La Direttiva NIS2: Direttiva (UE) 2022/2555 in materia di cybersicurezza

La Direttiva (UE) 2022 2555 NIS2, come recepita dal D.Lgs. 4 settembre 2024, n. 138 e relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, aggiorna e sostituisce la precedente Direttiva NIS (Direttiva (UE) 2016/1148).

L'acronimo NIS sta per Network and Information Security, ovvero sicurezza delle reti e dei sistemi informativi.

La Direttiva NIS (adottata nel 2016) e la successiva Direttiva NIS2 mirano a stabilire standard elevati di sicurezza informatica all'interno dell'Unione Europea, proteggendo le infrastrutture critiche e migliorando la resilienza delle reti e dei sistemi informativi essenziali per la società e l'economia.
Estende l’elenco dei settori considerati critici dal punto di vista della sicurezza informatica e include nuove categorie di operatori negli ambiti dell'energia, dei trasporti, delle banche, delle infrastrutture del mercato finanziario, della sanità, della fornitura di acqua potabile, delle infrastrutture digitali e dei servizi pubblici.

La Direttiva NIS2 è rivolta a:

Secondo l'articolo 6 del decreto, sono considerati soggetti essenziali:
 

• Entità che superano i massimali per le medie imprese: aziende con più di 250 dipendenti e un fatturato annuo superiore a 50 milioni di euro o un totale di bilancio annuo superiore a 43 milioni di euro.
• Fornitori di reti pubbliche di comunicazione elettronica e fornitori di servizi di comunicazione elettronica accessibili al pubblico che si considerano medie imprese.
• Prestatori di servizi fiduciari qualificati.
• Gestori di registri dei nomi di dominio di primo livello e prestatori di servizi di sistema dei nomi di dominio.
• Pubbliche amministrazioni centrali elencate nell'Allegato III del decreto.
• Soggetti identificati come critici ai sensi del decreto legislativo che recepisce la Direttiva (UE) 2022/2557.

A titolo di esempio in un elenco non esaustivo di “Soggetti essenziali” possiamo includere:
 
Soggetti Essenziali (Settori Critici - Allegato I):

1 - Energia:
 

• Operatori delle reti di trasmissione e distribuzione di energia elettrica.
• Gestori di sistemi di trasporto e distribuzione di gas.
• Imprese che operano in impianti di generazione di energia, inclusi impianti nucleari.

2 - Trasporti:
 

• Gestori di aeroporti e porti marittimi principali.
• Aziende ferroviarie e gestori di infrastrutture ferroviarie.
• Operatori di trasporto su strada di grandi dimensioni.

3 - Sanità:
 

• Strutture sanitarie, incluse cliniche, ospedali e laboratori diagnostici.
• Fornitori di tecnologie sanitarie critiche (e.g., software medici essenziali per la sicurezza dei pazienti).

4 - Settore Bancario e Finanziario:
 

• Istituti bancari critici per l'economia nazionale o regionale.
• Operatori di infrastrutture di mercato finanziario (e.g., borse valori).

5 - Acqua potabile:
 

• Gestori di infrastrutture per il trattamento e la distribuzione di acqua potabile.

6 - Infrastrutture digitali:
 

• Fornitori di servizi di cloud computing e data center critici.
• Gestori di registri dei nomi di dominio (DNS) di primo livello.

 
Soggetti inclusi indipendentemente dalle dimensioni:
 

• Fornitori di reti pubbliche di comunicazione elettronica o servizi di comunicazione elettronica accessibili al pubblico.
• Prestatori di servizi fiduciari qualificati.
• Entità critiche a livello nazionale o regionale, come definiti dal decreto.
• Entità operative in infrastrutture di rete essenziali per la sicurezza pubblica.

 
Criteri di inclusione come Soggetti Essenziali:
 

• Criticità dei servizi offerti: Se l'interruzione di un servizio può compromettere la sicurezza pubblica, la salute pubblica, o la stabilità economica.
• Unicità del fornitore: Quando l'entità è l'unico fornitore di un servizio essenziale in un settore specifico.
• Impatto transfrontaliero: Se la perturbazione del servizio fornito ha effetti in più Stati membri dell'UE.

Sono considerati soggetti importanti le entità che:
 

• Non rientrano nella categoria dei soggetti essenziali ma operano nei settori elencati negli allegati del decreto.
• Superano i massimali per le piccole imprese, ovvero aziende con più di 50 dipendenti e un fatturato annuo superiore a 10 milioni di euro.

