NIS2 e cybersicurezza: obblighi e ambito applicativo

L’entrata in vigore della Direttiva NIS2 (¹) ha portato, a partire dal 17 gennaio di quest’anno – e con prossime scadenze fissate al 31 marzo e 15 aprile –, alcune novità in materia di sicurezza informatica, indirizzandosi a gestori di servizi di rete e ICT, cloud computing, data center, e-commerce, ma potremmo dire in generale del settore informatico; un particolare sguardo di attenzione, peraltro, ai quei servizi pubblici in cui l’impatto informatico è notevole come, ad esempio, i servizi sanitari (si pensi agli ospedali) o altri uffici della pubblicazione amministrazione che devono (o dovranno) saper fronteggiare l’erogazione delle prestazioni anche in caso di danneggiamento della rete.

E’ questo il punto che quando si sente parlare di NIS2 non sorge sempre con chiarezza, quasi con l’idea di alcuni di voler spingere con la NIS2 a vendere qualcosa alle aziende: ebbene, la NIS2 è anzitutto una opportunità, oltre che una prescrizione dell’Unione europea, di ampliamento della gamma di sicurezza informatica negli Stati membri, partendo dalla pubblica amministrazione per sostegno delle prestazioni ai cittadini e tutela dei dati personali (e qui l’implicazione in materia di privacy e GDPR Compliance) e, di riflesso, elevazione professionale di tutti quei fornitori ovvero gestori del settore dell’Information and Communications Technology (ICT).

Per chi fosse interessato ad approfondire, riportiamo di seguito per punti le novità, gli obblighi, le implicazioni ed i soggetti coinvolti e, ovviamente, le scadenze in Italia.

Principali novità introdotte dalla Direttiva NIS2:

• Piani nazionali di cybersicurezza: Gli Stati membri devono adottare strategie nazionali per la sicurezza cibernetica e nominare o istituire autorità competenti, team di risposta agli incidenti informatici (CSIRT) e meccanismi di vigilanza e sanzione.
• Reazione rapida agli incidenti: La direttiva richiede una risposta tempestiva agli incidenti più gravi e promuove la collaborazione tra gli Stati membri.
• Sicurezza della catena di approvvigionamento: Viene introdotto il concetto di catena di fornitura e i relativi requisiti di sicurezza, sottolineando l’importanza di valutare le vulnerabilità dei fornitori e dei servizi correlati.
• Ampliamento dei settori coinvolti: La direttiva ridefinisce e amplia le categorie di soggetti obbligati, distinguendo tra “soggetti essenziali” (settori ad alta criticità) e “soggetti importanti” (altri settori critici).

Obblighi principali per i soggetti interessati:

1. Governance:
   • Gli organi di gestione devono approvare formalmente le politiche di gestione dei rischi legati alla cybersicurezza.
   • È necessaria la formazione regolare su tematiche di cybersicurezza per membri degli organi di gestione e dipendenti.
2. Gestione del rischio:
   • Le aziende devono valutare i potenziali rischi cibernetici e implementare misure tecniche e organizzative adeguate, come l’uso dell’autenticazione a più fattori e della crittografia.
   • Devono garantire la sicurezza della catena di fornitura, valutando le vulnerabilità dei fornitori e la qualità delle loro pratiche di cybersicurezza.
   • È fondamentale l’adozione di strategie per garantire la continuità operativa, inclusi piani di backup e ripristino in caso di incidenti.
3. Notifica degli incidenti:
   • I soggetti devono notificare al CSIRT o all’autorità nazionale competente qualsiasi incidente che abbia un impatto significativo sulla fornitura dei loro servizi, con un preallarme entro 24 ore dal momento in cui ne sono venuti a conoscenza.

Settori e soggetti obbligati:

• Soggetti essenziali: Comprendono settori come energia (elettricità, petrolio, gas naturale, idrogeno), trasporti (aerei, ferroviari, marittimi, stradali), banche, infrastrutture del mercato finanziario, sanità (inclusi ospedali e cliniche private), approvvigionamento idrico, amministrazione pubblica, industria spaziale, servizi ICT e infrastrutture digitali.
• Soggetti importanti: Includono gestione dei rifiuti, servizi postali e corrieri, ricerca, produzione e distribuzione alimentare, industria chimica, fabbricazione di dispositivi medici, computer, prodotti elettronici, macchinari, veicoli a motore e altri mezzi di trasporto, nonché fornitori di servizi digitali.

