Con riferimento agli obblighi in oggetto indicati, facendo seguito ai diversi eventi formativi ed informativi già organizzati da NODE sul tema, si ricorda che per tutti i soggetti che rientrano nell’ambito di applicazione della disciplina cd “NIS 2” - tra gli altri, anche imprese operanti nei settori dei rifiuti, energia ed acque reflue - scade il 28 febbraio p.v. l’obbligo di registrazione sulla piattaforma dell’autorità competente NIS (Agenzia per la cybersicurezza nazionale).
La registrazione è prevista dall’articolo 7 del decreto NIS e le modalità, termini e procedimenti sono definiti dalla Determinazione 38565/2024.
Prima di avviare la registrazione, il soggetto deve designare il punto di contatto che può essere il legale rappresentante, ovvero un delegato dal rappresentante legale del soggetto.
La registrazione è composta da tre fasi, il censimento del punto di contatto, la sua associazione al soggetto e la compilazione della dichiarazione, tramite portale (https://portale.acn.gov.it/login). La registrazione viene effettuata tramite spid del legale rappresentante o del punto di contatto designato.
Nel rinviare al sito web dell’Autorità (https://www.acn.gov.it/portale/home) ed alle slides predisposte da NODE per le informazioni di dettaglio (cfr. materiale informativo in allegato 1 e 2 ), si sintetizzano di seguito i principali elementi della disciplina con l’indicazione dei soggetti obbligati.
LA DISCIPLINA “NIS 2 (DIRETTIVA 2022/2555)”
La Direttiva NIS2 (Direttiva UE 2022/2555 del 14 dicembre 2022 sulla sicurezza delle reti e delle informazioni - l’acronimo NIS sta per Network and Information Security) è entrata in vigore il 17 gennaio 2023 ed è il riferimento normativo dell'UE in materia di cybersicurezza.
A seguito della pubblicazione sulla Gazzetta Ufficiale n. 230 del 1° ottobre 2024 del decreto legislativo 4 settembre 2024, n. 138 “Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148” (D.lgs. 138/24), è stata avviata in Italia la fase attuativa.
La nuova direttiva (con il relativo decreto di recepimento) aggiorna le disposizioni europee in materia di cybersicurezza introdotte nel 2016 modernizzando e uniformando il quadro giuridico esistente e mira a garantire un aumento del livello di sicurezza cibernetica comune, grazie all'armonizzazione delle norme applicabili ai diversi operatori nei diversi Stati membri e al rafforzamento dei livelli standard di sicurezza rispetto a quelli previsti dalla disciplina vigente.
La nuova normativa riguarda, in particolare oltre 80 tipologie di soggetti, raggruppate in 18 settori, di cui 11 settori altamente critici (originariamente 8) e 7 settori critici (originariamente nessuno). Tali soggetti sono distinti tra essenziali e importanti.
I SOGGETTI CHE RIENTRANO NEL CAMPO DI APPLICAZIONE DELLA DISCIPLINA
La nuova normativa NIS amplia il campo di applicazione della normativa a 18 settori di cui 11 altamente critici (originariamente 8) e 7 critici (di nuova introduzione) per oltre 80 tipologie di soggetti, distinguendo i soggetti in essenziali e importanti.
In estrema sintesi, la disciplina NIS 2 si rivolge a entità essenziali e entità importanti.
La distinzione tra entità essenziali e importanti è la seguente:
- Entità essenziali: Grandi aziende (>250 dipendenti) in un settore dell’Allegato 1.
- Entità importanti: Aziende di medie dimensioni (>50 dipendenti) dell’Allegato 1 e aziende grandi e medie dell’Allegato 2.
Le imprese sono considerate essenziali, quindi, se operano in uno dei settori ad alta criticità come elencati nell’Allegato 1 e hanno più di 250 dipendenti o un fatturato annuo superiore a 50 milioni di Euro.
Considerando che i parametri dimensionali in alcuni settori specifici non vengono considerati, si raccomanda, comunque, in ogni caso, di controllare se la propria organizzazione svolge servizi all’interno di quelli identificati al link https://www.acn.gov.it/portale/documents/d/guest/faq-1-5_dettaglio-ambiti-di-applicazione, seguendo i parametri stabiliti dalla raccomandazione 2003/361/CE per l’identificazione di piccola/media/grande impresa.
