Il 16 ottobre 2024 segnerà l’entrata in vigore del Decreto Legislativo n. 138, che recepisce la direttiva (UE) 2022/2555, meglio nota come NIS 2 (Network and Information Security). Questa normativa è stata concepita per migliorare la resilienza delle infrastrutture critiche europee contro le minacce informatiche, introducendo nuovi obblighi stringenti per i soggetti coinvolti. La pubblicazione del decreto sulla Gazzetta Ufficiale il 1° ottobre 2024 rappresenta una svolta per la sicurezza informatica in Italia e nell’Unione Europea.
NIS 2 è un’estensione della precedente direttiva NIS del 2016, che puntava a rafforzare la sicurezza delle reti e dei sistemi informatici all’interno dell’UE. La sua revisione ha ampliato il campo di applicazione, includendo nuove categorie di soggetti e introducendo misure ancora più rigorose. Il contesto attuale, sempre più digitalizzato e vulnerabile agli attacchi, ha reso necessario un approccio più coordinato e integrato a livello europeo. L’obiettivo di questa normativa è di creare un livello comune elevato di sicurezza, con l’introduzione di obblighi specifici per le aziende considerate essenziali per l’economia e la società. Alla spiegazione della Direttiva abbiamo dedicato l’articolo: La Direttiva europea NIS2 per punti essenziali, mentre per le fasi iniziali del procedimento abbiamo dedicato l’articolo: NIS2: approvata in via preliminare la bozza del recepimento
Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon
Indice
1. Chi deve adeguarsi al Decreto NIS2?
Il Decreto NIS 2 coinvolge una vasta gamma di soggetti, definiti come “operatori di servizi essenziali” (OSE) e “fornitori di servizi digitali” (DSP). La direttiva classifica le entità in due gruppi principali: “soggetti essenziali” e “soggetti importanti”, ognuno dei quali deve rispettare misure di sicurezza e gestire il rischio informatico in maniera proporzionata alla sua dimensione e al settore in cui opera. Questi includono:
- Operatori di Servizi Essenziali (OSE): tra gli operatori di servizi essenziali rientrano soggetti operanti in settori chiave come energia, trasporti, banca, infrastrutture dei mercati finanziari, sanità, acqua potabile e acque reflue. Queste organizzazioni gestiscono servizi la cui interruzione avrebbe gravi conseguenze sulla salute pubblica, sull’economia o sull’ambiente. Di conseguenza, devono adottare misure di sicurezza più stringenti e assicurare continuità operativa.
- Fornitori di Servizi Digitali (DSP): i DSP includono i fornitori di servizi digitali come motori di ricerca, piattaforme cloud e marketplace online. Sebbene le loro attività possano non essere direttamente essenziali per la sicurezza pubblica, la loro funzione come facilitatori di altri servizi chiave le rende critiche nel contesto della sicurezza informatica.
- Entità Importanti: oltre ai soggetti essenziali, la NIS 2 prevede che anche le “entità importanti” – soggetti che non rientrano nella definizione di servizi essenziali ma che sono comunque strategici per l’economia e la società – debbano conformarsi alle nuove norme.
- Amministrazioni Pubbliche: le pubbliche amministrazioni sono anch’esse obbligate a rispettare i nuovi requisiti di sicurezza previsti dalla NIS 2, in particolare per quanto riguarda la protezione dei dati personali e la continuità operativa dei servizi digitali offerti ai cittadini.
Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025
34.20 €
2. Le misure di sicurezza obbligatorie
La conformità alla NIS 2 richiede l’adozione di misure tecniche e organizzative appropriate per la gestione del rischio informatico. Queste misure devono essere proporzionate ai rischi che ogni entità affronta, ma la direttiva offre una struttura chiara per ciò che viene richiesto. Tra i principali obblighi vi sono:
- Valutazione del rischio: le organizzazioni devono effettuare valutazioni regolari dei rischi per la sicurezza delle loro reti e dei sistemi informatici. Questo include l’identificazione delle minacce, la valutazione delle vulnerabilità e la determinazione dell’impatto di eventuali incidenti di sicurezza.
