A partire dal prossimo primo dicembre, i soggetti impattati dalla NIS2 in Italia potranno cominciare a registrarsi sulla piattaforma digitale dell’Agenzia per la Cybersicurezza Nazionale: l’Autorità ha rilasciato utili chiarimenti in proposito tramite una determinazione del Direttore.

In vista di tale adempimento, il cui mancato rispetto determina anche l’applicazione di sanzioni, è utile comprendere quali siano le organizzazioni potenzialmente coinvolte dai nuovi obblighi e quali siano gli elementi centrali della normativa in materia di cybersecurity di derivazione europea.

L’approccio corretto per il rispetto dei requisiti NIS2

I soggetti impattati dalla normativa italiana di recepimento della NIS2 dovranno, infatti, intraprendere un percorso complesso, indirizzato dagli organi amministrativi e direttivi, che passa attraverso attività di assessment e adempimenti rilevanti sia formali che sostanziali.

Nel mondo delle imprese, in genere, vi è la consapevolezza della gravità delle minacce cyber e, quindi, dell’esigenza di dotarsi di misure adeguate a fronteggiarle. Dai report periodici dell’ACN emerge un quadro molto sfidante: gli incidenti sono in costante aumento e sono trasversali a tutti i settori. Le minacce maggiormente diffuse sono quelle più impattanti per le aziende (come attacchi DDoS, ransomware, esfiltrazioni di dati ecc.) e le vulnerabilità riguardano anche fornitori di primaria importanza e prodotti ultra diffusi.

In ogni caso, i requisiti imposti dalla NIS2 difficilmente potranno essere rispettati – in modo effettivo – in assenza di un approccio che sia al contempo:

1. integrato, tenendo conto di diversi presidi da approntare alla luce di ulteriori normative potenzialmente applicabili (GDPR, CER, DORA, PSNC, 231 ecc.), ma che possono determinare convergenze ed economie di scala nella fase della loro implementazione;
2. multirischio, quindi basato sull’analisi e la gestione di molteplici fattori di rischio;
3. adeguato e proporzionale, sul presupposto che non risulti efficace una compliance cyber security standard, ma che occorra invece mettere in atto azioni mirate, tenendo conto delle caratteristiche specifiche di ogni organizzazione, anche a livello di dimensioni, settore di attività, sistemi utilizzati, esposizione ai rischi, probabilità che si verifichino incidenti e possibili impatti economici e sociali di questi.

Ampliamento del campo di applicazione della normativa

Una delle principali novità del decreto di recepimento della NIS2 (d’ora in avanti “Decreto”) consiste nell’allargamento dei soggetti considerati essenziali e importanti per il Paese rispetto a quelli già interessati dalla NIS1.

Il Decreto, infatti, si rivolge a una vasta gamma di soggetti (oltre 80 tipologie) che operano in 11 settori “ad alta criticità” (tra cui energia, trasporti, settore bancario, sanitario, infrastrutture digitali) e 7 settori “critici” (tra cui alimentare, chimica, manifattura, servizi digitali, ricerca), rispetto ai quali viene introdotto un criterio di individuazione su base dimensionale, che estende l’applicazione della normativa a tutte le imprese medie (almeno 50 dipendenti o fatturato superiore a 10 milioni di euro) e grandi (almeno 250 dipendenti o fatturato superiore a 50 milioni di euro) che operano nei settori identificati.

Micro e piccole imprese, salvo eccezioni, sono fuori ambito. Gli allegati I e II del Decreto – dettagliando anche i sottosettori rilevanti – guidano nell’individuazione delle organizzazioni impattate, in base alla loro attività.

Il campo di applicazione del Decreto si estende a determinate categorie di pubbliche amministrazioni centrali, regionali, locali e di altro tipo e ad ulteriori tipologie di soggetti (e.g. fornitori di servizi di trasporto pubblico locale, società in house, società partecipate, società a controllo pubblico), indipendentemente dalla loro dimensione.

Inoltre, l’Autorità nazionale competente NIS (l’Agenzia per la Cybersicurezza Nazionale) può individuare su proposta delle Autorità di settore competenti ulteriori soggetti appartenenti ai settori di cui sopra a determinate condizioni, per esempio nei casi in cui tali soggetti siano considerati elementi sistemici della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti.

