top of page

Il Governo Italiano Avanza nel Recepimento della Direttiva NIS2: Un Nuovo Quadro per la Sicurezza Informatica e la Resilienza Critica

  • Immagine del redattore: Antonio De Martino
    Antonio De Martino
  • 23 lug 2024
  • Tempo di lettura: 8 min

di Antonio De Martino


Un circuito informatico che fa comprendere l'importanza e la complessità della Sicurezza informatica e dunque della Direttiva Nis2

Il Consiglio dei Ministri, sotto la presidenza del Vice Presidente Antonio Tajani e su proposta della Presidente Giorgia Meloni e del Ministro Raffaele Fitto, ha approvato in via preliminare lo schema di decreto legislativo per il recepimento della Direttiva NIS2. Questo passaggio rappresenta un significativo avanzamento nella strategia italiana per rafforzare la resilienza e la sicurezza informatica delle reti e dei sistemi informativi, conformemente alle linee guida europee.

Il Contesto Europeo: Direttiva NIS2

La Direttiva 2022/2555, nota come NIS2, mira a stabilire un livello elevato comune di sicurezza informatica all’interno dell’Unione Europea. Essa modifica il precedente regolamento n. 910/2014 e la direttiva 2018/1972, abrogando la precedente NIS del 2016. Entrata in vigore il 17 gennaio 2023, la NIS2 dovrà essere recepita entro e non oltre il 17 ottobre 2024, introducendo nuovi obblighi e standard per tutte le aziende e pubbliche amministrazioni europee.


Le Novità della Direttiva NIS2

  1. Ampliare l'Ambito di Applicazione: La NIS2 estende la sua portata includendo un maggior numero di settori e sottosettori critici. Ciò significa che più organizzazioni, soprattutto quelle che gestiscono infrastrutture vitali, saranno tenute a rispettare i nuovi requisiti di sicurezza.



    In particolare, la Direttiva NIS2 si applica a quei settori che, a causa della loro importanza, richiedono un livello elevato di sicurezza informatica per garantire la continuità dei servizi essenziali. Ecco i principali settori a cui si applica la Direttiva NIS2:

    1. Energia:

      • Elettricità (comprese le centrali elettriche, la trasmissione e la distribuzione).

      • Petrolio (comprese la produzione, la raffinazione e la distribuzione).

      • Gas (comprese la produzione, la trasmissione e la distribuzione).

    2. Trasporti:

      • Aereo (inclusi aeroporti, vettori aerei e servizi di gestione del traffico aereo).

      • Ferroviario (inclusi operatori ferroviari e infrastrutture ferroviarie).

      • Acqua (inclusi porti e operatori del trasporto marittimo e fluviale).

      • Stradale (inclusi operatori di infrastrutture stradali e servizi di trasporto su strada).

    3. Settore Bancario:

      • Istituti bancari e altri servizi finanziari.

    4. Infrastrutture dei Mercati Finanziari:

      • Operatori di mercati, sistemi di pagamento e regolamento, e infrastrutture di mercato finanziario.

    5. Settore Sanitario:

      • Ospedali e fornitori di servizi sanitari.

      • Produttori di dispositivi medici e fornitori di servizi di e-health.

    6. Acqua Potabile e Acque Reflue:

      • Gestione e distribuzione dell'acqua potabile.

      • Gestione delle acque reflue.

    7. Produzione, Trasformazione e Distribuzione di Alimenti:

      • Impianti di produzione alimentare, trasformazione e distribuzione.

    8. Infrastrutture Digitali:

      • Provider di servizi di comunicazione elettronica.

      • Data center e fornitori di servizi di cloud computing.

      • Fornitori di reti di distribuzione dei contenuti (CDN).

    9. Spazio:

      • Operatori di infrastrutture spaziali e servizi connessi.

    10. Amministrazione Pubblica:

      • Enti e autorità pubbliche che forniscono servizi essenziali alla popolazione.

    Nuove Aggiunte Rispetto alla Direttiva NIS:

    • Provider di Servizi Digitali: Inclusi i motori di ricerca, le piattaforme di social media e i fornitori di servizi di online marketplace.