- Piano di gestione degli incidenti: le entità essenziali e importanti devono sviluppare e implementare un piano di gestione degli incidenti. Questo include procedure per la risposta agli attacchi, la mitigazione dei danni e il ripristino dei sistemi. Il piano deve anche prevedere la notifica tempestiva degli incidenti alle autorità competenti.
- Notifica degli incidenti: uno dei punti cardine della NIS 2 è l’obbligo di notifica degli incidenti. Le entità devono notificare entro 24 ore ogni incidente significativo, ovvero un evento che compromette la sicurezza dei servizi offerti, seguito da un rapporto dettagliato entro 72 ore. Questo consente alle autorità di intervenire tempestivamente e di coordinare una risposta a livello nazionale ed europeo.
- Misure di sicurezza tecniche: le aziende devono adottare misure tecniche per prevenire accessi non autorizzati ai loro sistemi, inclusi firewall, sistemi di rilevamento delle intrusioni e autenticazione a più fattori. Devono inoltre implementare soluzioni avanzate per la gestione delle vulnerabilità e la protezione dei dati.
- Formazione del personale: la formazione continua del personale in materia di sicurezza informatica è obbligatoria. Gli amministratori e i dirigenti devono garantire che i dipendenti siano preparati a riconoscere le minacce e a seguire procedure sicure nella gestione dei dati e dei sistemi.
3. Ruolo degli organi direttivi
Un aspetto innovativo della NIS 2 è l’enfasi posta sul ruolo degli organi direttivi delle organizzazioni. Non è più sufficiente delegare le questioni di sicurezza informatica al reparto IT. Gli amministratori delegati e i membri del consiglio di amministrazione devono supervisionare personalmente l’attuazione delle misure di gestione del rischio e garantire che l’azienda sia conforme agli standard di sicurezza stabiliti dalla direttiva.
In caso di non conformità, le responsabilità personali per i membri degli organi direttivi possono essere severe, includendo sanzioni amministrative e, in alcuni casi, la sospensione dalla possibilità di ricoprire ruoli dirigenziali. Questo rappresenta un cambiamento culturale importante, che mira a coinvolgere i vertici aziendali nella creazione di un ambiente di sicurezza robusto.
4. Sanzioni per inadempienze
La NIS 2 introduce un regime sanzionatorio rigoroso per le entità che non rispettano le nuove normative. Le sanzioni variano a seconda della gravità dell’infrazione e del tipo di soggetto coinvolto. Le entità essenziali che non rispettano i requisiti di sicurezza possono essere multate fino al 2% del loro fatturato annuo globale o 10 milioni di euro, a seconda di quale sia l’importo più elevato.
Per le entità importanti, le sanzioni sono più lievi, ma possono comunque arrivare al 1,4% del fatturato globale o a 7 milioni di euro. Le sanzioni non si limitano però a quelle pecuniarie. Le autorità competenti possono anche ordinare la sospensione temporanea delle attività o imporre misure correttive obbligatorie per adeguarsi alle norme.
5. Conclusione: un nuovo paradigma di cybersecurity
L’attuazione della NIS 2 rappresenta un passo fondamentale per il rafforzamento della sicurezza informatica nell’Unione Europea. Il contesto di minacce globali sempre più sofisticate, come il ransomware, gli attacchi alle infrastrutture critiche e la guerra cibernetica, ha reso imperativo un approccio coordinato e armonizzato. La NIS 2 impone agli Stati membri dell’UE e alle entità operanti nei settori essenziali di elevare i propri standard di sicurezza per proteggere la stabilità sociale ed economica.
Le aziende devono vedere questo cambiamento non solo come un obbligo normativo, ma come un’opportunità per rafforzare la propria resilienza e la fiducia dei propri stakeholder. Essere proattivi nell’implementazione di misure di sicurezza può non solo prevenire danni costosi, ma anche migliorare la competitività sul mercato globale, in cui la sicurezza dei dati e delle reti sta diventando un fattore critico di successo.
La sfida più grande sarà quella di integrare queste nuove misure nella gestione quotidiana, trasformando la cybersecurity in una parte integrante della strategia aziendale. Tuttavia, coloro che sapranno affrontare questa sfida avranno un vantaggio significativo in un mondo sempre più interconnesso e vulnerabile agli attacchi informatici.
Ti interessano questi contenuti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento