Obbligo di Conformità NIS 2: Cosa e’ necessario Sapere per Rimanere a Norma nel 2025

Il 1° ottobre 2024 è stato pubblicato il D.Lgs. n. 138/2024 di recepimento della  direttiva UE 2022/2555, la c.d. NIS 2, che impone ad un gran numero di aziende di implementare la sicurezza delle reti e dei sistemi informativi, al fine di prevenire gli attacchi informatici.

CHE DIFFERENZA C’È TRA CER – ISO 27001 E NIS 2

La CER-ISO 27001 e la direttiva NIS 2 (Network and Information Systems Directive) sono due approcci distinti, ma complementari, nella gestione della sicurezza informatica, che si rivolgono a esigenze diverse, anche se possono sovrapporsi in alcuni aspetti.

La Nis 2

La NIS 2 stabilisce le misure per la prevenzione degli attacchi informatici, definendo un livello comune elevato di cybersicurezza legato ai servizi offerti ai clienti. Le aziende, nel fornire i loro servizi e prodotti, devono garantire la cybersicurezza degli stessi.

La CER

La CER (Cybersecurity for Critical Infrastructures and Services) si occupa invece della resilienza fisica delle infrastrutture informatiche, limitandosi al perimetro aziendale.

Definisce i requisiti per gli organismi che forniscono audit e certificazione dei sistemi di gestione della sicurezza delle informazioni, garantendo l’affidabilità dei processi di certificazione.

La serie ISO 27000 (compresa la 27001, 27002, e altre norme) è fondamentale per garantire una protezione adeguata delle informazioni aziendali

ISO 27000 e la gestione dei rischi.

La ISO 27001 (CER-ISO 27001) è uno standard internazionale che stabilisce i requisiti per un Sistema di Gestione della Sicurezza delle Informazioni (SGSI). L’obiettivo principale è proteggere le informazioni aziendali in tutte le loro forme, attraverso un approccio sistematico alla gestione dei rischi relativi alla sicurezza informatica. Essa è applicabile a qualsiasi tipo di organizzazione, sia privata che pubblica, e in vari settori. Non si concentra solo sulle infrastrutture critiche, ma su tutte le informazioni che potrebbero essere sensibili. La certificazione ISO 27001 viene rilasciata da enti di certificazione accreditati, ed è un processo volontario per le organizzazioni che desiderano dimostrare il loro impegno nella sicurezza delle informazioni.

ISO/IEC 27000:2018

Fornisce una panoramica e un vocabolario per i sistemi di gestione della sicurezza delle informazioni (ISMS), definendo i termini e i concetti chiave.

ISO/IEC 27001:2022

Stabilisce i requisiti per un ISMS, delineando come gestire la sicurezza delle informazioni all’interno di un’organizzazione.

ISO/IEC 27002:2022

Offre un codice di condotta per i controlli di sicurezza delle informazioni, fornendo linee guida pratiche per l’implementazione dei controlli.

ISO/IEC 27003:2017

Fornisce linee guida per l’implementazione di un ISMS, supportando le organizzazioni nella pianificazione e nell’adozione di un sistema di gestione della sicurezza delle informazioni.

ISO/IEC 27004:2016

Tratta la misurazione delle prestazioni di un ISMS, offrendo metodi per monitorare e valutare l’efficacia dei controlli di sicurezza.

ISO/IEC 27005:2018

Fornisce linee guida sulla gestione del rischio per la sicurezza delle informazioni, aiutando le organizzazioni a identificare, valutare e trattare i rischi associati alle informazioni.

ISO/IEC 27006:2015

L’importanza del perimetro aziendale

In passato, il perimetro aziendale era ben definito e conosciuto. Oggi, però, non è più così. Se un’azienda acquista una piattaforma, un software o un’applicazione, il perimetro aziendale si estende fino ai luoghi in cui questi elementi digitali sono operativi. Lo spazio in cui viaggiano i dati aziendali si espande senza che si sappia esattamente dove vadano a finire, poiché chi vende o noleggia il software, la piattaforma o l’applicazione non specifica dove questi servizi siano fisicamente operativi. È possibile, anzi molto probabile, che le applicazioni utilizzate dall’azienda si estendano anche al di fuori dell’Unione Europea, in luoghi dove non esistono legislazioni adeguate a garantire la riservatezza dei dati.

Quindi il perimetro aziendale non è più noto, e le norme Cer, Nis, Nis 2 ed ancora prima le Iso 27.000, 27.001, 27.002 ecc, tendono a richiedere all’azienda di rendicontare e monitorare tutti gli asset (fisici e digitali/virtuali), in quanto essi formano anche il perimetro della stessa, ossia il contenitore dei dati, sia ai fini del GDPR,  per la tutela dei dati riservati,  sia ai fini del Network Information Tecnology, ossia per la certificazione sulla sicurezza delle informazioni, e della conformità Nis 2. 

