurezza Nazionale), comunica ai soggetti registrati: l’inserimento nell’elenco dei soggetti essenziali o importanti, la permanenza nell’elenco dei soggetti essenziali o importanti, l’espunzione dall’elenco dei soggetti.

DAL 15 APRILE AL 31 MAGGIO DI OGNI ANNO: i soggetti che hanno ricevuto la comunicazione, forniscono o aggiornano le seguenti informazioni: a) lo spazio di indirizzamento IP pubblico e i nomi di o dominio in uso o nella disponibilità del soggetto; b) ove applicabile, l’elenco degli Stati Membri in cui forniscono servizi che rientrano nell’ambito di applicazione del presente decreto; c) i responsabili, indicando il ruolo presso il soggetto e i loro recapiti aggiornati, compresi gli indirizzi e-mail e numeri di telefono; d) un sostituto del punto di contatto, indicando il ruolo presso il soggetto e i recapiti aggiornati, compresi indirizzi e-mail e numeri di telefono.

Inoltre le seguenti categorie specifiche: fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati on line, i fornitori di motori di ricerca on line e i fornitori di piattaforme di social network, dovranno fornire anche le seguenti informazioni: a) l’indirizzo della sede principale e delle altre sedi del soggetto all’interno dell’Unione Europea; b) se non è stabilito nell’Unione Europea, l’indirizzo della sede  del suo rappresentante, unitamente ai dati di contatto aggiornati, compresi gli indirizzi e-mail ed i  numeri di telefono.

ADEMPIMENTI TECNICI DA ASSOLVERE (ART. 24)

A.     Effettuare l’analisi dei rischi e di sicurezza dei sistemi informativi => correlazione GDPR = aggiornando ed ampliando quella già elaborata per il GDPR | DPIA.

B.     Gestire gli incidenti (notificarli) => correlazione GDPR = laddove si tratti di una violazione anche ai dati, la notifica al CRSIT dovrà essere eseguita entro 72 ore, così come la notifica al Garante per la Protezione dei Dati a seguito di avvenuto Data Breach, sempre entro 72 ore.

C.     Garantire continuità operativa, ivi inclusa la gestione dei back up, il ripristino in caso di disastro e la gestione delle crisi => correlazione GDPR = tutte misure da applicare che devono essere considerate in analisi dei rischi DPIA.

D.     Garantire la sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi (tenendo conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro) => correlazione GDPR = aggiornare ed ampliare il contenuto delle nomine di Responsabili del trattamento esterni e svolgere le verifiche periodiche sulla loro conformità.

E.      Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e divulgazione delle vulnerabilità => correlazione GDPR = tutte misure da applicare che devono essere considerate in analisi dei rischi DPIA.

F.      Porre in essere politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica.

G.     Porre in essere pratiche di igiene di base e di formazione in materia di sicurezza informatica (formazione continua) => correlazione GDPR = aggiornare la formazione privacy inserendo sempre questi argomenti.

H.     Attuare politiche e procedure relative all’uso della crittografia e ove opportuno della cifratura => correlazione GDPR = tutte misure da applicare che devono essere considerate in analisi dei rischi DPIA.

I.       Sicurezza ed affidabilità del personale, politiche di controllo dell’accesso e gestione dei beni e degli assetti => correlazione GDPR = tutte misure da applicare che devono essere considerate in analisi dei rischi DPIA.

J.      Uso di soluzioni di autenticazione multi fattore o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno => correlazione GDPR = tutte misure da applicare che devono essere considerate in analisi dei rischi DPIA.

K.     Identificare dei potenziali bersagli degli hacker all’interno dell’azienda.

L.      Implementare sistemi di identity & access management => correlazione GDPR = tutte misure da applicare che devono essere considerate in analisi dei rischi DPIA.

M.    Definire delle modalità e dei luoghi di archiviazione dei dati, nonché delle persone autorizzate al loro utilizzo => correlazione GDPR = aggiornare, ove necessario, designazioni di incarico e istruzioni scritte

N.     Restrizione dell’accesso agli utenti ai soli dati necessari, con la conservazione di tutti gli altri dati in ambienti protetti.

O.     Valutare criticamente l’opportunità di migrare le informazioni aziendali su cloud.

P.     Definire delle procedure e piani di emergency, disaster recovery, business continuity crisis management, crisis communication (che devono sempre essere testati, esercitati e aggiornati), da attuare in caso di attacco informatico 24 h su 24 h e 7 giorni su 7.

Q.     Analisi dettagliata degli incidenti di sicurezza.

R.     Identificazione di partner in grado di fornire supporto tempestivo in situazioni di emergenza.

S.      Esplorazione di collaborazioni con altre aziende per soddisfare collettivamente i requisiti imposti dalla direttiva.

È quindi fondamentale valutare con celerità il livello di maturità informatica di una organizzazione  procedere alla pianificazione delle strategie di sicurezza e delle capacità di risposta in modo da garantirne una protezione efficace contro gli attacchi informatici e facilitare le lessons learned scaturite da eventuali incidenti pregressi. Va applicato un approccio risk-based e resilience-based per garantire la necessaria cyber resilience della supply chain quale intersezione dei principi di risk management, business continuity e cybersecurity.

Nel valutare quali misure siano adeguate, i soggetti devono tenere conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro (supply chain).

NOTIFICA DI INCIDENTE (ART. 25)

I soggetti essenziali e i soggetti importanti (critici) devono notificare, senza ingiustificato ritardo al CSIRT Italia (organo preposto all’interno dell’ACN => Agenzia Cybersicurezza Nazionale), ogni incidente  che ha un impatto significativo sulla fornitura dei loro servizi. Notificare non espone il soggetto che la effettua ad una maggiore responsabilità rispetto a quella derivante dall’incidente.

QUANDO UN INCIDENTE VIENE CONSIDERATO SIGNIFICATIVO: 

A.     Se ha causato o è in grado di causare una grave perturbazione operativa dei servizi  o perdite finanziarie per il soggetto interessato.

B.     Se ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

La notifica va fatta entro 72 ore da quando sono venuti a conoscenza dell’incidente  significativo (notifica definitiva), ma già entro 24 ore da quando si è venuti a conoscenza dell’incidente va fatta una pre-notifica che indichi, ove possibile, se l’incidente significativo possa ritenersi il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero.

Il CSIRT può richiedere una relazione intermedia, sui pertinenti aggiornamenti della situazione ed una relazione finale, entro un mese dalla notifica dell’incidente che dettagli: il tipo di incidente, la sua gravità e il suo impatto, il tipo di minaccia o la causa originale che ha probabilmente innescato l’incidente, le misure di attenuazione adottate e in corso, ove noto, l’impatto transfrontaliero. In caso di incidente in corso, al momento della trasmissione della relazione, il CSIRT potrà inoltre richiedere una relazione mensile sui progressi ed una relazione finale, entro un mese dalla conclusione della gestione dell’incidente.

Dal momento in cui arriva la notifica, il CSIRT, possibilmente entro 24 ore, fornisce una risposta al soggetto notificante, comprensiva di un riscontro iniziale sull’incidente significativo e, su richiesta del soggetto, orientamenti o consulenza sull’attuazione di possibili misure tecniche  di mitigazione e supporto tecnico.

Qualora si sospetti che l’incidente significativo abbia carattere criminale, il CSIRT Italia fornisce al soggetto notificante anche orientamenti sulla segnalazione dell’incidente, all’organo centrale del Ministero dell’Interno per la sicurezza e per la regolarità dei servizi di telecomunicazione.

Sentito il CSIRT, Italia, se ritenuto opportuno e qualora possibile, i soggetti essenziali e importanti comunicano, senza ingiustificato ritardo, ai destinatari dei loro servizi, gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi, nonché misure o azioni correttive e mitigative che possono adottare in risposta a tale minaccia.

NOTIFICA VOLONTARIA DI INFORMAZIONI PERTINENTI (ART. 26)

I soggetti essenziali e i soggetti importanti, possono essere trasmesse al CSIRT, su base volontaria, le segnalazioni di incidenti diversi da quelli significativi, le minacce informatiche ed i quasi incidenti.

Soggetti diversi da quelli sopra citati, indipendentemente che ricadano o meno nell’ambito di applicazione NIS 2, possono segnalare gli incidenti che hanno un impatto significativo sulla fornitura dei loro servizi, le minacce informatiche ed i quasi incidenti.

CSIRT Italia tratterà queste segnalazioni nelle stesse modalità previste dall’art. 25 e già dettagliate nel capitolo precedente.

CERTIFICAZIONE CYBERSICUREZZA

Obbligatoria per tutti i prodotti TIC, servizi TIC, processi TIC, sviluppati direttamente dal soggetto essenziale o importante o acquisiti da terze parti.

BANCA DATI DI REGISTRAZIONE DEI NOMI DI DOMINIO

I gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione dei nomi di dominio raccolgono e mantengono dati di registrazione dei nomi di dominio accurati e completi in una apposita banca dati, con la dovuta diligenza, conformemente al diritto della UE in materia di protezione dei dati personali. Tale banca dati deve contenere le informazioni necessarie per identificare e contattare i titolari dei nomi di dominio e i punti di contatto che amministrano i nomi di dominio presenti, registrati o censiti nel registro dei nomi di dominio di primo livello. La banca dati dovrà essere resa accessibile, salvo i dati personali.

ISPEZIONI E SANZIONI

Le ispezioni vengono svolte dall’Autorità Nazionale competente NIS attraverso ispezioni in loco e a distanza, compresi controlli casuali, durante i quali può essere controllata la documentazione e le informazioni trasmesse alla Autorità Nazionale competente NIS ed avvenire accesso a dati, documenti ed a tutte le informazioni necessarie allo svolgimento dei propri poteri di controllo.

Soggetti essenziali (escluse p.a.): sanzioni fino ad un massimo di € 10.000.000,00 o del 2% del fatturato mondiale annuo.

Soggetti importanti (escluse p.a.): sanzioni fino ad un massimo di € 7.000.000,00 o del 1,4% del fatturato mondiale annuo.

Pubbliche amministrazioni: sanzioni da € 25.000,00 a € 125.000,00