Implicazioni in materia di sicurezza informatica e privacy:

La Direttiva NIS2 impone alle aziende di adottare misure rigorose per la protezione dei dati e dei sistemi informativi, rafforzando la resilienza contro le minacce cibernetiche. Questo comporta una maggiore attenzione alla sicurezza delle informazioni, alla protezione dei dati personali e alla continuità operativa, garantendo al contempo il rispetto delle normative sulla privacy.

Scadenze e adempimenti in Italia:

• Entro il 17 gennaio 2025: I fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network devono registrarsi (ergo, notificarsi) presso l’Agenzia per la Cybersicurezza Nazionale (ACN).
• Entro il 31 marzo 2025: L’ACN redigerà l’elenco dei soggetti essenziali e importanti sulla base delle registrazioni ricevute.
• Tra il 1° aprile e il 15 aprile 2025: L’ACN comunicherà ai soggetti interessati la loro classificazione come soggetti essenziali o importanti.
• Entro il 15 aprile 2025: I soggetti notificati devono nominare un referente per la cybersicurezza e comunicare i dati di contatto all’Autorità competente.

Quindi tra i soggetti obbligati rientrano i fornitori di servizi informatici? Si.

La Direttiva NIS2 si applica a una vasta gamma di settori, inclusi i fornitori di servizi digitali e le infrastrutture digitali. Pertanto, le società che offrono servizi di informatica, assistenza tecnica per computer e fornitori di infrastrutture di rete rientrano generalmente tra i soggetti obbligati al rispetto della NIS2. In particolare, i fornitori di servizi gestiti (MSP) e i fornitori di servizi di sicurezza gestiti (MSSP) sono esplicitamente menzionati come soggetti essenziali nella direttiva.

Sono compresi i fornitori di servizi digitali (cloud computing, data center, reti di distribuzione di contenuti, eccetera) e fornitori di reti di comunicazione elettronica o analoghi servizi accessibili al pubblico.

Nell’ambito dei “servizi gestiti” rientrano l’assistenza tecnica computer e la gestione di infrastrutture di rete.

Il referente di cybersicurezza deve essere interno o può essere un professionista esterno?

Per quanto riguarda la nomina del referente per la cybersicurezza, la direttiva non specifica se tale ruolo debba essere ricoperto da un esperto interno (come un dipendente o socio) o da un professionista esterno. L’importante è che la persona designata possieda le competenze necessarie per garantire la conformità agli obblighi previsti dalla NIS2. Pertanto, le organizzazioni hanno la flessibilità di scegliere la soluzione più adatta alle proprie esigenze, sia attraverso risorse interne sia avvalendosi di consulenti esterni specializzati.

Nulla vieta, a rigor di logica e coerenza con quanto previsto in ambito di applicazione del GDPR (Regolamento europeo n. 679/2016) e dei provvedimenti del Garante Privacy sul tema dell’assistenza informatica e annessa protezione dati, che il ruolo possa essere ricoperto dall’Amministratore di sistema (AdS) o da una persona specializzata che dovrà ovviamente dialogare e collaborare con questi nell’interesse del cliente; per contro, il ruolo è improbabile che coincida con quello del DPO (Data Protecion Officer, o RPD per l’acronimo italiano di Responsabile Protezione Dati) in quanto quest’ultimo ha una competenza prevalentemente giuridica (dovendo favorire consulenza legale per la corretta applicazione del GDPR) unita a una sufficiente conoscenza dell’informatica (beninteso: sufficiente non significa minima ma nemmeno essere un esperto in quanto i compiti sono distinti da quelli dell’AdS).

---

Fonti:

• DNV, obblighi e scadenze per le aziende a partire dal 1° dicembre 2024
• Quanture, Cos’è la direttiva NIS2 e quali obblighi di cybersicurezza richiede
• DNV, La direttiva NIS2 e gli obblighi di cybyersicurezza per le aziende
• Besafe, Una breve guida alla NIS2

(¹) Recepimento nazionale avvenuto con D.Lgs. 4 settembre 2024, n. 138.