 
Tra gli esempi possiamo includere:
 
Soggetti Importanti (Settori Considerati Critici - Allegato II):

1- Settore postale e corrieri:
 

• Aziende che forniscono servizi di spedizione, consegna e logistica per corrispondenza e pacchi.

2- Fornitura e gestione dei rifiuti:
 

• Operatori coinvolti nella gestione dei rifiuti, compresi i rifiuti pericolosi.

3- Fornitura di prodotti chimici critici:
 

• Aziende che producono o distribuiscono sostanze chimiche essenziali per la società o per la sicurezza pubblica.

4 - Produzione e trasformazione alimentare:
 

• Imprese che operano nella produzione, trasformazione e distribuzione alimentare in settori critici per la sicurezza alimentare.

5 - Prodotti farmaceutici e dispositivi medici:
 

• Aziende che fabbricano, distribuiscono o forniscono dispositivi medici e farmaci essenziali.

6 - Fornitura di Tecnologia dell'Informazione e della Comunicazione (ICT):
 

• Fornitori di servizi TIC, incluse aziende che sviluppano software gestionali, piattaforme digitali o strumenti ICT non considerati critici come nel caso dei "soggetti essenziali".

7 - Ricerca e Sviluppo in materia di sicurezza:
 

• Enti o aziende che lavorano in progetti di ricerca e sviluppo relativi a sicurezza informatica o infrastrutture critiche.

8 - Amministrazioni Pubbliche regionali o locali:
 

• Entità che gestiscono funzioni pubbliche ma che non rientrano tra le amministrazioni centrali classificate come "essenziali".

Criteri di Inclusione come Soggetti Importanti:


Appartenenza a settori critici elencati negli allegati del Decreto Legislativo.

Superamento dei limiti dimensionali per le piccole imprese:
 

• 50 o più dipendenti.
• Fatturato annuo o totale di bilancio superiore a 10 milioni di euro.

 
Differenze principali rispetto ai Soggetti Essenziali:
 

• I Soggetti Importanti operano in settori rilevanti ma non strategici per la sicurezza nazionale o per la continuità di servizi essenziali.
• La gravità e l’impatto di un loro eventuale malfunzionamento sono considerati inferiori rispetto a quelli di un soggetto essenziale. 

Tutti i soggetti pubblici e privati che rientrano nelle categorie sopra descritte devono registrarsi sulla piattaforma digitale messa a disposizione dall'ACN entro il 28 febbraio di ogni anno. La mancata registrazione comporta sanzioni amministrative pecuniarie fino allo 0,1% del fatturato annuo su scala mondiale del soggetto.
 
Tra i principali punti previsti dalla Direttiva NIS2:
 

1. Ampliamento dell’ambito di applicazione: La Direttiva NIS2 estende l’elenco dei settori considerati critici e include nuove categorie di operatori che devono adottare misure di sicurezza. Tra questi ci sono i settori dell'energia, dei trasporti, delle banche, delle infrastrutture del mercato finanziario, della sanità, della fornitura di acqua potabile, delle infrastrutture digitali e dei servizi pubblici.
2. Responsabilità dei vertici aziendali: La Direttiva introduce l'obbligo per i dirigenti di alto livello di essere direttamente responsabili della gestione della sicurezza informatica. I dirigenti devono garantire che le aziende adottino misure di sicurezza adeguate e siano preparate a rispondere a incidenti di sicurezza informatica.
3. Obblighi di notifica degli incidenti: Le organizzazioni sono tenute a notificare tempestivamente alle autorità competenti gli incidenti di sicurezza informatica significativi che possono avere un impatto su servizi critici. La tempistica per la notifica iniziale è fissata entro 24 ore dalla scoperta dell’incidente, con aggiornamenti e un rapporto finale entro un mese.
4. Miglioramento della gestione dei rischi: Le organizzazioni devono adottare misure specifiche per gestire i rischi informatici, che includono, tra l’altro, la gestione della sicurezza della catena di approvvigionamento (supply chain), la sicurezza delle comunicazioni, la gestione delle vulnerabilità e la formazione dei dipendenti.
5. Sanzioni: La Direttiva prevede sanzioni per le aziende che non rispettano i requisiti di sicurezza. Le multe possono essere significative e sono proporzionate alla gravità della violazione, con importi fino al 2% del fatturato mondiale dell'azienda.
6. Cooperazione a livello europeo: La NIS2 rafforza la cooperazione tra gli Stati membri, istituendo un quadro europeo di condivisione delle informazioni sulle minacce e sulle migliori pratiche, e promuovendo una risposta coordinata agli incidenti su larga scala.
7. Ruolo delle autorità competenti e dei CSIRT: Viene consolidato il ruolo delle autorità competenti nazionali e dei CSIRT (Computer Security Incident Response Team) come punti di riferimento per la gestione degli incidenti e per il supporto alle organizzazioni in tema di sicurezza informatica.