Nei “considerando” del Decreto 138/24 vi è il 79 che è importantissimo e detta la linea di continuità tra le ISO 27000 e la conformità Nis 2.

(79) Poiché le minacce alla sicurezza dei sistemi informativi e di rete possono avere origini diverse, le misure di gestione dei rischi di cibersicurezza dovrebbero essere basate su un approccio multirischio mirante a proteggere i sistemi informativi e di rete e il loro ambiente fisico da eventi quali furti, incendi, inondazioni, problemi di telecomunicazione o interruzioni di corrente, o da qualsiasi accesso fisico non autorizzato nonché dai danni alle informazioni detenute dai soggetti essenziali o importanti e agli impianti di trattamento delle informazioni di questi ultimi e dalle interferenze con tali informazioni o impianti che possano compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti da tali sistemi informativi e di rete o accessibili attraverso di essi. Le misure di gestione dei rischi di cibersicurezza dovrebbero pertanto affrontare anche la sicurezza fisica e dell’ambiente dei sistemi informativi e di rete includendo misure volte a proteggere detti sistemi da guasti del sistema, errori umani, azioni malevole o fenomeni naturali, in linea con le norme europee e internazionali, come quelle di cui alla serie ISO/IEC 27000. A tale riguardo, i soggetti essenziali e importanti dovrebbero altresì, nell’ambito delle loro misure di gestione dei rischi di cibersicurezza, affrontare la questione della sicurezza delle risorse umane e disporre di strategie adeguate di controllo dell’accesso. Tali misure dovrebbero essere coerenti con la direttiva (UE) 2022/2557.

In sostanza l’azienda per rispettare la conformità Nis 2 e per la prevenzione degli attacchi informatici si deve tutelare da tutti i rischi oggettivi e soggettivi che possano mettere in pericolo la riservatezza, disponibilità, l’integrità dei dati di cui dispone, partendo dalla rendicontazione e monitoraggio dei propri asset, quale perimetro aziendale di sua esclusiva responsabilità.

Riservatezza dei dati

La riservatezza può essere violata mettendo in chiaro, ossia pubblicando, i dati riservati, appunto, o inviando informazioni sensibili a soggetti diversi dai veri destinatari.

Esempio: un dipendente manda una mail a destinatari errati.

Se un dipendente invia una mail contenente informazioni sensibili a un gruppo non autorizzato (ad esempio, a 700 persone anziché a una sola), si tratta di una violazione della riservatezza. L’accesso non autorizzato ai dati comporta una violazione della privacy e della protezione dei dati personali, che è una violazione diretta della riservatezza.

Ad esempio pare che vi sia stato un data breach nell’azienda Inforcert, ove vi sarebbe stata l’esposizione online di 5,5 milioni di dati di clienti. Il 27 dicembre 2024, esattamente alle 13:47, un utente denominato “PieWithNothing” ha pubblicato su un forum del dark web un annuncio di vendita di 5,5 milioni di record di dati appartenenti a InfoCert, proponendo un prezzo di 1.500 dollari per ciascuna transazione. InfoCert ha rilevato la pubblicazione non autorizzata lo stesso giorno ma ha diffuso una prima comunicazione ufficiale il 28 dicembre, confermando che i dati trafugati provenivano dai sistemi di un fornitore terzo. Successivamente, il 30 dicembre 2024, InfoCert ha emesso un ulteriore comunicato stampa in cui ha chiarito che il fornitore terzo coinvolto era responsabile della gestione della piattaforma di assistenza clienti utilizzata dal Customer Care. L’azienda ha inoltre precisato che i dati sottratti erano limitati alle informazioni necessarie per il funzionamento del sistema di ticketing e la gestione delle richieste di supporto. Nessun cliente è stato avvisato personalmente del data breach ed il garante ha inviato una richiesta di informazioni. Ora Infocert è un fornitore di servizi, e nella catena di produzione se il fornitore subisce una data breach tutti i clienti, a monte e a valle della catena di fornitura NIS 2, ne sono coinvolti, perché ciascuno è responsabile della selezione del proprio fornitore.

Esempio: i dati riservati affidati ad una società vengono rubati

Anche le Asl di Modena e Verona hanno subito il data breach con pubblicazione online dei dati sensibili dei pazienti.

Esempio: errore umano

Se un dipendente clicca su un link malevolo che porta a un sito di phishing, si corre il rischio di compromettere sia la riservatezza (se vengono rubati dati sensibili come credenziali o informazioni personali) che l’integrità dei dati (se un malware o un ransomware modifica i dati aziendali o li corrompe).

