Direttiva NIS 2

La Direttiva NIS 2 – Network and Information Security – è la nuova normativa europea in materia di cybersicurezza, pensata per garantire un livello elevato e comune di sicurezza informatica alle aziende che operano in tutti gli Stati membri

di Fabrizio Salmi e Federico Saporiti

L’Italia ha recepito la Direttiva NIS 2 con il Decreto Legislativo 4 settembre 2024, n. 138, Il decreto italiano estende significativamente la platea dei soggetti obbligati rispetto al passato. Rientrano nel suo campo di applicazione:

Operatori di servizi essenziali nei settori chiave come energia, trasporti, sanità, sistema bancario e finanziario. (Questi erano già presenti nella precedente normativa, ma ora sono ridefiniti secondo NIS 2).

Fornitori di servizi digitali critici, ad esempio provider cloud, motori di ricerca e piattaforme online di grandi dimensioni.

Imprese di altri settori critici per sicurezza e continuità dei servizi, includendo comparti prima esclusi. Tra le novità figurano le Pubbliche Amministrazioni (per la prima volta incluse nella NIS) e settori come lo spazio e la produzione chimica, rifiuti, trasporti ecc.

Inoltre, il D.lgs. 138/2024 introduce criteri dimensionali per individuare i destinatari (in linea con la definizione europea di medie e grandi imprese), prevedendo comunque eccezioni: anche enti sotto soglia potranno essere inclusi se la loro rilevanza lo giustifica, garantendo che nessun asset critico resti scoperto. In pratica, molte più aziende italiane rispetto al passato ricadono ora nella “perimetrazione” NIS: non solo grandi utility o provider digitali, ma anche realtà manifatturiere, sanitarie e pubbliche amministrazioni di dimensioni significative. L’impatto di tale ampliamento è notevole: centinaia (se non migliaia) di organizzazioni dovranno adeguarsi ai nuovi obblighi di sicurezza informatica, mentre in precedenza solo poche decine di operatori essenziali erano soggetti alla normativa NIS.

Direttiva NIS 2: obblighi di sicurezza informatica

La Direttiva NIS 2 e il D.lgs. 138/2024 impongono alle aziende soggette una serie articolata di obblighi di sicurezza informatica, sia di natura preventiva (misure da adottare per gestire i rischi e prevenire incidenti) sia di natura reattiva (procedure da seguire in caso di attacco o incidente).

Misure di sicurezza e gestione dei rischi. Le aziende sono tenute ad adempiere i seguenti obblighi tecnico-organizzativi:

• Analisi e valutazione dei rischi continuative e sistematiche (risk assesment periodici su sistemi e dati);
• Politiche e procedure di sicurezza informatica documentate, ad esempio politiche per la sicurezza delle informazioni, policy di accesso e controllo, gestione delle vulnerabilità e aggiornamenti;
• Misure tecniche di protezione appropriate: dalla cifratura dei dati sensibili ai sistemi di rilevamento intrusioni, backup regolari, segmentazione della rete, controllo degli accessi ecc. Tali misure vanno calibrate sui rischi specifici di settore e sulle dimensioni dell’azienda;
• Procedure di gestione delle crisi cyber e piani di continuità operativa (business continuity e disaster recovery) per garantire la continuità dei servizi essenziali anche in caso di attacco.

Importante novità è l’attenzione alla sicurezza della supply chain: le imprese soggette devono valutare anche i rischi lungo la catena di approvvigionamento ICT. In altre parole, devono assicurarsi che i propri fornitori e partner critici adottino misure di sicurezza adeguate, poiché una vulnerabilità presso un fornitore può propagarsi all’azienda cliente. Questo si traduce in obblighi contrattuali e di due diligence verso terze parti (verifiche di sicurezza, clausole contrattuali, audit ai fornitori critici ecc.). Anche imprese non direttamente soggette a NIS 2 potrebbero quindi doversi adeguare per via delle richieste di sicurezza provenienti dai loro clienti soggetti a NIS.

