Recepimento NIS 2 da parte del Governo italiano
Lo scorso 7 agosto il Consiglio dei Ministri ha approvato, in via definitiva, il decreto legislativo di recepimento della cosiddetta NIS 2 (Direttiva Europea 2022/2555), che prevede nuovi e più elevati standard di sicurezza informatica.
La direttiva NIS 2 è entrata in vigore il 17 gennaio del 2023 e ha dato da quel momento agli Stati Membri ventuno mesi di tempo per recepire le nuove norme nei propri rispettivi ordinamenti nazionali. La data limite per il recepimento è fissata, quindi, al 17 ottobre 2024.
Per i Paesi Membri che, come l’Italia, hanno deciso di recepirla, la NIS 2 produrrà i suoi effetti dal 18 ottobre 2024, data a partire dalla quale le imprese private e le pubbliche amministrazioni sottoposte ai vincoli della direttiva dovranno necessariamente adeguarsi agli obblighi previsti, per evitare il rischio di sanzioni economiche, che possono risultare salatissime.
Cos’è la NIS 2
La direttiva NIS 2 (Direttiva UE 2022/2555) è una direttiva dell’Unione Europea che ha introdotto nuove misure di cybersecurity per gli Stati Membri. L’obiettivo della NIS 2 è creare un livello comune elevato di cibersicurezza e migliorare la resilienza e le capacità di risposta agli incidenti dell’UE.
L’acronimo NIS sta per “Network and Information Systems”. La direttiva, infatti, contiene misure per garantire un elevato livello comune di sicurezza delle reti e dei sistemi informativi nell’Unione, ponendosi come uno standard di riferimento nel mondo. Alcune tra le principali novità introdotte riguardano:
- nuove e più severe misure di cyber security, che si applicano a ben 18 settori industriali, tra cui banking & finance, energy, utilities, provider di servizi digitali (infrastruttura, reti, e-commerce, motori di ricerca, cloud computing e servizi ICT che impattano sulla business continuity), healthcare, servizi postali, Pubblica Amministrazione, aerospazio, settore chimico, produzione di alimenti);
- il perimetro della cyber security viene esteso all’intera supply chain: le aziende dovranno avviare una revisione dei contratti con i propri fornitori, inserendo clausole di sicurezza informatica e prevedendo l’istituzione di audit regolari;
- obblighi più rigidi per la reportistica sugli incidenti e sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale annuo.
- l’onere per gli Stati Membri di definire un elenco di soggetti essenziali e importanti entro il 17 aprile 2025, da aggiornare almeno ogni due anni.
Maggiori informazioni sulla direttiva NIS 2 sono riportate in questo nostro articolo che spiega cos’è e cosa prevede la direttiva NIS 2.
Legge 90/24 cybersicurezza, cosa prevede
Oltre ad aver recepito la direttiva NIS 2, di recente l’Italia ha anche approvato una nuova Legge sulla cybersicurezza, a dimostrazione dell’importanza strategica che la cybersecurity ricopre, in un mondo che è sempre più digitale e interconnesso, ma per questo anche sempre più esposto al rischio di subire attacchi informatici.
La nuova legge sulla cybersicurezza approvata dall’Italia è la legge numero 90 del 28 giugno 2024, contenente “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”.
Si tratta di una legge complementare alla direttiva NIS 2, in quanto specifica – in particolare per le Pubbliche Amministrazioni – quali sono i soggetti sottoposti alle misure di cybersicurezza anche se non rientrano nel perimetro di applicazione della NIS 2.
La legge 90/24 si compone di 27 articoli ed è divisa in due parti. La prima parte è il Capo I, che contiene disposizioni che rafforzano le misure di cybersicurezza. Tra queste, ad esempio, vi sono:
- misure da adottare in caso di incidenti informatici e obblighi e modalità di informazione verso l’ACN, l’Autorità per la Cybersicurezza Nazionale;
- l’obbligo per le PA di nominare un referente interno per la cybersicurezza, laddove non ancora presente;
- la creazione, in ogni PA, di una struttura interna con compiti di cybersicurezza;
- l’istituzione di un Centro nazionale di crittografia presso l’ACN, con il compito di sviluppare standard, linee guida e raccomandazioni utili a rafforzare la cybersicurezza dei sistemi informatici, valutare la sicurezza dei sistemi crittografici, organizzare e gestire attività di promozione dell’uso della crittografia.
La seconda parte della legge 90/24 è il Capo II, che introduce delle modifiche al Codice Penale per rafforzare la prevenzione e il contrasto degli attacchi informatici, introducendo nuovi reati e aumentando le pene e le aggravanti dei reati già previsti.
Regolamento DORA, cosa prevede e rapporti con la NIS 2
Un altro provvedimento europeo che si occupa di cybersecurity, ma che si applica a una categoria ristretta di soggetti, è il Regolamento UE 2022/2554 del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario, meglio conosciuto come Regolamento DORA (Digital Operational Resilience Act).
Entrato in vigore il 16 gennaio 2023, il Regolamento DORA contiene disposizioni per le imprese del settore finanziario e per i suoi fornitori, che saranno obbligatorie dal 17 gennaio 2025.
Il DORA stabilisce delle norme vincolanti per la gestione del rischio ICT per il settore finanziario, con il duplice obiettivo di aumentare il livello di sicurezza e di armonizzare la normativa tra i diversi Stati Membri dell’UE.
Rispetto alla NIS 2, quindi, il regolamento DORA si differenzia perché prevede per i soggetti che fanno parte del settore finanziario (e per i loro fornitori critici di terze parti) delle norme più severe rispetto a quanto previsto dalla NIS 2. Inoltre, il regolamento DORA “costituisce una lex specialis” rispetto alla direttiva NIS 2. Questo significa che le aziende che, per la loro attività, rientrano nel perimetro di applicazione sia della direttiva NIS 2 che del Regolamento DORA, sono tenute a rispettare soltanto quest’ultimo.
Tuttavia, il regolamento DORA riconosce che “è essenziale mantenere un saldo rapporto tra il settore finanziario e il quadro orizzontale di cibersicurezza dell’Unione, come attualmente stabilito nella direttiva NIS 2”. Ciò viene previsto per “consentire l’apprendimento intersettoriale” e “garantire la coerenza con le strategie di cibersicurezza adottate dagli Stati membri”.
Tradotto in parole povere, ciò significa che, anche se non devono rispettare la NIS 2, le aziende finanziarie sottoposte al regolamento DORA devono comunque tenere contatti e rapporti continui con gli organismi e le autorità di controllo e vigilanza dell’ecosistema NIS 2, ad esempio partecipando ai loro incontri periodici, condividendo le informazioni relative agli incidenti informatici subiti, contribuendo alla definizione della strategia di cybersicurezza.
La soluzione Namirial SafeAccess per rispettare la NIS 2
Tra i vari obblighi che aziende private e PA devono adempiere in base alla NIS2, c’è anche l’uso dell’autenticazione multi fattore per l’accesso di dipendenti e utenti ai sistemi informatici aziendali.
Al riguardo, tra le soluzioni attualmente presenti sul mercato c’è Namirial SafeAccess, una suite che consente di proteggere la propria organizzazione, in piena compliance con gli obblighi della NIS 2.
Namirial SafeAccess si basa su un meccanismo che prevede l’accesso sicuro dei dipendenti a tutti i sistemi aziendali (postazioni Pc, server e singole applicazioni) e degli utenti ai propri applicativi tramite soluzioni cloud.