    • Produttori di Prodotti ICT: Che forniscono hardware, software e altre tecnologie critiche.


    Questi settori sono stati scelti per la loro importanza strategica e per l'impatto che eventuali disservizi potrebbero avere sulla sicurezza nazionale, sull'economia e sulla società in generale. La Direttiva NIS2 impone a queste organizzazioni di adottare misure di sicurezza adeguate, effettuare valutazioni dei rischi e notificare tempestivamente gli incidenti di sicurezza informatica alle autorità competenti.



  2. Distinzione tra "Soggetti Essenziali" e "Soggetti Importanti": La direttiva introduce una distinzione basata su una serie di criteri che tengono in considerazione più parametri, semplificando così la gestione delle risorse e l’applicazione delle misure di sicurezza. I “soggetti essenziali” devono garantire un livello di sicurezza superiore rispetto ai “soggetti importanti”.



    I soggetti essenziali sono quelle entità che forniscono servizi fondamentali per il funzionamento della società e dell'economia, la cui interruzione potrebbe avere un impatto significativo sulla sicurezza nazionale, sulla salute pubblica, sulla sicurezza pubblica o sulla fiducia dei cittadini.


    I soggetti importanti sono quelle entità che, pur non avendo un ruolo così critico come i soggetti essenziali, forniscono servizi che potrebbero comunque avere un impatto significativo su specifici settori o regioni in caso di interruzione.


    Principali differenze tra i soggetti essenziali e quelli importanti


    - Criticità del Servizio: I soggetti essenziali forniscono servizi di importanza fondamentale per la società e l'economia, mentre i soggetti importanti forniscono servizi che, seppur importanti, hanno un impatto meno critico.


    - Livello di Sicurezza: I requisiti di sicurezza per i soggetti essenziali sono generalmente più rigorosi e dettagliati rispetto a quelli per i soggetti importanti.

    Questi requisiti includono misure tecniche e organizzative avanzate per gestire i rischi, valutazioni del rischio regolari, gestione e segnalazione tempestiva degli incidenti di sicurezza, piani di continuità operativa, protezione dei dati sensibili, formazione del personale e audit periodici per garantire la conformità. Queste misure sono necessarie per assicurare la protezione dei servizi critici e la resilienza contro gli incidenti di sicurezza.


    - Approccio Proporzionato: La Direttiva NIS2 adotta un approccio proporzionato, richiedendo che le misure di sicurezza siano commisurate all'importanza e alla dimensione del soggetto. Questo significa che i soggetti essenziali, dati i loro servizi più critici, devono adottare misure più robuste rispetto ai soggetti importanti.


3. Razionalizzazione dei Requisiti di Sicurezza: Viene rafforzato il quadro normativo riguardante i requisiti minimi di sicurezza, semplificando le procedure di notifica degli incidenti e promuovendo un approccio “multirischio” che include minacce sia digitali che fisiche.


4. Coordinamento e Divulgazione delle Vulnerabilità: La NIS2 stabilisce una normativa dettagliata per la gestione coordinata delle vulnerabilità, affidando agli CSIRT (Computer Security Incident Response Team) nazionali specifiche funzioni di coordinamento e risposta agli incidenti.


5. Misure di Cooperazione e Gestione delle Crisi: L'adozione di misure di cooperazione mira a migliorare la gestione degli incidenti e delle crisi di cybersicurezza su scala europea, favorendo una risposta rapida ed efficace agli attacchi cyber.


Il Decreto Legislativo Italiano e le Nuove Direttive sulla Resilienza dei Soggetti Critici

Come già accennato, il governo italiano ha approvato lo schema di decreto legislativo che recepisce la Direttiva 2022/2557 sulla resilienza dei soggetti critici, abrogando la Direttiva 2008/114/CE. Questo decreto stabilisce un nuovo standard per identificare e rafforzare i settori e le infrastrutture vitali, inclusi energia, trasporti, bancario, acque potabili, alimentare, salute, spazio, mercati finanziari e digitali, oltre agli enti pubblici.

