LA SPEZIA – La Direttiva (UE) 2022:2555 c.d. NIS 2 è stata introdotta per rafforzare il quadro della sicurezza cibernetica a livello europeo, aumentando la sicurezza delle infrastrutture tecnologiche e combattendo i rischi da cyber crime. Renato Goretta di Gesta Srl con sede alla Spezia ha scritto un esauriente articolo sulla materia che riprendiamo qui di seguito.
di Renato Goretta
Il 16 Ottobre è entrato in vigore il D. Lgs. 138/2024 che ha recepito la Direttiva (UE) 2022:2555 c.d. NIS 2. Vediamo quali sono le organizzazioni obbligate, i loro adempimenti, le politiche, i presidi e le procedure che dovranno adottare e, infine, il regime sanzionatorio previsto dal Decreto Legislativo senza però trascurare un aspetto importante: come vedremo, infatti, alcuni adempimenti (formali) hanno scadenza 2025 ma i presidi informatici, le politiche e le procedure dovrebbero essere già presenti in azienda, o dovrebbero essere implementate al più presto al fine di poter garantire la continuità aziendale a prescindere dagli obblighi. Garanzia che dovrebbe andare ben al di là degli obblighi e delle sanzioni anche perché il cybercrime non rispetta le scadenze e non aspetta il 2025.
Prima di tutto una necessaria ripartizione dei settori merceologi, per i quali è prevista l’implementazione delle misure di cybersicurezza previste dal D. Lgs. – secondo i rispettivi codici ATECO –, fra Servizi essenziali (Alta criticità) e Servizi importanti (Critici):
Servizi essenziali: energetico; trasporti; bancario e finanziario; sanitario; acque e acque reflue; infrastrutture digitali; gestione servizi di TLC; infrastrutture e sicurezza; settore spaziale.
Servizi importanti: servizi postali e di corriere; trattamento rifiuti; chimico; alimentare; fabbricazione; servizi digitali.
In secondo luogo, oltre alle grandi aziende di entrami i settori, le PMI che operano nei Servizi essenziali saranno obbligate direttamente all’implementazione delle misure di sicurezza informatica. Inoltre, anche le PMI, non obbligate direttamente, ma nelle filiere e che possono influenzare decisioni per la sicurezza informatica, detengono o gestiscono sistemi informativi, effettuano operazioni di sicurezza informatica e/o forniscono servizi di tecnologia delle informazioni e comunicazione (TIC) o di sicurezza informatica dovranno rispettare il D. Lgs. 138/2024. È, inoltre, facile ritenere che i capi filiera richiederanno adempimenti di cybersicurezza a tutti i fornitori – a prescindere – al fine di eliminare gli anelli deboli della supply chain.
Tra le misure operative imposte devono essere definiti sistemi di protezione avanzata delle reti e dei sistemi IT, piani di continuità operativa in caso di cyber attacchi e sistemi di monitoraggio attivi finalizzati alla prevenzione delle intrusioni e delle altre minacce informatiche.
Nella pratica le principali attività preliminari: gap analisys; risk assessment; analisi della filiera; un set di policy (sicurezza sistemi; crittografia; audit); procedure (gestione degli eventi cyber; crise management; acquisto, sviluppo e manutenzione dei sistemi informativi; gestione delle segnalazioni degli eventi significativi); e attività di presidio informatico (back-up evoluto; disaster recovery; antivirus, firewall, ecc.).
Le organizzazioni interessate avranno, inoltre, l’obbligo di notificare gli incidenti di sicurezza informatica significativi con la seguente articolazione temporale:
- la notifica dell’incidente entro 24 ore
- la valutazione iniziale dell’incidente entro 72 ore
- il report finale entro 30 giorni
I prossimi passi – quelli formali – sono l’auto-registrazione, che dovrà essere fatta ogni anno dal 1/1 al 28/2 sulla piattaforma dell’ACN la quale entro il 13/3 pubblicherà l’elenco delle organizzazioni effettivamente interessate agli adempimenti del D. Lgs. 138/2024 (una prevalutazione attendibile può essere fatta sulla base dei Codici ATECO).
I poteri di vigilanza sugli adempimenti sono articolati fra l’Agenzia per la Cybersicurezza Nazionale (ACN) che coopererà con gli altri Paesi Ue, con la Commissione UE e con l’Agenzia per la Cybersicurezza dell’Unione Europea (ENISA) e il Gruppo nazionale di risposta agli incidenti di sicurezza informatica (CSIRT) che si occuperà di monitorare e analizzare le minacce informatiche, le vulnerabilità, di emettere preallarmi, allerte, bollettini e divulgare informazioni.
Il regime sanzionatorio, anche per questo Decreto Legislativo, è particolarmente significativo. Infatti, le organizzazioni rientranti fra i servizi essenziali potranno essere sanzionate fino a un massimo di 10 mln di Euro o il 2% del fatturato globale (se maggiore) con un minimo di un ventesimo mentre le organizzazioni rientranti fra i servizi importanti fino a un massimo di 7 mln di Euro o l’1,4% del fatturato globale (se maggiore) con un minimo di un trentesimo mentre gli organi di amministrazione e gli organi direttivi potranno vedersi sospesa l’attività manageriale in caso di mancato adempimento alla disposizioni dell’ACN.
E’ stata recepita la Direttiva NIS2 (Ue) per rafforzare la Cybersecurity
