In Italia la Direttiva NIS 2 è stata recepita con il D.Lgs 138 del 2024. A parte un pò di confusione, dovuta all’utilizzo di termini leggermente diversi da quelli utilizzati dalla Direttiva EU, abbiamo la chiarezza, anche in Italia, di quello che succederà per l’adeguamento alla norma.

Il primo comma dell’art. 1 definisce lo scopo, in linea con la Direttiva EU:

Il presente decreto  stabilisce  misure  volte  a  garantire  un livello  elevato  di  sicurezza  informatica  in  ambito   nazionale, contribuendo  ad  incrementare  il  livello   comune   di   sicurezza
nell'Unione europea  in  modo  da  migliorare  il  funzionamento  del mercato interno

Scadenze NIS 2

Innanzitutto sono state definite con chiarezza le scadenze relative:

  • Entro il 17 Gennaio 2025 ogni soggetto essenziale o importante dovrà registrarsi sulla piattaforma ACN.
  • Entro il 15 aprile ACN conferma l’applicabilità della normativa.
  • Entro il 1° gennaio 2026 le aziende che ricadono nel perimetro devono adeguarsi per quello che riguarda la notifica degli incidenti e dunque avere almeno un piano di gestione degli incidenti.
  • Entro ottobre 2026 i soggetti in perimetro devono edeguarsi completamente alla norma.

Settori di imprese a cui si applica la norma

La norma si applica alle medie e grandi imprese (più di 50 dipendenti e/o totale bilancio superiore a 10 milioni di euro) che operano nei settori di alta criticità (soggetti essenziali) e negli altri settori critici (soggetti importanti), ed alle pubbliche amministrazioni (vedi all. III del decreto).

I settori essenziali ed importanti sono definiti negli allegati della Direttiva e sono qui riassunti:

Catena di approvvigionamento

La NIS 2 di fatto coinvolgerà indirettamente tutti i fornitori che interagiscono reti, sistemi e servizi ICT dei soggetti all’interno del perimetro, in virtù dei requisiti che la direttiva impone per la verifica delle misure di sicurezza che tutta la catena di approvvigionamento adotterà.

Misure di sicurezza

Il Decreto Italiano ha alcune variazioni, rispetto alla Direttiva EU, nell’identificare le misure di sicurezza:

Le prime raccomadazionei riguardano la formazione del management e dei dipendenti per favorire l’acquisizione di conoscenze e competenze sufficienti al fine di individurare i rischi e valutare le pratiche di gestione dei rischi per la sicurezza informatica e il loro impatto sulle attività del soggetto e sui servizi offerti.

Per quello che riguarda le misure sui sistemi informatici si specifica che devono:

  • essere adeguate ai rischi esistenti (che devono essere rilevati da una attenta valutazione dei rischi).
  • tener conto delle conoscenze più aggiornate e dello stato dell’arte in materia
  • tener conto delle norme nazionali, europee ed internazionali (ove applicabile)
  • tener conto dei costi di attuazione
  • essere proporzionate al grado di esposzione ai rischi del soggetto, alle dimensioni del soggetto, alla probabilità che si verifichino incidenti, alla loro gravità ed impatto sociale ed economico.

Fatte queste premesse, vengono elencate le misure di sicurezza minime (D.Lgs. 138 Art. 24 comma 2):

  • politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete;
  • gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche di cui agli articoli 25 e 26;
  • continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro, ove applicabile, e gestione delle crisi;
  • sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
  • sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità;
  • politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica;
  • pratiche di igiene di base e di formazione in materia di sicurezza informatica (notare che l’articolo 23, correttamente, impone agli organi di amministrazione e gli organi direttivi dei soggetti NIS 2 una formazione in materia di sicurezza informatica);
  • politiche e procedure relative all’uso della crittografia e, ove opportuno, della cifratura (notare che non è chiara la differenza tra crittografia (cryptography) e cifratura (encryption), presente peraltro anche nella Direttiva);
  • sicurezza e affidabilità del personale, politiche di controllo dell’accesso e gestione dei beni e degli assetti;
  • uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno.