Direttiva NIS 2 (Network and Information Security): i punti chiave per l’applicazione

Contesto Normativo

La Direttiva NIS 2, recepita in Italia tramite Decreto Legislativo approvato da parte del Consiglio dei Ministri lo scorso 10 Giugno 2024, si inserisce in un quadro più ampio di adattamento e risposta alle sfide determinate dalla digitalizzazione, confermando l’impegno transfrontaliero dell’Unione Europea nel promuovere una cyber-resilienza efficace e coordinata a livello continentale. 

La NIS 2 sostituisce la precedente Direttiva NIS del 2016, recepita in Italia nel 2018 e rafforzata, attraverso l’istituzione del Perimetro di Sicurezza Nazionale Cibernetica (PSNC), arricchendo in maniera sinergica il fitto quadro normativo europeo in materia di Cyber Security e Resilience delle Infrastrutture Critiche che comprende, tra gli altri, il Digital Operational Resilience Act (DORA), il Cybersecurity Act, il General Data Protection Regulation (GDPR) e la recente Direttiva sulla Resilienza delle infrastrutture critiche (CER, Critical Entities Resilience).

Punti chiave per l’applicazione

Rispetto alla NIS, la nuova Direttiva supera la distinzione tra Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD), introducendo le categorie di Soggetti Essenziali e Soggetti Importanti ed ampliando così la lista dei settori di servizi essenziali coinvolti. 

Mentre la NIS lasciava agli Stati membri una certa discrezionalità nella specifica identificazione degli operatori, la NIS 2 stabilisce criteri più chiari per l’individuazione dei soggetti rientranti nell’ambito di applicazione¹. In particolare, sono inclusi soggetti pubblici o privati dei settori definiti ad "Alta criticità" (Allegato I) e “Altri settori critici” (Allegato II), che rientrano almeno nella categoria delle medie imprese².

Si riporta di seguito una sintesi dei criteri per identificare i Soggetti Essenziali e i Soggetti Importanti secondo la Direttiva NIS 2:

Image

Entro il 17 aprile 2025 gli Stati membri sono tenuti a definire un elenco dei Soggetti Essenziali e Importanti. 

Tale elenco dovrà essere riesaminato periodicamente, almeno ogni due anni, e aggiornato quando necessario. La Direttiva NIS 2 stabilisce che gli Stati membri debbano garantire che i soggetti inclusi nel campo di applicazione implementino una serie di misure organizzative e tecniche. 

Al riguardo, è necessario assicurare:

• la partecipazione attiva della governance dei Soggetti Essenziali e Importanti nella gestione dei rischi legati alla sicurezza informatica (Art. 20);
• l’adozione di misure per la gestione dei rischi di sicurezza informatica da parte dei Soggetti Essenziali e Importanti, utilizzando un approccio che integri aspetti tecnici, operativi e organizzativi (Art 21);
• la segnalazione tempestiva da parte dei Soggetti Essenziali e Importanti di qualsiasi incidente significativo (Art 23).

Per conseguire il rispetto delle misure di gestione dei rischi legati alla sicurezza informatica, la Direttiva NIS 2 permette a ogni Stato membro di decidere se imporre ai Soggetti Essenziali e Importanti l'uso di specifici prodotti, servizi e processi ICT, sviluppati internamente o acquisiti da terzi, che siano certificati secondo i sistemi europei di certificazione della sicurezza informatica (Art 24).

Le misure dovranno includere, tra l’altro, l’implementazione di protocolli di comunicazione sicura, la formazione continua del personale in materia di cybersecurity, l’adozione di tecnologie di rilevamento e risposta agli incidenti, lo sviluppo di piani di continuità operativa e di ripristino, e la collaborazione con le autorità nazionali per garantire una risposta tempestiva e coordinata agli incidenti.

Di seguito i punti chiave dei requisiti stabiliti dall’Articolo 21: 

Image

L’obiettivo è prevenire o ridurre al minimo l'impatto degli incidenti non solo per i destinatari dei servizi dei Soggetti Essenziali e Importanti ma anche per altre infrastrutture e servizi interconnessi, assicurando così la resilienza complessiva dell’Unione Europea.