Disponibilità dei dati

La disponibilità dei dati aziendali secondo il contesto del GDPR (General Data Protection Regulation) e del NIS 2 Directive (Direttiva UE sulla sicurezza delle reti e dei sistemi informativi) riguarda la capacità di garantire che i dati aziendali, in particolare i dati sensibili e personali, siano accessibili e utilizzabili solo da persone autorizzate e che possano essere recuperati in modo sicuro in caso di necessità.

In particolare:

GDPR: La disponibilità dei dati, in conformità al GDPR, implica che le aziende debbano implementare misure appropriate per garantire che i dati personali trattati siano protetti e accessibili solo in base alla necessità di conoscenza. Devono essere garantiti il recupero dei dati in caso di incidenti e la loro conservazione in modo sicuro, riducendo al minimo i rischi di accesso non autorizzato o perdita di dati.

NIS 2: La Direttiva Europea NIS 2 si concentra sulla sicurezza delle reti e dei sistemi informativi nelle imprese e nelle infrastrutture critiche che offrono servizi. L’obiettivo principale è garantire la continuità operativa e la protezione contro le minacce informatiche. In relazione alla disponibilità dei dati, la direttiva richiede che le aziende implementino misure di sicurezza per garantire la disponibilità dei sistemi informativi aziendali, così come dei dati critici, soprattutto in caso di attacchi informatici o altre emergenze che potrebbero compromettere l’integrità dei dati.

Esempio: problemi irreparabili di backup.

Se il NAS (Network Attached Storage) o il server dove vengono effettuati i backup si rompe, i dati diventano non disponibili. Questo scenario riguarda il concetto di disponibilità: se un sistema o un dispositivo che memorizza i backup non è disponibile, i dati non possono essere recuperati o utilizzati, mettendo a rischio la continuità operativa dell’azienda. Pertanto è necessario prevedere un sistema di diversificazione del backup, prevedendo misure operative per la Gestione multicanale dei backup e recupero dei dati.

Esempio: attacco informatico

Le azioni malevoli (ad esempio, un attacco informatico) mettono a rischio la riservatezza dei dati, se i dati vengono rubati o esposti; la disponibilità, se i dati vengono bloccati o distrutti; e l’integrità, se i dati vengono alterati o manipolati. Gli attacchi informatici sono uno dei principali rischi che minacciano tutti e tre i concetti chiave.

In sintesi, la disponibilità dei dati aziendali implica l’adozione di misure tecniche, organizzative e procedurali per proteggere i dati da accessi non autorizzati, incidenti e perdite, assicurando che possano essere recuperati in modo rapido ed efficiente.

Integrità dei dati

L’integrità dei dati si riferisce alla completezza, accuratezza e coerenza dei dati durante tutto il loro ciclo di vita, assicurando che non siano stati alterati in modo non autorizzato o accidentale. Nel contesto di normative come il GDPR e la Direttiva NIS 2, l’integrità dei dati implica che i dati trattati siano affidabili e corretti, rispecchiando fedelmente la realtà.

In dettaglio:

GDPR: L’integrità dei dati nel GDPR implica che i dati personali devono essere mantenuti accurati e aggiornati. Le organizzazioni sono obbligate a garantire che i dati personali siano trattati in modo tale da evitarne l’alterazione non autorizzata, la perdita o la distruzione accidentale. Devono essere implementate misure di sicurezza per preservare l’integrità dei dati, ad esempio tramite la cifratura, il controllo degli accessi e la verifica delle attività di trattamento dei dati.

NIS 2: La Direttiva Europea NIS 2 richiede che le imprese adottino misure di sicurezza NIS 2 per proteggere l’integrità dei dati, al fine di ottenere delle reti Informatiche sicure. In caso di attacco informatico, corruzione dei dati o altri incidenti che possano comprometterne l’accuratezza, le aziende devono avere sistemi di protezione per mantenere i dati corretti, validi e inalterati. L’integrità dei dati è una componente essenziale per garantire la continuità operativa e la sicurezza delle informazioni aziendali.

Esempio: carta identità modificata.

Un esempio può essere il caso della carta di identità alterata, che impedisce alla persona di autenticarsi.

Esempio: perdita irreparabile di backup

Se il backup è conservato su un unico hard disk che si rompe, si rischia di perdere non solo la disponibilità dei dati, ma anche la loro integrità. La perdita di un backup può comportare la perdita di dati importanti, che non sono più accessibili, compromettendo sia la loro disponibilità che la capacità di ripristinarli in modo integrale. E’ sempre importantissimo la massima attenzione nella gestione dei backup e recupero dei dati.

Esempio: perdita di un pc

Se un PC con un backup viene perso (ad esempio, nel caso in cui un dipendente smarrisce il proprio zaino), ci sono implicazioni sulla riservatezza, in quanto i dati potrebbero essere esposti a persone non autorizzate. Inoltre, la disponibilità e l’integrità dei dati sono compromesse: il backup potrebbe non essere recuperabile e il rischio di danneggiare o perdere i dati aumenta. Dunque è bene prevedere l’accurata gestione dei backup e recupero dei dati.

In pratica, la conformità Nis 2 implica proteggere i dati da modifiche non autorizzate (sia accidentali che dolose) e garantire che ogni dato raccolto, elaborato o memorizzato rispecchi il suo stato originale o legittimo, senza alterazioni che possano compromettere l’affidabilità delle decisioni aziendali.

Implementare misure di prevenzione per proteggere i dati da guasti, errori umani e azioni malevoli (come l’uso di backup diversificati, crittografia dei dati, formazione per evitare errori umani, ecc.) è essenziale per mantenere i principi di riservatezza, disponibilità e integrità, garantiti dalla conformità Nis 2. Un’adeguata protezione dei sistemi, dei dispositivi e delle informazioni aziendali aiuta a prevenire violazioni e danni. Per garantire la protezione di queste informazioni, le aziende devono adottare misure di sicurezza NIS 2 efficaci, backup diversificati e pratiche di formazione sulla sicurezza informatica NIS 2 continua per ridurre il rischio di violazioni e danni ai dati.

INTERAZIONE DELLE NORMATIVE NIS2 E 231/01

Vi è un importante interazione tra le normative GDPR, NIS 2, CER e il Modello 231 di responsabilità amministrativa degli enti, in particolare riguardo ai reati informatici e alla gestione dei rischi legati alla sicurezza delle informazioni.

1. Interazione tra NIS 2 Modello 231

Il Modello 231 si riferisce alla responsabilità amministrativa degli enti in relazione ai reati commessi da dipendenti o dirigenti. Tra i reati presupposto per la responsabilità dell’ente ci sono anche quelli informatici, come l’accesso abusivo a sistemi informatici, frodi informatiche e danneggiamento dei sistemi.

In questo caso, il collegamento con GDPR (protezione dei dati personali) e NIS 2 (sicurezza delle reti e dei sistemi informativi) è chiaro: violazioni informatiche come l’accesso abusivo a sistemi, l’uso di credenziali non autorizzate, o la frode informatica, possono avere un impatto diretto sulla sicurezza dei dati e sulla continuità dei sistemi aziendali, e quindi sull’integrità dei dati trattati.

Esempio: utilizzo di credenziali da un dirigente non autorizzato

Se un dirigente entra in un sistema informatico utilizzando le credenziali fornite da un dipendente (senza essere autorizzato), sta violando la normativa sul reato di accesso abusivo a sistema informatico. Questo reato potrebbe essere un “reato presupposto” per la responsabilità dell’ente ai sensi del Modello 231. L’ente potrebbe essere ritenuto responsabile se non ha adottato misure adeguate di prevenzione.

2. Reati Informatici nel Modello 231

Nel Modello 231, i reati informatici (come l’accesso abusivo a un sistema, la frode informatica, o la manipolazione dei dati) sono inclusi tra i comportamenti illeciti per cui un ente può essere ritenuto penalmente responsabile. Le aziende devono prevenire questi reati, implementando sistemi di gestione dei rischi informatici (come il monitoraggio delle accessi, l’autenticazione forte e altre misure di sicurezza NIS 2).

Esempio: Il Modello 231 richiede che l’azienda adotti un sistema di controllo interno per prevenire reati, tra cui l’accesso non autorizzato ai sistemi informatici. Se un dirigente commette il reato di accesso abusivo, l’azienda potrebbe essere ritenuta responsabile se non ha adottato misure preventive adeguate.

3. GDPR, NIS 2, CER e Gestione dei Rischi

  • GDPR: Si concentra sulla protezione dei dati personali e impone alle aziende di implementare misure di sicurezza per garantire la riservatezza, integrità e disponibilità dei dati. Le violazioni informatiche che compromettono la sicurezza dei dati personali possono comportare sanzioni gravi.
  • NIS 2: Si concentra sulla sicurezza delle reti e dei sistemi informativi in ambito aziendale. La direttiva NIS 2 richiede alle organizzazioni di adottare misure di sicurezza per prevenire gli incidenti informatici e garantire la disponibilità e integrità dei sistemi e dei dati.
  • CER 134/2024: Il Decreto CER prescrive misure operative per la resilienza delle strutture informatiche, richiedendo alle aziende di garantire la continuità operativa e la sicurezza dei dati e dei sistemi informativi. La protezione contro gli accessi non autorizzati e la gestione dei rischi informatici è una componente chiave della sicurezza digitale delle infrastrutture.