Obblighi e Misure per i Soggetti Critici

I soggetti critici devono:

  • Valutare i Rischi e Adottare Misure di Sicurezza: Devono effettuare una valutazione del rischio, adottando misure tecniche, organizzative e di sicurezza adeguate per garantire la resilienza operativa.

  • Notificare gli Incidenti: È obbligatorio notificare tempestivamente all’autorità competente qualsiasi incidente che potrebbe compromettere la fornitura di servizi essenziali.

  • Stabilire Strategie e Procedure Comuni: Il decreto prevede l’adozione di una strategia specifica e la regolamentazione delle modalità di identificazione dei soggetti critici, assicurando una cooperazione efficace tra gli enti e con le normative di cybersicurezza europee.


Un Futuro più Sicuro e Resiliente

Con l'approvazione di queste direttive e decreti, l'Italia si posiziona all'avanguardia nella protezione delle infrastrutture critiche e nella gestione della sicurezza informatica. Questo passo è essenziale non solo per il rafforzamento della nostra sicurezza nazionale, ma anche per contribuire a un'Unione Europea più sicura e resiliente. Il prossimo passo sarà la messa a punto delle normative secondarie e la formazione di una rete di cooperazione nazionale e internazionale che garantisca una risposta coordinata e tempestiva agli incidenti di cybersicurezza.


Tipologie di Sanzioni

  1. Sanzioni Amministrative Pecuniarie:

    • Le sanzioni pecuniarie possono variare a seconda della natura e della gravità della violazione. Possono essere imposte per mancata adozione di misure di sicurezza adeguate, mancata notifica degli incidenti di sicurezza, o per altre inadempienze specifiche agli obblighi del decreto.

    • Le multe possono raggiungere importi significativi, spesso calcolati come una percentuale del fatturato annuo dell'organizzazione. Ad esempio, possono arrivare fino al 2% del fatturato annuo globale per le violazioni più gravi.

  2. Sanzioni Non Pecuniarie:

    • Ordini di Cessazione: Le autorità competenti possono emettere ordini di cessazione per attività specifiche fino a quando non viene ripristinata la conformità.

    • Sospensione delle Attività: In casi estremi, le autorità possono sospendere temporaneamente o permanentemente le attività di un’organizzazione fino a quando non vengono adottate le misure necessarie per garantire la sicurezza.

    • Nomina di un Commissario: Un commissario può essere nominato per gestire l'organizzazione e garantire la conformità alle normative.

  3. Sanzioni Penali:

    • In caso di violazioni particolarmente gravi o dolose, possono essere previste anche sanzioni penali. Queste possono includere multe aggiuntive, nonché pene detentive per i responsabili, a seconda della legislazione nazionale applicabile.


Meccanismi di Applicazione delle Sanzioni

  1. Valutazione delle Violazioni:

    • Le autorità competenti effettuano una valutazione dettagliata delle violazioni per determinare la gravità e l'impatto delle stesse. Questo include l'analisi del livello di negligenza, l'entità del danno causato e la frequenza delle violazioni.

  2. Procedura di Contestazione:

    • Le organizzazioni hanno il diritto di contestare le sanzioni imposte. Questo processo prevede la presentazione di prove e argomentazioni a sostegno della propria posizione, e può includere anche il ricorso a tribunali amministrativi o civili.

  3. Misure Correttive:

    • Oltre alle sanzioni, le organizzazioni possono essere obbligate a implementare misure correttive per prevenire future violazioni. Queste misure devono essere adottate entro termini stabiliti dalle autorità competenti.

Obblighi di Conformità e Notifica

  1. Valutazione del Rischio:

    • Le organizzazioni devono effettuare valutazioni del rischio regolari e documentate, identificando le potenziali minacce e vulnerabilità.

  2. Misure di Sicurezza:

    • Devono implementare misure di sicurezza tecniche e organizzative adeguate e proporzionate ai rischi individuati.

  3. Notifica degli Incidenti:

    • È obbligatorio notificare senza indebito ritardo qualsiasi incidente di sicurezza che abbia un impatto significativo sui servizi essenziali all'autorità competente.