Settori ad Alta Criticità (Allegato 1)
Energia: Elettricità, petrolio, gas, idrogeno, riscaldamento e raffreddamento
Trasporti: Strada, ferrovia, aria e acqua
Bancario: Banche, borse, istituzioni finanziarie
Sanità: Ospedali, laboratori, centri di ricerca, farmacie e dispositivi medici
Acqua: Acque reflue e acqua potabile
Infrastruttura digitale: Data center, cloud computing, fornitori DNS ecc.
Servizi ICT: Servizi gestiti e servizi di sicurezza gestiti
Pubblica amministrazione: Entità governative centrali e regionali
Spazio: Operatori di infrastrutture terrestri
Altri Settori Critici (Allegato 2)
Posta e corrieri: Spedizione di posta e pacchi
Gestione dei rifiuti: Raccolta, trattamento e riciclaggio dei rifiuti
Prodotti chimici: Produzione e distribuzione di prodotti chimici
Alimentare: Produzione, lavorazione e distribuzione di generi alimentari
Manifatturiero: Produttori di dispositivi medici, macchinari, veicoli e dispositivi elettrici/elettronici
Servizi digitali: Motori di ricerca, mercati online e reti sociali
Ricerca: Organizzazioni di ricerca
Le aziende che non sono considerate essenziali, ma appartengono comunque a uno dei settori elencati nell’Allegato 1 o nell’Allegato 2 e hanno più di 50 dipendenti o un fatturato annuo superiore a 10 milioni di Euro sono considerate entità importanti.
Le aziende con meno di 50 dipendenti possono comunque essere soggette alla NIS 2 se sono l’unico fornitore di un servizio essenziale all’interno di uno Stato membro o se l’interruzione del loro servizio avrebbe un impatto significativo sulla sicurezza pubblica, sulla sicurezza o sulla salute.
Inoltre, le pubbliche amministrazioni e alcuni servizi digitali rientrano nella NIS 2 indipendentemente dalle loro dimensioni.
Per ulteriori dettagli si fa riferimento agli allegati I, II, III e IV del Decreto legislativo 4 settembre 2024, n. 138. Per il dettaglio degli ambiti di applicazione si rinvia alle tabelle disponibili al seguente link:
chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://www.acn.gov.it/portale/documents/d/guest/faq-1-5_dettaglio-ambiti-di-applicazione
Per un maggiore dettaglio sui soggetti che rientrano nell’ambito di applicazione del decreto, con riferimento ai settori energia, acque e rifiuti, si rinvia alla scheda in allegato 1.
LE PRINCIPALI SCADENZE
PER I SOGGETTI OBBLIGATI
- Registrazione sulla piattaforma ACN (art. 7, comma 1, articolo 42, comma 1, lettera a)
- entro il 17 gennaio 2025 per i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network che rientrano nell'ambito di applicazione del decreto;
- entro il 28 febbraio 2025 per tutti gli altri soggetti che rientrano nell’ambito di applicazione del decreto.
- trasmissione e aggiornamento, tempestivo (comunque non oltre 14 giorni dalla modifica) delle informazioni dei soggetti NIS (articolo 7, commi 4, 5 e 7): entro metà maggio 2025;
- adempimento agli obblighi di base in materia di notifica di incidente: entro gennaio 2026 (entro 9 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS);
- adempimento agli obblighi di base in materia di sicurezza informatica: entro ottobre 2026 (entro 18 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS).
PER L’AUTORITÀ NAZIONALE COMPETENTE NIS
Entro metà aprile 2025:
- costituzione dell’elenco dei soggetti NIS e notifica agli stessi della loro inclusione (articolo 7, commi 2 e 3);
- adozione degli obblighi di base in materia di misure di sicurezza informatica e notifica di incidenti.
QUALI SONO GLI OBBLIGHI PREVISTI DALLA NUOVA NORMATIVA NIS
I principali obblighi previsti dal decreto riguardano:
- la registrazione e l’aggiornamento delle informazioni (articolo 7);
- gli organi di amministrazione e direttivi (articolo 23);
- gli obblighi in materia di misure di sicurezza informatica (articolo 24);
- gli obblighi in materia di notifica di incidente (articolo 25);
- per alcune tipologie di soggetti, gli obblighi in materia di banca dei dati di registrazione dei nomi di dominio (articolo 29);
- la categorizzazione delle attività e dei servizi (articolo 30).
Il termine per l’adempimento degli obblighi di base di cui all’articolo 25 del decreto, che saranno disciplinati con una determinazione di ACN da adottare entro aprile 2025, decorre trascorsi nove mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti essenziali o importanti che sarà inviata da ACN.