4. Misure di prevenzione NIS 2

Le violazioni informatiche, che possono derivare da attacchi esterni (come i black hat hacker) o da comportamenti interni non conformi (come l’accesso non autorizzato da parte di dipendenti o dirigenti), devono essere affrontate attraverso un sistema di gestione dei rischi e degli obblighi di sicurezza NIS 2, che include:

  • Sicurezza fisica (protezione dei dispositivi e delle infrastrutture)
  • Sicurezza informatica (sistemi di protezione dei dati e controllo degli accessi)
  • Formazione del personale sui rischi legati alla sicurezza informatica e alle violazioni dei dati

In sintesi, l’interazione tra il GDPR, NIS 2, CER e il Modello 231 richiede alle aziende di implementare misure adeguate per prevenire i reati informatici e proteggere i dati aziendali e personali, nonché la sicurezza digitale delle infrastrutture. In caso contrario, potrebbero essere ritenute responsabili per la violazione delle normative e per la mancata protezione dei dati, con gravi conseguenze legali e reputazionali.

IL RISCHIO RAPPRESENTATO DALLE RISORSE UMANE – OBBLIGO DI FORMAZIONE DEI SOGGETTI APICALI –  ISO 27001 e NIS 2

Si sottolinea che le risorse umane sono uno degli anelli più deboli nella sicurezza informatica. La mancanza di formazione sulla sicurezza informatica NIS 2 e la cultura aziendale inadeguata, possono causare incidenti gravi. Pertanto il fattore umano deve essere incluso nella gestione del rischio informatico. Ad esempio, se i dipendenti non sono consapevoli dei rischi, potrebbero portare a casa dispositivi aziendali come i PC e poi dimenticarsene, rendendo l’azienda vulnerabile a furti o violazioni della sicurezza.

Formazione e sensibilizzazione:

La formazione dei dipendenti è un elemento cruciale degli obblighi di sicurezza NIS 2, ossia sulla sicurezza informatica e sulla conformità Nis2. Non solo i dipendenti operativi devono essere formati, ma anche i dirigenti e gli organi amministrativi devono essere obbligati a seguire corsi di formazione sulla sicurezza informatica NIS 2, nell’ottica della corretta gestione del rischio informatico. Questo è un punto importante, perché se i vertici aziendali non sono informati e sensibilizzati sulla sicurezza informatica, sarà difficile implementare un’efficace cultura della sicurezza a tutti i livelli.

Obbligo di formazione per tutti i livelli aziendali soprattutto gli apicali:

È necessario che la formazione sulla sicurezza informatica non sia limitata solo ai dipendenti operativi, ma che coinvolga anche i dirigenti e gli organi amministrativi, che hanno una responsabilità fondamentale nell’adozione delle misure di sicurezza e nella sensibilizzazione all’interno dell’azienda.

Se un’azienda non rispetta le normative di sicurezza informatica, ossia gli obblighi di sicurezza NIS 2, e non adotta le misure di sicurezza NIS 2 richieste, potrebbe essere soggetta a sanzioni amministrative,  a causa della inadeguata gestione del rischio informatico.

L’Autorità nazionale per la cybersecurity può ispezionare l’azienda e, se non trova le misure di sicurezza NIS 2 adeguate, emettere una diffida con prescrizioni per il miglioramento della sicurezza. Se le misure non vengono implementate, possono seguire sanzioni amministrative.

In alcune situazioni, la sanzione può essere così grave da compromettere la capacità dell’azienda di operare, ad esempio, vietando l’attività fino a quando non siano rispettati i requisiti di sicurezza.

