Cybersicurezza, primo sì al recepimento della direttiva NIS 2

Pubblicato il 11 giugno 2024

Nuovo provvedimento in arrivo in tema di cybersicurezza. Questa volta attuativo delle regole dettate dall'Unione europea.

Nella seduta del 10 giugno 2024, il Consiglio dei ministri ha approvato, in via preliminare, il testo di un decreto legislativo di recepimento della direttiva (UE) 2022/2555 (cosiddetta direttiva NIS 2).

Si tratta della direttiva contenente misure per un livello comune elevato di cybersicurezza nell’Unione europea.

Il decreto legislativo è stato approvato su proposta della Presidente del Consiglio, Giorgia Meloni, e del Ministro per gli Affari Europei, il Sud, le Politiche di Coesione e il Pnrr, Raffaele Fitto.

Il provvedimento mira a dare attuazione alla direttiva (UE) 2022/2555, introduttiva di importanti novità per rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi nell'UE.

Tra le principali modifiche introdotte, si segnalano:

• l'ampliamento dell'ambito soggettivo di applicazione della disciplina;
• l'identificazione ed elencazione dei soggetti essenziali e dei soggetti importanti, distinguendoli attraverso l'adozione di un criterio dimensionale;
• la razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria;
• l'adozione di un approccio "multirischio".
• la regolamentazione della divulgazione coordinata delle vulnerabilità (CVD) e specifiche funzioni di coordinamento attribuite agli CSIRT nazionali.
• l'attuazione di misure di cooperazione per sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di cybersicurezza su vasta scala.

Ampliato l'ambito soggettivo di applicazione

Come anticipato, viene estesa la platea dei soggetti destinatari degli obblighi in materia di sicurezza delle reti e dei sistemi informativi.

Le misure coinvolgeranno numerose aziende e amministrazioni pubbliche, suddivise in macro-categorie di "soggetti essenziali" e "soggetti importanti", elencati per settore (soggetti pubblici e privati inclusi negli allegati I, II, III e IV del provvedimento).

I soggetti sono suddivisi in categorie altamente critiche (quali energia, trasporti, istituti bancari, mercati finanziari, sanità, infrastrutture digitali) e critiche (quali servizi postali, gestione dei rifiuti, aziende alimentari, produzione di dispositivi medici, apparecchiature elettriche, macchinari, computer, fornitura di servizi digitali, organizzazioni di ricerca).

Sono coinvolti, peraltro, enti che superano le dimensioni delle piccole imprese, fornitori di reti pubbliche di comunicazione, prestatori di servizi fiduciari, gestori di registri dei nomi di dominio, fornitori di servizi di cloud computing e data center, indipendentemente dalla loro dimensione.

I soggetti, essenziali e importanti, sono destinatari di una serie di obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente.

NIS - Autorità e organi competenti

Gruppo di cooperazione NIS2

In tema di cooperazione, si segnala l'introduzione del Gruppo di Cooperazione NIS2, un organo istituito per facilitare la collaborazione e il coordinamento tra gli Stati membri dell'Unione Europea in materia di cybersicurezza.

Al Gruppo di cooperazione NIS partecipa l'Agenzia per la Cybersicurezza Nazionale, quale Autorità nazionale competente NIS.

Il Gruppo di cooperazione ha il compito di supportare l'implementazione coerente delle direttive NIS2, condividendo informazioni, best practices e strategie per affrontare le minacce informatiche.

Autorità di settore NIS

Per assicurare l’efficace attuazione delle norme a livello settoriale, sono individuate le Autorità di settore NIS che supportano l’Autorità nazionale competente NIS e collaborano con essa.

Tavolo per l’attuazione della disciplina NIS

Presso l’Agenzia per la cybersicurezza nazionale è inoltre costituito, in via permanente, il Tavolo per l’attuazione della disciplina NIS, per assicurare l’implementazione e attuazione del presente decreto.

Il Tavolo è presieduto dal direttore generale dell’Agenzia per la cybersicurezza ed è composto da un rappresentante di ogni Autorità di settore NIS e da due rappresentanti designati da regioni e province autonome in sede di Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano.

CSIRT Italia 

Al Gruppo nazionale di risposta agli incidenti di sicurezza informatica (CSIRT Italia) è affidato il compito di monitorare e analizzare le minacce informatiche, emettere preallarmi e bollettini, e fornire assistenza in caso di incidenti.

Sanzioni più severe e armonizzate

Tra le misure che il decreto legislativo è tenuto a recepire vi è il capitolo delle sanzioni pecuniarie in caso di inosservanza della normativa sulla cybersicurezza.

La direttiva 2022/2555, infatti, introduce un apparato sanzionatorio più severo e armonizzato a livello europeo, con l'obiettivo di garantire maggiore uniformità e deterrenza in tutta l'Unione europea.

Le sanzioni, proporzionate alla gravità dell'infrazione, includono ammende amministrative pecuniarie fino a 10milioni di euro o il 2% del fatturato annuo.

Tra le violazioni punite:

• mancato rispetto degli obblighi di gestione del rischio per la sicurezza informatica;
• omessa notifica di incidente di sicurezza;
• ripetute violazioni delle normative;
• mancato rimedio a carenze segnalate da istruzioni vincolanti dell'Autorità nazionale competente NIS;
• fornitura di informazioni false o fortemente inesatte.