Il Governo recepisce la direttiva NIS2

Nei giorni scorsi, il Governo ha recepito la direttiva europea NIS2 con cui vengono introdotte  misure per un comune ed elevato livello di cybersicurezza nell’Unione Europea. Dal 18 ottobre 2024 scatteranno gli obblighi presenti nel decreto legislativo approvato in CdM, con cui il Consiglio dei ministri ha recepito la NIS2.

I punti più importanti

• I nuovi soggetti coinvolti, circa 50mila secondo le stime del direttore generale dell’Agenzia per la Cybersicurezza nazionale (ACN), che vanno ad aggiungersi a quelli già interessati dalla direttiva precedente NIS. 
• I nuovi soggetti sono considerati essenziali e importanti per il Paese in quanto provvedono a fornire servizi critici, come quelli postali e dei corrieri, di gestione dei rifiuti, di fabbricazione di dispositivi medici, di computer e prodotti di elettronica e ottica, oppure, ancora, quelli legali alla grande distribuzione alimentare.
•  Il nuovo testo normativo non si rivolge in modo indistinto a tutte le società all’interno dei citati settori, ma specifica in modo preciso alcune “regole”, basate principalmente sulla dimensione del soggetto e sul suo fatturato.
• L’Agenzia per la Cybersicurezza Nazionale (ACN) realizzerà la piattaforma - sarà attiva dal 18 ottobre 2024 - sulla quale tutti i soggetti che ritengono di essere “sicuramente” coinvolti dalle prescrizioni della NIS2 dovranno “auto-registrarsi”, indicando un elenco delle proprie attività e dei propri servizi, comprensivo di tutti gli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza.
• Dal 1° gennaio al 28 febbraio 2025 i soggetti essenziali e importanti per il Paese si registrano o aggiornano la propria registrazione sulla piattaforma. Il termine di scadenza si anticipa al 17 gennaio 2025 per i fornitori di domini, cloud computing e data center.
• Entro il 31 marzo 2025 la stessa Agenzia a risponderà ai soggetti essenziali e ai soggetti importanti circa la conformità. L’ACN andrà a stabilire le categorie di rilevanza nonché il processo, le modalità e i criteri per l’elencazione, caratterizzazione e categorizzazione delle attività e dei servizi da registrare sulla piattaforma.
• La NIS2 in Italia partirà il 31 marzo 2025, quando l’ACN avrà completato la lista dei soggetti che dovranno attenersi alla direttiva.
• Gli obblighi di adeguamento (art. 42) decorrono dalla data di comunicazione di ACN ai soggetti (il 31 marzo) e sono 9 mesi per gli incidenti e 18 mesi per gli obblighi in materia di organi amministrativi, misure di sicurezza.

La Direttiva NIS 2 prevede che, come già avvenuto per l’originaria Direttiva NIS, gli operatori inclusi nel suo campo di applicazione dovranno adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi connessi alla sicurezza dei sistemi informatici e delle reti. Tra queste misure, corsi di formazione obbligatori per il personale. In particolare, gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti: 

• sono tenuti a seguire una formazione in materia di sicurezza informatica;
• promuovono l’offerta periodica di una formazione coerente ai loro dipendenti, per favorire l’acquisizione di conoscenze e competenze sufficienti al fine di individuare i rischi e valutare le pratiche di gestione dei rischi per la sicurezza informatica e il loro impatto sulle attività del soggetto e sui servizi offerti.

In aggiunta, i soggetti essenziali e importanti saranno obbligati a notificare all’Agenzia per la Cybersicurezza Nazionale – in particolare al CSIRT Italia – senza indebito ritardo, eventuali incidenti che abbiano un impatto significativo sulla fornitura dei loro servizi. 

Notifiche degli incidenti

I soggetti essenziali e importanti dovranno: 

• senza ingiustificato ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo, una pre-notifica che, ove possibile, indichi se l’incidente significativo possa ritenersi il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero;
• senza ingiustificato ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell’incidente significativo, una notifica dell’incidente che, ove possibile, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale dell’incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione;
• su richiesta del CSIRT Italia, una relazione intermedia sui pertinenti aggiornamenti della situazione;
• una relazione finale entro un mese dalla trasmissione della notifica dell’incidente di cui alla lettera b), che comprenda:
• una descrizione dettagliata dell’incidente, ivi inclusi la sua gravità e il suo impatto;
• il tipo di minaccia o la causa originale (root cause) che ha probabilmente innescato l’incidente;
• le misure di attenuazione adottate e in corso;
• ove noto, l’impatto transfrontaliero dell’incidente;
• in caso di incidente in corso al momento della trasmissione della relazione finale di cui alla lettera d), una relazione mensile sui progressi e una relazione finale entro un mese dalla conclusione della gestione dell’incidente.

Si segnala infine che gli operatori inclusi potranno essere soggetti ad attività di vigilanza, tra cui ispezioni in loco e vigilanza a distanza, nonché audit sulla sicurezza periodici e mirati, effettuati da organismi indipendenti o dall’autorità competente.

Le sanzioni previste

La Direttiva prevede diverse sanzioni in funzione del fatto che un operatore sia qualificato come essenziale o come importante. 

Nel merito, scattano da parte dell’ACN, dopo la diffida,

• per i soggetti essenziali, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, se tale importo è superiore.
• per i soggetti importanti, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 7.000.000 o dell’1,4% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, se tale importo è superiore.
• per le pubbliche amministrazioni con sanzioni amministrative pecuniarie da euro 25.000 a euro 125.000.

ACN è l'Autorità nazionale competente

ACN potrà avvalersi dell’aiuto delle Autorità di settore NIS, tra cui figura anche il ministero della Cultura. Unica in Europa, l'Italia ha inserito la Cultura – e in particolare i soggetti che svolgono attività di interesse culturale –  tra i settori critici e strategici da proteggere maggiormente dal punto di vista della cybersecurity. 

Perché è ormai palese che la Cultura è un target delle cyber gang spesso sponsorizzati da Governi che considerano ostili gli Stati europei. Lo è tanto più quando i soggetti che gestiscono la cultura, operano in territori per i quali queste attività rappresentano un asset fondamentale. Come l’Italia. 

La Cultura nel nostro Paese è uno dei settori rilevanti per l’economia: direttamente e indirettamente, insieme alla Creatività, genera un valore aggiunto per oltre 270 miliardi di euro, pari al 16% del PIL nazionale. Allo stesso tempo la Cultura è un settore critico, perché legato all’ecosistema digitale: basti pensare all’interruzione dell’erogazione online dei ticket per accedere al Colosseo, avvenuta lo scorso anno, a causa di un attacco cibernetico.

E siamo alla vigilia di grandi eventi, come il Giubileo 2025. E come non citare il cyberattacco alla piattaforma Ticketmaster con cui sono stati violati i dati personali di 560 milioni di fan della popstar Taylor Swift, oltre al furto di QR Code di 440mila biglietti del tour. Poi emblematici sono gli attacchi informatici alla British Library di Londra e a 40 musei in Francia, compreso il Louvre. Tanti casi che dimostrano l’urgenza di garantire la cybersicurezza ai soggetti che svolgono attività di interesse culturale, non solo pubblici.

(Testo di Luigi Garofalo - Foto: www.digitalworld.it)