  1. Rischi per le risorse umane:
    • Il discorso fa anche riferimento a come le risorse umane siano fondamentali nella gestione della sicurezza informatica. Se i dirigenti non sono adeguatamente sensibilizzati e non prendono misure per proteggere i dati, è probabile che le risorse operative (come i dipendenti) siano più vulnerabili agli incidenti.
    • Il concetto di “rischiare il proprio lavoro” si riferisce al fatto che, quando un dipendente o un dirigente è consapevole delle conseguenze legali e professionali di una violazione della sicurezza, può essere motivato a rispettare meglio le normative di sicurezza.
  2. Certificazione ISO 27001:
    • La certificazione ISO 27001 è una certificazione facoltativa che un’azienda può decidere di ottenere per dimostrare che ha implementato un sistema di gestione della sicurezza delle informazioni (ISMS). La certificazione è volontaria e può riguardare solo parti specifiche dell’azienda (ad esempio, il reparto di produzione software). Questo dipende dalle esigenze aziendali o da eventuali richieste di bandi pubblici o altre necessità commerciali.
    • Al contrario, le normative obbligatorie come la Direttiva NIS 2 o il decreto CER sono vincolanti per tutte le aziende che operano in determinati settori o gestiscono determinati tipi di dati sensibili. Non si tratta di una scelta dell’azienda; l’azienda deve conformarsi completamente a queste normative su tutto il territorio nazionale.
  3. Differenza tra certificazione e normativa obbligatoria:
    • La certificazione ISO 27001 è una scelta volontaria che può essere applicata a specifiche aree aziendali. L’azienda può decidere di certificare solo una parte della propria struttura o dei propri processi (ad esempio, il reparto IT o la gestione di dati sensibili).
    • Le normative obbligatorie (come quelle imposte dalla NIS 2 o dal decreto CER) si applicano a livello globale e vincolano l’intera azienda. Non si può scegliere di applicarle solo a una parte dell’attività aziendale: tutti i processi aziendali devono rispettare le normative.
  4. Implementazione della sicurezza:
    • La ISO 27001 copre vari ambiti della sicurezza, come quella tecnologica, organizzativa, fisica e delle risorse umane. Non si limita solo alla sicurezza informatica, ma si estende a tutte le aree che contribuiscono alla protezione dei dati aziendali e alla sicurezza delle informazioni.
    • Al contrario le normative obbligatorie come la NIS 2 richiedono un’applicazione più ampia e strutturata della sicurezza in tutte le aree aziendali, senza che sia possibile limitarsi a una parte dell’azienda.

E’ importante adottare misure di sicurezza NIS 2 efficaci e di sensibilizzare tutte le risorse umane in azienda, dai dipendenti ai dirigenti, sulla necessità di conformarsi alle normative. Le certificazioni volontarie, come la ISO 27001, possono essere utili per dimostrare l’adozione di buone pratiche, ma le normative obbligatorie come la NIS 2 e il decreto CER impongono requisiti vincolanti per tutta l’azienda e non si limitano a una parte della struttura. In caso di non conformità Nis 2, l’azienda rischia sanzioni e difficoltà operative.

DI RILEVANZA ASSOLUTA È IL CYBER RESILIENCE ACT PER LA GESTIONE DEL RISCHIO INFORMATICO – NORMATIVA SICUREZZA INFORMATICA

Il Cybersecurity Act è un regolamento europeo che stabilisce un quadro di certificazione della cybersicurezza nell’UE (Cybersecurity Act Regolamento UE 2019/881). Sebbene si concentri principalmente sulla sicurezza dei sistemi informatici e delle reti, include anche l’aspetto della protezione dei dati. Questo regolamento sicurezza dati si applica ai prodotti software e piattaforme digitali. La CE (marchio di conformità europea) dovrà essere apposto su tutti i software che rispettano gli standard di sicurezza previsti dal regolamento per questa normativa di sicurezza informatica.

Obiettivi principali:

Certificazione della sicurezza cibernetica: Il Cybersecurity Act crea un sistema di certificazione della sicurezza per i prodotti, servizi e processi ICT, al fine di garantire la sicurezza e la protezione dei dati su scala europea.

Rafforzamento delle capacità di sicurezza informatica: L’atto prevede l’adozione di misure per migliorare la resilienza delle reti e dei sistemi informativi in tutta l’UE.

Obbligatorietà:

Chi produce software (o piattaforme digitali) dovrà garantire che i propri prodotti siano conformi alle normative di sicurezza, altrimenti non potranno essere venduti o distribuiti nel mercato dell’UE. Se il software non è conforme, chi acquista il prodotto potrebbe essere ritenuto responsabile per eventuali attacchi informatici o vulnerabilità.

Collegamento con la cyber sicurezza

Se si utilizza un software non sicuro, come un software craccato (pirata), le probabilità di subire attacchi informatici aumentano considerevolmente. Questo è perché tali software potrebbero non avere le misure di sicurezza appropriate (ad esempio, crittografia o protezione dell’accesso).

Se il software non è protetto, diventa un punto di vulnerabilità in cui gli hacker possono entrare e compromettere i sistemi aziendali. Questo espone l’azienda a gravi rischi di attacchi o violazioni della sicurezza.

Formazione e responsabilità

Il Garante per la protezione dei dati ha recentemente pubblicato il codice di condotta per i produttori di software, che stabilisce le linee guida su come garantire la sicurezza dei prodotti e sulla gestione della responsabilità del trattamento dei dati. Questo è un passo importante per regolamentare la sicurezza dei software a livello europeo.