Governance interna della cybersicurezza

Gli obblighi organizzativi e di governance prevedono che le aziende approvino le misure di gestione del rischio cyber adottate e ne sovrintendano l’implementazione. Ciò significa che le decisioni sulle risorse e sulle politiche di sicurezza devono essere avallate dal management, inserendo la cyber resilienza tra gli obiettivi strategici dell’impresa. Sono dunque tenute a disporre di conoscenze e competenze adeguate in materia di sicurezza informatica. La NIS 2 rende dunque la formazione del management un obbligo preciso. Inoltre devono formare e sensibilizzare regolarmente il personale sui temi di cybersicurezza. In sostanza, la governance di cybersecurity va integrata nella corporate governance generale.

Segnalazione degli incidenti

In merito agli obblighi di notifica e gestione incidenti, in particolare, il decreto prevede tre fasi:

• Notifica iniziale entro 24 ore da quando l’azienda viene a conoscenza dell’incidente. Si tratta di un primo avviso (“early warning”) che deve contenere le informazioni disponibili in prima battuta.
• Notifica di aggiornamento entro 72 ore dalla conoscenza dell’incidente. Entro tre giorni, va inviata una relazione più dettagliata sull’incidente (“incident notification”) contenente una valutazione iniziale dell’impatto, la causa presumibile, le azioni correttive intraprese e ogni informazione rilevante aggiuntiva.
• Relazione finale da trasmettere entro un mese dalla notifica iniziale.

Come sottoporre le notifiche

Tutte queste comunicazioni vanno indirizzate all’Agenzia per la Cybersicurezza Nazionale (ACN), designata come Single Point of Contact NIS in Italia. L’ACN (o il CSIRT italiano) ha a sua volta l’obbligo di fornire un feedback iniziale all’entità segnalante entro 24 ore dalla notifica, per confermare la ricezione ed eventualmente suggerire azioni di supporto. La procedura di notifica è quindi bidirezionale. È importante notare che la notifica NIS è distinta da quella prevista dal GDPR per i data breach, che rimane obbligatoria verso il Garante Privacy se vi è esposizione di dati personali. Un cyber incidente grave potrà richiedere entrambe le segnalazioni.

Le sanzioni previste dal D.lgs. 138/2024 sono di due tipi: amministrative pecuniarie (multe) e interdittive (misure che limitano temporaneamente l’attività o la qualifica dei responsabili). In sintesi:

Per le violazioni più gravi delle disposizioni NIS (ad esempio, mancata adozione totale di misure di sicurezza, omessa notifica di un incidente significativo, reiterata non conformità a diffide dell’ACN), possono essere comminate sanzioni pecuniarie fino al 2% del fatturato mondiale annuo dell’azienda. Il decreto fissa questo massimale in linea con quanto richiesto dalla direttiva (per le entità essenziali il tetto sanzionatorio è 10 milioni di euro o 2% del giro d’affari mondiale, per le importanti 7 milioni o 1,4%).

È sancita la responsabilità diretta degli organi amministrativi dell’ente. Ove un incidente o una violazione NIS derivi da colpa o omissione dei dirigenti, questi ultimi possono incorrere in conseguenze sul piano civile (azioni di risarcimento danni verso l’azienda o terzi) e in taluni casi penale.

Per infrazioni meno gravi o sanabili, l’ACN può optare per misure correttive progressive: diffide con prescrizione di adeguamento entro un termine, segnalazioni pubbliche (naming and shaming), fino ad arrivare – in caso di inottemperanza – alle sanzioni pecuniarie di cui sopra.

Direttiva NIS 2: le principali scadenze previste

Registrazione sulla piattaforma ACN in base all’articolo 7, comma 1, articolo 42, comma 1, lettera a:

• Entro il 17 gennaio 2025 per i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network che rientrano nell’ambito di applicazione del decreto.
• Entro il 28 febbraio 2025 per tutti gli altri soggetti che rientrano nell’ambito di applicazione del decreto.
• Entro metà maggio 2025, trasmissione e aggiornamento, tempestivo (comunque non oltre 14 giorni dalla modifica) delle informazioni dei soggetti NIS (articolo 7, commi 4, 5 e 7).
• Entro gennaio 2026 (entro 9 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS), adempimento agli obblighi di base in materia di notifica di incidente.
• Entro ottobre 2026 (entro 18 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS), adempimento agli obblighi di base in materia di sicurezza informatica.