Regime Sanzionatorio

La Direttiva NIS 2 definisce un sistema di vigilanza più rigoroso per la sicurezza informatica e sanzioni più severe per i soggetti inadempienti. 

Le organizzazioni in ambito saranno sottoposte a controlli più frequenti e approfonditi e dovranno notificare tempestivamente qualsiasi incidente informatico che abbia un impatto significativo sulla fornitura dei propri servizi e, in particolare, presentare al relativo CSIRT o se del caso l'autorità competente:

• un preallarme entro 24 ore dal momento in cui sono stati informati dell'incidente significativo;
• una notifica entro 72 ore da quando sono venuti a conoscenza dell'incidente significativo;
• una relazione finale dettagliata entro un mese dalla trasmissione della notifica dell'incidente di cui al punto precedente.

Il mancato rispetto degli obblighi previsti comporterà sanzioni pecuniarie amministrative che potranno arrivare fino al maggiore tra € 10.000.000 o 2% del fatturato mondiale annuo dell'azienda per i Soggetti Essenziali e € 7.000.000 o 1,4% del fatturato mondiale annuo per i Soggetti Importanti.

Le autorità preposte sono inoltre tenute a segnalare tempestivamente al Garante per la Protezione dei Dati Personali qualsiasi violazione da parte di un soggetto NIS che possa potenzialmente mettere a rischio i dati dei cittadini. 

Il Garante, a sua volta, ha il potere di irrogare ulteriori sanzioni al soggetto inadempiente

Approccio Protiviti

Sulla base della vasta esperienza sviluppata in materia di gestione del rischio e di compliance, con particolare riferimento agli ambiti Cyber Security, Information & Operation Technology, Protiviti ha definito un approccio specifico per l’adeguamento alla Direttiva NIS 2. 

Tale approccio viene adattato al contesto e al business del cliente, analizzando le caratteristiche della società (o delle società coinvolte nel caso di gruppi), il - o i loro - rispettivi settori di attività, l’infrastruttura IT/OT e i relativi processi di gestione.

Image

Al fine di supportare le organizzazioni nel raggiungimento della compliance e nella sua gestione nel continuo, Protiviti si avvale di specifici strumenti che consentono di avere una visione completa del livello di conformità dell’organizzazione e ne permettono il monitoraggio, anche attraverso dashboard dedicate e report personalizzati sulla base delle esigenze specifiche (es. report per il top management). 

Più nel dettaglio, il NIS 2 Readiness Framework, consente l’esecuzione di una valutazione del livello di maturità dell’azienda sui diversi ambiti d’intervento previsti (Identity & Access Management, Ict Risk Management, Incident Management, Business Continuity, Third Party Risk Management, Asset & Data Protection) rispetto ai requisiti richiesti dalla Direttiva e l’identificazione delle azioni da intraprendere per il raggiungimento della compliance.

Poiché la NIS 2 coinvolge diversi ambiti e funzioni aziendali, l’approccio mira a favorire la collaborazione trasversale a tutta l’organizzazione, in modo da rafforzare la capacità di risposta a eventuali incidenti significativi garantendo al contempo sia la compliance alla Direttiva che la resilienza del business.

Infine, il NIS 2 Readiness Framework di Protiviti supporta le organizzazioni nella gestione delle comunicazioni con le autorità competenti - rafforzando l’attività dell’Information Sharing - e nell’identificazione delle interconnessioni tra requisiti normativi di diversi standard e/o normative di settore, razionalizzando in un’ottica di compliance integrata i sistemi di governo e controllo, in modo da rendere più sostenibile ed efficace la loro gestione.

1. La Direttiva conferisce allo Stato membro, Art.3 e), di identificare qualsiasi altro soggetto di cui all'allegato I o II come soggetto essenziali

2. Si definisce media impresa una impresa con meno di 250 dipendenti, il cui fatturato annuo non supera i 50 milioni di EUR oppure il cui totale di bilancio annuo non supera i 43 milioni di EUR