Le aziende che producono software devono essere consapevoli delle normative in materia di sicurezza digitale delle infrastrutture e agire di conseguenza per evitare rischi legati a vulnerabilità informatiche e accessi non autorizzati.

Conformità del software e accesso ai sistemi

I contratti devono disciplinare chiaramente chi può entrare nei sistemi aziendali. Se un’azienda permette a qualcuno di accedere alla propria rete senza un accordo formale e senza le necessarie misure di sicurezza, rischia di essere vulnerabile a reati di accesso abusivo a un sistema informatico. Questo è un reato presupposto nel contesto del Modello 231 (responsabilità amministrativa degli enti).

È necessario stabilire policy di accesso ai sistemi per evitare che estranei o persone non autorizzate possano entrare nei sistemi aziendali e compiere azioni dannose.

La sicurezza delle reti e dei collegamenti

Quando un’azienda si connette a reti virtuali private (VPN), è essenziale che la connessione sia sicura. Se una VPN non è crittografata o non ha le misure di protezione appropriate, può essere facilmente violata da attacchi informatici.

Se le reti non sono protette, i dati aziendali possono essere rubati o compromessi, e qualsiasi sistema aziendale collegato potrebbe diventare vulnerabile a intrusioni.

Prevenzione e gestione degli accessi

È fondamentale avere delle policy chiare per la gestione degli accessi ai sistemi aziendali, per ottenere delle reti informatiche sicure Queste politiche devono essere attuate per prevenire il rischio di accesso abusivo e proteggere le informazioni sensibili.

La Cyber Resilience Act e il relativo obbligo di conformità CE per i software sono strettamente legati alla cyber sicurezza. Le aziende devono assicurarsi che i software utilizzati e distribuiti siano sicuri e protetti contro gli attacchi informatici. L’adozione di software non sicuro o pirata aumenta notevolmente il rischio di attacchi, compromettendo la sicurezza dei sistemi aziendali.

Le normative di sicurezza, insieme a una corretta gestione degli accessi e formazione sulla sicurezza informatica NIS 2 continua per le risorse umane, sono essenziali per ridurre il rischio di violazioni della sicurezza e di responsabilità legale.

SOGGETTI OBBLIGATI ALLA REGISTRAZIONE AL REGISTRO NIS 2

La direttiva NIS 2 (Network and Information Systems Directive 2) della Commissione Europea, che aggiorna la precedente NIS (2016), stabilisce requisiti più rigorosi per la sicurezza delle reti e dei sistemi informativi. Si applica a una serie di soggetti importanti che devono rispettare le normative per garantire la protezione delle infrastrutture critiche NIS 2 e dei servizi digitali. Essa si applica a una serie di soggetti, identificati come “operatori essenziali” e “fornitori di servizi digitali”, che sono obbligati a rispettare requisiti di sicurezza più rigorosi. I soggetti importanti NIS 2 sono:

Operatori Essenziali Soggetti obbligati Nis 2 :

Questi soggetti sono obbligati Nis 2 in quanto sono considerati cruciali per il buon funzionamento della società e dell’economia. La direttiva NIS 2 identifica vari settori, tra cui:

  1. Energia (ad esempio, produzione e distribuzione di energia elettrica e gas)
  2. Trasporti (ad esempio, ferrovie, aviazione, trasporto marittimo)
  3. Sanità (ospedali e strutture sanitarie)
  4. Forniture d’acqua e trattamento delle acque reflue
  5. Finanza (settore bancario e assicurativo)
  6. Infrastrutture digitali (come i data center)
  7. Servizi pubblici (ad esempio, fornitura di servizi di emergenza)

Gli operatori essenziali devono adottare misure di sicurezza informatica adeguate e notificare alle autorità competenti qualsiasi incidente significativo di sicurezza.

Data Center e Fornitori di Servizi Digitali nella Direttiva NIS 2

La direttiva NIS 2 estende gli obblighi di sicurezza a diversi fornitori di servizi digitali, che sono essenziali per il funzionamento dei sistemi digitali moderni e per la gestione delle informazioni sensibili. Questi fornitori, che sono soggetti obbligati NIS 2, tra cui i marketplace online, i motori di ricerca e i servizi di cloud computing, operano su data center, che rappresentano il cuore delle infrastrutture digitali. Da annoverare tra questi anche i gestori di domini di primo livello (DNS)

La NIS 2 pone particolare attenzione alla protezione dei data center, poiché sono responsabili dell’archiviazione, dell’elaborazione e della gestione dei dati critici per le operazioni delle organizzazioni. l gestori di domini di primo livello possono essere inseriti nel contesto di soggetti essenziali o fornitori di servizi digitali nella direttiva NIS 2, poiché i gestori di TLD sono direttamente coinvolti nella sicurezza delle infrastrutture digitali e nei servizi di rete critici per il funzionamento di Internet.

