NIS 2: gli obblighi per le imprese italiane

La NIS 2 diventa legge in Italia

L’Italia ha compiuto un significativo passo avanti nel rafforzamento della propria sicurezza cibernetica con il recepimento della Direttiva Europea NIS 2 (Network and Information Systems Directive 2) attraverso il Decreto Legislativo 138/2024.

Questa normativa, entrata in vigore il 18 ottobre 2024, introduce una serie di obblighi specifici per le imprese che operano in settori critici, al fine di garantire un elevato livello di sicurezza delle reti e dei sistemi informativi.

Obiettivi della NIS 2

Il crescente numero e la complessità degli attacchi informatici hanno reso indispensabile l’adozione di misure di sicurezza più stringenti a livello europeo. La direttiva NIS 2 rappresenta una risposta a queste sfide, introducendo un quadro normativo comune e armonizzato per tutti gli Stati membri.

L’obiettivo principale della NIS 2 è quello di garantire una elevata sicurezza informatica a livello nazionale, proteggendo le reti e i sistemi informativi usati per fornire servizi essenziali. In particolare, la direttiva mira a:

prevenire gli incidenti informatici attraverso l’adozione di misure di sicurezza adeguate;
rilevare tempestivamente gli incidenti informatici;
rispondere in modo efficace agli incidenti informatici, minimizzando i danni e ripristinando rapidamente i servizi;
collaborare tra i diversi attori coinvolti nella sicurezza cibernetica, sia a livello nazionale che internazionale.

Chi è interessato dalla NIS 2?

Le norme contenute nel D.Lgs.138/2024 si applicano ai soggetti pubblici e privati che operano in alcuni settori considerati chiave ed indicati negli allegati I, II, III e IV.

I primi due allegati riportano, rispettivamente, i settori ad alta criticità (energia; trasporti; settore bancario; infrastrutture dei mercati finanziari; settore sanitario; acqua potabile; acque reflue; infrastrutture digitali; gestione dei servizi TIC; spazio) e gli altri settori critici (servizi postali e di corriere; gestione dei rifiuti; fabbricazione, produzione e distribuzione di sostanze chimiche; produzione, trasformazione e distribuzione di alimenti; fabbricazione; fornitori di servizi digitali; ricerca).

Mentre gli allegati III e IV elencano le amministrazioni pubbliche tenute ad applicare la normativa NIS 2.

La classificazione dei soggetti: soggetti essenziali e soggetti importanti

Un aspetto fondamentale della nuova normativa è la distinzione tra “soggetti essenziali” e “soggetti importanti”.

Vengono considerati essenziali:

le imprese che operano nei settori ad alta criticità e superano i parametri dimensionali delle medie imprese (più di 250 dipendenti e fatturato superiore a 50 milioni di euro o bilancio superiore a 43 milioni);
i fornitori di reti pubbliche di comunicazione elettronica classificati come medie imprese;
i soggetti identificati come critici dal Decreto Legislativo 134/2024;
i prestatori di servizi fiduciari qualificati;
i gestori di registri dei nomi di dominio di primo livello.

Tutti gli altri soggetti che rientrano nell’ambito di applicazione del decreto vengono classificati come “importanti”.

Gli obblighi principali

La compliance aziendale alla NIS 2 richiede l’implementazione di diverse misure di information security.

Tra gli obblighi principali troviamo:

1. Auto-registrazione. I soggetti che rientrano nel campo di applicazione della normativa sono tenuti a registrarsi su una piattaforma digitale dedicata dell’Autorità nazionale competente NIS.

2. Gli stessi soggetti sono tenuti ad adottare una serie di misure tecniche, operative ed organizzative, tra cui:

politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete;
procedure di gestione degli incidenti;
sistemi di continuità operativa attraverso la gestione di backup e di ripristini in caso di disastro;
gestione della sicurezza della supply chain;
procedure per lo sviluppo e la manutenzione dei sistemi;
formazione in materia di cybersecurity;
implementazione di sistemi di crittografia;
gestione degli accessi e del personale;
uso di soluzioni di autenticazione a più fattori.

La gestione e notifica degli incidenti

Tra gli obblighi a carico delle imprese, la normativa dedica particolare attenzione alla gestione degli incidenti di sicurezza informatica. Un incidente viene definito come un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati, o dei servizi offerti dai sistemi informativi e di rete.

Classificazione degli incidenti significativi

Un incidente è considerato significativo quando:

ha causato o può causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
ha provocato o può provocare ripercussioni su altre persone fisiche o giuridiche, causando perdite materiali o immateriali considerevoli.

Processo di notifica obbligatoria

Il decreto stabilisce un processo di notifica, da parte dei soggetti essenziali ed importanti, degli incidenti significativi articolato in più fasi:

1. Pre-notifica (senza ritardo o entro 24 ore dalla conoscenza dell’incidente):

deve essere inviata al CSIRT Italia immediatamente dopo la scoperta dell’incidente;
deve indicare se l’incidente può essere il risultato di atti illegittimi o malevoli;
deve specificare se può avere un impatto transfrontaliero.

2. Notifica dettagliata (senza ritardo o entro 72 ore dalla conoscenza dell’incidente):

deve includere una valutazione iniziale dell’incidente;
deve specificare la gravità e l’impatto stimato;
deve fornire, quando disponibili, gli indicatori di compromissione.

3. Relazioni intermedie:

possono essere richieste dal CSIRT Italia;
devono contenere aggiornamenti pertinenti sulla situazione.

4. Relazione finale (entro un mese dalla trasmissione della notifica dell’incidente).
Deve includere:

descrizione dettagliata dell’incidente;
tipo di minaccia o causa originale;
misure di attenuazione adottate e in corso;
valutazione dell’eventuale impatto transfrontaliero.

Notifiche volontarie
Il decreto prevede anche la possibilità di effettuare notifiche volontarie per:

incidenti non significativi;
minacce informatiche potenziali;
“quasi-incidenti” (eventi che avrebbero potuto configurare un incidente ma non si sono verificati).

Questa pratica è incoraggiata per aumentare la consapevolezza delle minacce e migliorare la collaborazione tra organizzazioni e autorità competenti.

Tempistiche e sanzioni

Le tempistiche previste dal decreto n.138/2024 sono:

dal 1° gennaio al 28 febbraio di ogni anno: periodo di auto-registrazione;
entro il 17 gennaio 2025: termine per la registrazione dei fornitori di servizi digitali;
entro il 31 marzo 2025: pubblicazione dell’elenco dei soggetti essenziali e importanti.

Le sanzioni previste per il mancato rispetto degli obblighi stabiliti dal decreto attuativo NIS 2 sono particolarmente severe:

fino a 10 milioni di euro o 2% del fatturato mondiale per i soggetti essenziali;
fino a 7 milioni di euro o 1,4% del fatturato mondiale per i soggetti importanti.

L’autenticazione multifattore: un obbligo fondamentale

Tra gli obblighi tecnici imposti dalla NIS 2, particolare rilevanza assume l’adozione di soluzioni di autenticazione a più fattori (MFA).

Per rispondere a questa esigenza, sul mercato sono disponibili diverse soluzioni, tra cui Namirial SafeAccess, la suite per l’autenticazione passwordless che consente di mettere in sicurezza le postazioni di lavoro di piccole-medie-grandi organizzazioni, anche geograficamente distribuite, con approccio scalabile.

La suite si adatta a ogni singola organizzazione con grande flessibilità: il secondo fattore, infatti, non è prestabilito o necessariamente uguale in tutti i casi, ma può essere selezionato tra un ampio ventaglio di possibilità, a seconda delle abitudini o esigenze di quello specifico contesto.