La Direttiva NIS2 si applica alle imprese che rientrano nella definizione di "media impresa" o che superano i limiti stabiliti per tali imprese, come definiti nell'articolo 2 dell'allegato alla Raccomandazione 2003/361/CE. In generale, ciò include aziende con più di 250 dipendenti o un fatturato annuo superiore a 50 milioni di euro e/o un totale di bilancio annuo superiore a 43 milioni di euro.
 
Tuttavia, la Direttiva NIS2 prevede eccezioni a questi criteri dimensionali. In particolare, si applica indipendentemente dalle dimensioni dell'impresa nei seguenti casi:
 

• Fornitori di reti pubbliche di comunicazione elettronica o servizi di comunicazione elettronica accessibili al pubblico.
• Prestatori di servizi fiduciari.
• Registri di nomi di dominio di primo livello e fornitori di servizi DNS (Domain Name System).
• Entità identificate come critiche a livello nazionale o regionale.
• Entità che forniscono servizi essenziali per il mantenimento di attività sociali o economiche fondamentali, la cui perturbazione potrebbe avere un impatto significativo sulla sicurezza pubblica, sull'incolumità pubblica o sulla salute pubblica. 

Pertanto, una software house sarà soggetta alla Direttiva NIS2 se soddisfa i criteri dimensionali sopra menzionati o se rientra in una delle categorie specificate, indipendentemente dalle sue dimensioni.

L'Articolo 24 del Decreto Legislativo 4 settembre 2024, n. 138, stabilisce obblighi specifici per la gestione dei rischi in materia di sicurezza informatica per i Soggetti Essenziali e Importanti. Ecco i principali requisiti previsti:

1 - Misure tecniche, operative e organizzative: I soggetti devono adottare misure proporzionate e adeguate alla gestione dei rischi per la sicurezza dei loro sistemi informativi e di rete, considerando conoscenze aggiornate, stato dell’arte, norme applicabili e costi di attuazione.
Le misure devono essere in grado di:

• Garantire un livello di sicurezza adeguato ai rischi.
• Essere proporzionate al grado di esposizione ai rischi e alla probabilità e gravità degli incidenti.

2 - Approccio multi-rischio: Le misure devono proteggere i sistemi informativi e l’ambiente fisico dai rischi, comprendendo:

• Politiche di analisi dei rischi: Sistemi e protocolli per la valutazione continua dei rischi.
• Gestione degli incidenti: Procedure per notificare incidenti rilevanti.
• Continuità operativa: Piani di backup e gestione delle crisi.
• Sicurezza della catena di fornitura: Valutazione della sicurezza dei fornitori.
• Sicurezza nello sviluppo e manutenzione dei sistemi: Gestione e divulgazione delle vulnerabilità.

3 - Controllo e valutazione dell’efficacia: Politiche e procedure per garantire che le misure adottate siano efficaci e aggiornate rispetto ai rischi.

4 - Criptografia e igiene informatica: Uso di pratiche di sicurezza come la criptografia, quando opportuno, e programmi di formazione per il personale.

Gli obblighi previsti dal Decreto Legislativo 4 settembre 2024, n. 138, che recepisce la Direttiva NIS2, entrano in vigore secondo una tempistica specifica:
 

1. Entrata in vigore del decreto: Il decreto è entrato in vigore il 16 ottobre 2024.
2. Obblighi di registrazione: A partire dal 1° dicembre 2024, tutti i soggetti pubblici e privati che rientrano nel campo di applicazione del decreto devono registrarsi sulla piattaforma digitale messa a disposizione dall'Agenzia per la Cybersicurezza Nazionale (ACN).
3. Obblighi di conformità: Gli obblighi specifici di conformità, come l'adozione di misure tecniche e organizzative per la gestione dei rischi di sicurezza informatica, devono essere implementati entro 18 mesi dalla comunicazione di inclusione nell'elenco dei soggetti essenziali o importanti. Considerando che l'ACN comunicherà l'inclusione entro il 15 aprile 2025, le misure dovranno essere adottate entro ottobre 2026.