  4. Documentazione e Reportistica:

    • Le organizzazioni devono mantenere una documentazione accurata delle misure di sicurezza adottate e degli incidenti verificatisi, che può essere richiesta dalle autorità per verifiche e controlli.


Il sistema di sanzioni previsto dal decreto legislativo che recepisce la Direttiva NIS2 è progettato per garantire un elevato livello di conformità e sicurezza tra i soggetti critici e importanti. Le sanzioni, che includono multe pecuniarie, misure correttive e, in casi estremi, pene penali, sottolineano l'importanza della sicurezza informatica e la necessità di un impegno costante da parte delle organizzazioni per proteggere le infrastrutture critiche e i servizi essenziali.


Azioni del Governo Italiano riguardo alla Direttiva NIS2

Fino ad ora, il governo italiano ha avviato diverse iniziative per adeguarsi alla Direttiva NIS2:

  1. Recepimento della Direttiva NIS2:

    • L'Italia, come membro dell'Unione Europea, è tenuta a recepire la Direttiva NIS2 nel proprio ordinamento nazionale. Questo processo implica la trasposizione delle disposizioni della direttiva in leggi e regolamenti nazionali. Per ora è stato approvato lo schema di decreto legislativo, cosa che abbiamo già detto a più riprese.


  2. Agenzia per la Cybersicurezza Nazionale (ACN):

    • L'Italia ha istituito l'Agenzia per la Cybersicurezza Nazionale, che ha il compito di coordinare le attività di cybersecurity e di garantire l'implementazione delle misure previste dalla NIS2.

    • L'ACN svolge un ruolo centrale nella supervisione e nel supporto ai soggetti essenziali e importanti, fornendo linee guida e supporto tecnico.

  3. Piani di Sicurezza e Gestione del Rischio:

    • Il governo ha promosso l'adozione di piani di sicurezza e gestione del rischio da parte delle organizzazioni pubbliche e private, in linea con i requisiti della NIS2.

    • Sono stati introdotti programmi di formazione e sensibilizzazione sulla sicurezza informatica per aumentare la consapevolezza e le competenze nel settore.


Quando Sarà Obbligatorio il Rispetto delle Regole della NIS2?

Anche questo lo abbiamo già accennato, la Direttiva NIS2 è entrata in vigore il 16 gennaio 2023. Gli Stati membri dell'UE, inclusa l'Italia, hanno tempo fino al 17 ottobre 2024 per recepirla nel diritto nazionale.


Differenza tra Regolamento e Direttiva nell'Unione Europea

  • Regolamento:

    • Un regolamento dell'UE è un atto normativo che ha portata generale, è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

    • I regolamenti entrano in vigore automaticamente e immediatamente senza bisogno di recepimento da parte degli Stati membri.

    • Esempio: Il Regolamento Generale sulla Protezione dei Dati (GDPR).

  • Direttiva:

    • Una direttiva dell'UE è un atto normativo che vincola gli Stati membri destinatari per quanto riguarda il risultato da raggiungere, ma lascia loro la scelta della forma e dei mezzi.

    • Le direttive richiedono un atto di recepimento nel diritto nazionale da parte degli Stati membri, che devono adattare le proprie leggi per conformarsi agli obiettivi della direttiva entro un determinato termine.

    • Esempio: La Direttiva NIS2.


Dunque, possiamo dire che il governo italiano sta attivamente lavorando per recepire la Direttiva NIS2, entro il 17 ottobre 2024. La differenza fondamentale tra regolamento e direttiva è che i regolamenti sono immediatamente applicabili e obbligatori in tutti gli Stati membri, mentre le direttive richiedono una trasposizione nel diritto nazionale, lasciando agli Stati membri la libertà di scegliere i mezzi per raggiungere gli obiettivi stabiliti.


Conclusioni

Il recepimento della Direttiva NIS2 e della Direttiva CER rappresenta un'importante evoluzione nella strategia di sicurezza informatica dell’Italia. Con l'implementazione di queste norme, il nostro Paese sta facendo un passo decisivo verso un futuro più sicuro, in cui la resilienza delle infrastrutture critiche è al centro delle politiche di sicurezza nazionale e europea.

 
 
bottom of page