Con riferimento ai citati obblighi, entrando più nel dettaglio:
Registrazione e aggiornamento dati (articolo 7)
I soggetti che si riconoscono in uno dei settori/sottosettori/tipologie previsti dalla nuova normativa NIS (v. di seguito) dovranno registrarsi su una piattaforma messa a disposizione dall’ACN e comunicare una serie di informazioni tra le quali, ad esempio, la ragione sociale, l'indirizzo e i recapiti aggiornati, la designazione di un punto di contatto indicando il suo ruolo/qualifica presso il soggetto. Ove possibile, i soggetti dovranno anche selezionare uno o più settori/sottosettori in cui operano, tra quelli previsti dagli allegati I, II e III, e la relativa tipologia di soggetto in cui si identificano tra quelle previste dagli allegati I, II, III e IV.
I dati raccolti saranno impiegati per costituire l’elenco dei soggetti NIS, entro il 31 marzo 2025, anche al fine di fornire le relative statistiche alla Commissione UE ad aprile 2025.
Organi di amministrazione e direttivi (articolo 23)
Sono individuate precise responsabilità in capo agli organi di amministrazione del soggetto, i quali approvano e sovraintendono all’implementazione delle misure oltre a essere responsabili delle eventuali violazioni.
Obblighi in materia di misure di sicurezza informatica (articolo 24)
I soggetti essenziali e i soggetti importanti adottano misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l'impatto degli incidenti. Tali misure sono basate su un approccio multi-rischio, volto a proteggere i sistemi informativi e di rete nonché il loro ambiente fisico da incidenti, e comprendono una serie di elementi indicati nella disciplina.
Obblighi in materia di notifica di incidente (articolo 25)
I soggetti essenziali e i soggetti importanti devono notificare, senza ingiustificato ritardo, al CSIRT Italia ogni incidente che ha un impatto significativo sulla fornitura dei loro servizi.
Ai fini della notifica, i soggetti interessati trasmettono al CSIRT Italia:
senza ingiustificato ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell'incidente significativo, una pre-notifica che, ove possibile, indichi se l'incidente significativo possa ritenersi il risultato di atti illegittimi o malevoli oppure possa avere un impatto transfrontaliero;
senza ingiustificato ritardo, e comunque entro 72 ore (24 ore nel caso di un prestatore di servizi fiduciari) da quando sono venuti a conoscenza dell'incidente significativo, una notifica dell'incidente che, ove possibile, aggiorni le informazioni già trasmesse nella pre-notifica e indichi una valutazione iniziale dell'incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione;
una relazione finale entro un mese dalla trasmissione della notifica di incidente.
Banca dei dati di registrazione di nomi di dominio (articolo 29)
I gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione dei nomi di dominio raccolgono e mantengono dati di registrazione dei nomi di dominio accurati e completi in un'apposita banca dati con la dovuta diligenza, conformemente al diritto dell'Unione europea in materia di protezione dei dati personali.
LE AUTORITÀ COMPETENTI
L'Agenzia per la cybersicurezza nazionale è l'Autorità nazionale competente NIS e svolge numerose funzioni tra le quali:
- sovrintendere all'implementazione e all'attuazione del decreto;
- svolgere le funzioni e le attività di regolamentazione di cui al decreto, anche adottando linee guida, raccomandazioni e orientamenti non vincolanti;
- elaborare e adottare l’elenco dei soggetti NIS;
- definire gli obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente;
- svolgere le attività ed esercita i poteri di monitoraggio, vigilanza ed esecuzione.
L'Agenzia per la cybersicurezza nazionale è anche il Punto di contatto unico NIS ai sensi della Direttiva, svolgendo una funzione di collegamento per garantire la cooperazione transfrontaliera delle autorità nazionali con le autorità pertinenti degli altri Stati membri e la Commissione. Inoltre, l’Agenzia per la cybersicurezza nazionale (con funzioni di coordinamento) e il Ministero della difesa sono Autorità nazionali di gestione delle crisi informatiche.
Presso l’Agenzia per la cybersicurezza nazionale opera anche il CSIRT Italia, Gruppo nazionale di risposta agli incidenti di sicurezza informatica.
Al fine di assicurare l'efficace attuazione del d.lgs. n. 138/2024 a livello settoriale, sono individuate le Autorità di settore NIS che supportano l'Autorità nazionale competente NIS e collaborano con essa (per lo più Presidenza del Consiglio dei ministri e Ministeri competenti),
La società NODE è a disposizione per qualsiasi chiarimento o informazione e per richieste di supporto e consulenza.