Tali soggetti riceveranno una specifica comunicazione diretta, a valle della quale potranno procedere con la registrazione.

Sono inclusi nell’ambito applicativo del Decreto anche i “soggetti critici” individuati dal decreto di recepimento della direttiva (UE) 2022/2557 (Direttiva CER), i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico, i prestatori di servizi fiduciari, i gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di sistema dei nomi di dominio, nonché i fornitori di servizi di registrazione dei nomi di dominio.

Possono essere incluse nell’ambito di applicazione della normativa in questione anche le imprese pubbliche o private che, indipendentemente dalle dimensioni, sono “associate o collegate” ad un soggetto essenziale o importante e soddisfano almeno uno dei seguenti criteri:

1. adottano decisioni o esercitano una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;
2. detengono o gestiscono sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;
3. effettuano operazioni di sicurezza informatica del soggetto importante o essenziale;
4. forniscono servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale.

Per comprendere se e come la nuova normativa impatti una determinata organizzazione è quindi necessario svolgere un’apposita analisi, affinché il management sia messo in condizione di assumere tutte le necessarie decisioni con la necessaria consapevolezza, considerate anche le responsabilità dirette degli organi di amministrazione e direttivi in caso di violazioni.

Per i gruppi, italiani o multinazionali, a questo assessment si aggiungono elementi di complessità, determinati dalla necessità di svolgere valutazioni anche sui criteri di collegamento tra le società.

Rafforzamento degli obblighi per imprese e PA

Il Decreto impone ai soggetti essenziali e importanti di registrarsi o aggiornare la propria registrazione su un’apposita piattaforma digitale resa disponibile dall’Agenzia per la Cybersicurezza Nazionale già a partire da dicembre 2024, come chiarito dall’Autorità sul proprio sito.

In seguito alla registrazione o al suo aggiornamento – che deve avvenire, su base annuale, entro il 28 febbraio – l’Autorità predispone l’elenco dei soggetti essenziali e importanti, verificando anche la coerenza delle informazioni fornite.

La designazione del punto di contatto

In sede di registrazione sul portale di ACN occorre indicare anche il punto di contatto presso l’organizzazione: questo aspetto, benché formale, presuppone lo svolgimento di valutazioni sostanziali legate alla governance. In proposito, è stato chiarito da ACN (tramite la determinazione del Direttore generale del 26.11.24) che il punto di contatto è una persona fisica designata dal soggetto NIS con il compito di curare l’attuazione delle disposizioni del Decreto per conto del soggetto stesso, interloquendo con l’Autorità.

Le funzioni di punto di contatto possono essere svolte dal rappresentante legale, da un procuratore generale o da un dipendente appositamente delegato dal rappresentante legale.

Nell’ambito dei gruppi, è possibile che il punto di contatto di un soggetto sia il dipendente di una diversa entità del gruppo, purché rientrante sempre nell’ambito di applicazione del Decreto.

Il punto di contatto riferisce direttamente al vertice gerarchico, nonché agli organi di amministrazione e direttivi della società.

La nuova normativa impone obblighi e responsabilità agli organi di amministrazione e direttivi dei soggetti essenziali e importanti.

Tra questi, figura l’obbligo di approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica, di sovrintendere alla registrazione sulla piattaforma digitale, di seguire una formazione in materia di sicurezza informatica e di promuovere un’offerta formativa adeguata per i dipendenti.

Il Decreto mira, infatti, a favorire l’acquisizione di conoscenze e competenze – differenziate in base ai ruoli ricoperti nell’organizzazione – sufficienti per individuare i rischi, nonché per valutare le pratiche di gestione dei rischi e il loro impatto.

Obblighi in materia di gestione del rischio cyber e notifica degli incidenti

Le novità introdotte dal Decreto includono numerosi obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica degli incidenti. È previsto l’obbligo di adottare misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi ai sistemi informativi e di rete che i soggetti essenziali e importanti utilizzano nelle attività o nella fornitura dei servizi, nonché per prevenire – o ridurre al minimo – l’impatto degli incidenti per i destinatari dei servizi.

Le iniziative da mettere in campo possono includere, tra altre, l’adozione anche delle seguenti misure:

• modello di governance adeguato;
• policy per l’analisi dei rischi;
• procedure per la gestione degli incidenti;
• crittografia e cifratura;
• controllo degli accessi;
• autenticazione a più fattori.

Assume una notevole rilevanza la verifica della sicurezza della supply chain, da realizzarsi attraverso diverse attività, che coinvolgono fra l’altro l’ambito contrattuale, il cui presidio è necessario nell’ottica dell’allocazione delle responsabilità in caso di incidenti. Il fornitore di un soggetto essenziale o importante deve quindi essere:

1. selezionato in base a determinati criteri (da formalizzarsi possibilmente mediante specifiche policy aziendali);
2. vincolato da stringenti obblighi relativamente alla sicurezza dei prodotti o servizi forniti, al livello di formazione delle proprie risorse, alla notifica tempestiva di eventuali incidenti, allo svolgimento di audit, alla gestione di vulnerabilità, al coinvolgimento di subfornitori ecc.

Peraltro, nella valutazione delle misure di sicurezza che ciascuna organizzazione deve adottare occorre tenere conto delle possibili vulnerabilità di ciascun fornitore e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica della propria supply chain.

Notifica degli incidenti

Il Decreto prevede che i soggetti essenziali e importanti notifichino al CSIRT Italia ogni incidente che abbia un impatto significativo sulla fornitura dei servizi, cioè in tutti quei casi in cui l’incidente abbia causato o sia in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato, oppure nel caso in cui l’incidente abbia avuto ripercussioni o sia idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli. In questi casi, la nuova normativa impone l’invio al CSIRT Italia:

1. di una pre-notifica, entro 24 ore da quando i soggetti sono venuti a conoscenza dell’incidente significativo;
2. successivamente, di una notifica entro 72 ore, che indichi una valutazione iniziale dell’incidente;
3. una eventuale relazione intermedia, su richiesta del CSIRT Italia;
4. infine, una relazione finale, entro un mese dalla trasmissione della notifica.

Il termine per l’adempimento degli obblighi di base connessi alla notifica degli incidenti, che saranno disciplinati con una determinazione di ACN da adottare entro aprile 2025, decorre trascorsi nove mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti essenziali o importanti che sarà inviata da ACN.

Viene altresì introdotta la possibilità di procedere alla trasmissione su base volontaria al CSIRT Italia di informazioni relative a incidenti, minacce informatiche e quasi incidenti, per i quali non vige l’obbligo di notifica. Queste notifiche volontarie vengono trattate dall’Autorità soltanto qualora ciò non costituisca “un onere sproporzionato o eccessivo”.

Adeguatezza e proporzionalità della sicurezza

Le misure da adottare in materia di gestione del rischio di sicurezza cibernetica e di notifica degli incidenti non sono standard, ma devono bensì:

• assicurare un livello di sicurezza dei sistemi informativi e di rete adeguato ai rischi esistenti, tenuto conto:
  • delle conoscenze più aggiornate e dello stato dell’arte in materia;
  • delle pertinenti norme nazionali, europee e internazionali;
  • dei costi di attuazione;
• essere proporzionate:
  • al grado di esposizione ai rischi del soggetto;
  • alle dimensioni dell’organizzazione;
  • alla probabilità che si verifichino incidenti, nonché alla loro gravità, considerando anche il loro impatto sociale ed economico.

Per facilitare le valutazioni di ciascuna realtà in merito alle azioni da intraprendere per il potenziamento della sicurezza cyber assumono un ruolo centrale gli orientamenti delle Autorità, chiamate a fornire linee guida agli operatori, e le best practice del settore.

La compliance cyber, in ogni caso, non dovrebbe essere approcciata in modo a sé stante. I presidi per la conformità al Decreto, come anticipato, dovrebbero infatti essere coerenti e coordinati anche con quelli esistenti all’interno dell’organizzazione per il rispetto di normative esistenti in materia di sicurezza, considerata la sovrapposizione di alcune aree di rischio e di controllo.

A livello di governance, l’allocazione dei ruoli e delle responsabilità deve essere tale da assicurare un presidio effettivo della cybersicurezza all’interno dell’organizzazione, affidando eventualmente anche a più di un soggetto compiti specifici, a riporto diretto del vertice aziendale, considerate le responsabilità dirette in capo al top management.

Essenziale anche il coordinamento con i ruoli esistenti. La funzione IT avrà una importante funzione nell’assicurare l’efficacia delle misure di sicurezza informatica anche alla luce dei nuovi obblighi.

Il DPO o diverse figure che assumono un ruolo consulenziale nella prevenzione e nella gestione dei data breach dovrebbero fare parte, in certe situazioni, del team dedicato alla gestione di un incidente rilevante ai sensi della NIS2, in modo tale da garantire un supporto tempestivo e assicurare congruenza alle diverse notifiche alle Autorità competenti.

Non solo si rende necessario coordinare il modello di cybersicurezza da adottare ai sensi del Decreto con quello esistente per la conformità alle normative sulla protezione dei dati, ma anche con gli ulteriori presidi che l’organizzazione abbia adottato – o intenda adottare – per adeguarsi ad altre regole eventualmente applicabili.

Sanzioni

Il Decreto ha introdotto sanzioni amministrative importanti. In particolare, l’inosservanza degli obblighi più rilevanti (ossia quelli in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente, nonché degli obblighi posti in capo agli organi di amministrazione e direttivi) è punita con sanzioni fino a:

• 10 milioni di euro per i soggetti essenziali o, se superiore, il 2% del fatturato annuo totale;
• 7 milioni di euro per i soggetti importanti o, se superiore, l’1.4% del fatturato annuo totale.

Per tutte le altre violazioni di tali soggetti vengono invece applicate sanzioni pecuniarie amministrative di entità inferiore.

Le sanzioni per le pubbliche amministrazioni e ulteriori tipologie di soggetti (e.g. i fornitori di servizi di trasporto pubblico locale partecipati o sottoposti a controllo pubblico) che sono soggetti essenziali, invece, variano dai 25.000 a 125.000 euro per le violazioni più gravi (e.g. violazione degli obblighi relativi alla gestione del rischio) e dai 10.000 ai 50.000 euro per tutte le altre violazioni (e.g. mancata registrazione sulla piattaforma digitale).

È previsto che queste sanzioni vengano ridotte di un terzo nei casi in cui tali soggetti siano definiti come importanti e che la mancata notifica di incidente venga punita con sanzioni amministrative solo nel caso di reiterazione nell’arco di cinque anni.

ACN, inoltre, in certi casi può disporre l’applicazione della sanzione amministrativa accessoria della incapacità a svolgere funzioni dirigenziali all’interno dell’organizzazione nei confronti di soggetti apicali (amministratore delegato o altre persone fisiche che compongono organi di amministrazione e direttivi).

Tale sospensione temporanea è applicata finché il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide dell’Autorità.

Conclusioni

Il Decreto di attuazione della Direttiva NIS2 impone ai soggetti pubblici e privati, operanti nei settori di riferimento, il rispetto di rigorosi obblighi per prevenire e gestire gli incidenti di sicurezza informatica, una maggiore responsabilizzazione per le organizzazioni e il loro management rispetto ai rischi di cyber sicurezza e stringenti obblighi di notifica e collaborazione con l’Autorità.

Le attività di compliance necessarie per conformarsi alla nuova normativa pongono importanti sfide per i soggetti designati, dovute in particolare all’ampliamento del perimetro di applicabilità e alla multidisciplinarietà degli obblighi di sicurezza, tra cui l’implementazione di misure adeguate, la definizione di un modello di governance interno e la capacità di coinvolgere molteplici funzioni aziendali adeguatamente formate e tra loro coordinate.

Un aspetto chiave da considerare nell’adeguamento alla nuova disciplina è la “proporzionalità”, principio in base al quale situazioni diverse richiedono approcci e misure differenziati: ne deriva che nessuna organizzazione dovrebbe avere in dotazione gli stessi presidi, che non possono essere standard per essere adeguati.

Al contrario, un modello di cyber sicurezza efficace – che consenta il raggiungimento dell’obiettivo strategico di una maggiore resilienza cibernetica – richiede un approccio integrato, alla luce della dimensione tecnica, di quella organizzativa e di quella legale, e presuppone un lavoro estremamente customizzato sull’organizzazione, che tenga conto operativamente di una serie di fattori di rischio, cyber e non solo.