In particolare, i gestori di domini di primo livello svolgono un ruolo cruciale nella gestione del sistema di nomi di dominio (DNS), che è fondamentale per il funzionamento dell’infrastruttura Internet. La loro sicurezza e stabilità sono essenziali per prevenire interruzioni o attacchi che potrebbero compromettere l’affidabilità dei servizi digitali. Quindi, questi enti dovrebbero essere considerati come fornitori di servizi digitali che sono soggetti agli obblighi di sicurezza della NIS 2 o come operatori essenziali a seconda dell’importanza dell’infrastruttura che gestiscono. La loro responsabilità nella protezione della sicurezza del sistema di nomi di dominio è fondamentale per mantenere la continuità e la sicurezza delle reti e dei servizi informatici

Fornitori di Servizi Digitali Soggetti obbligati Nis 2:

La NIS 2 estende gli obblighi di sicurezza a diversi fornitori di servizi digitali, tra cui:

a. Data Center NIS 2 e Marketplace Online

I marketplace online sono piattaforme digitali dove le aziende e i consumatori possono acquistare e vendere beni o servizi. Tali piattaforme, come Amazon, eBay, Etsy, Zalando ecc si basano su data center per gestire enormi volumi di transazioni, dati sensibili e operazioni di backend e sono soggetti obbligati NIS 2. La NIS 2 richiede che i fornitori di marketplace online adottino misure di sicurezza cibernetica avanzate, non solo per proteggere i dati delle transazioni e dei consumatori, ma anche per garantire che le infrastrutture di data center che ospitano queste piattaforme siano sicure e resilienti contro gli attacchi informatici.

Obblighi di sicurezza per i data center NIS 2: Protezione contro attacchi come il furto di dati, malware, e minacce legate alla disponibilità dei servizi, in quanto un’interruzione dei marketplace potrebbe avere conseguenze significative per le aziende e gli utenti.

b. Data Center NIS 2 e Motori di Ricerca Online

I motori di ricerca online, come Google e Bing, sono strumenti fondamentali che raccolgono, indicizzano e presentano contenuti da una vasta gamma di fonti, pertanto sono soggetti obbligati NIS 2. Questi motori di ricerca si basano su data center per archiviare e processare enormi volumi di dati, inclusi quelli sensibili, come le ricerche degli utenti e altre informazioni personali. La NIS 2 impone che anche questi fornitori garantiscano misure di sicurezza informatica avanzate per proteggere i data center contro gli accessi non autorizzati e gli attacchi che potrebbero compromettere la confidenzialità e l’integrità dei dati raccolti.

Sicurezza dei data center NIS 2: La protezione fisica e logica dei data center è cruciale per evitare attacchi di data breach e garantire che i motori di ricerca operino in modo sicuro e continuo.

c. Data Center NIS 2 e Servizi di Cloud Computing

Il cloud computing è uno dei settori in più rapida crescita, dove i fornitori di servizi di cloud computing offrono infrastrutture che permettono a aziende e individui di archiviare, gestire e elaborare dati su server remoti, sono soggetti obbligati NIS 2. Fornitori come Amazon Web Services (AWS), Microsoft Azure e Google Cloud sono esempi di servizi che dipendono da data center per la gestione sicura di dati aziendali e sensibili. La NIS 2 estende gli obblighi di sicurezza anche a questi fornitori, dato il loro ruolo cruciale nella protezione delle informazioni e nella gestione della sicurezza delle infrastrutture digitali.

In particolare, la NIS 2 riguarda:

  • Fornitori di cloud pubblico (ad esempio, Amazon Web Services, Microsoft Azure, Google Cloud) che offrono infrastrutture, piattaforme e software come servizio.
  • Fornitori di cloud privato o cloud ibrido che possono essere utilizzati da aziende per gestire in sicurezza i propri dati in ambienti protetti.

Gestione della sicurezza nei data center NIS 2 del cloud: I data center che supportano i servizi di cloud computing devono implementare misure di protezione per garantire che i dati siano protetti da attacchi esterni, siano facilmente recuperabili in caso di incidenti e che l’integrità delle informazioni sia mantenuta.

d. Ruolo Critico dei Data Center NIS 2

I data center non solo ospitano le piattaforme di servizi digitali come marketplace, motori di ricerca e cloud computing, ma sono anche responsabili della disponibilità, affidabilità e resilienza di questi servizi. La NIS 2 pone particolare enfasi sulla protezione dei data center, poiché essi sono essenziali per garantire che i servizi digitali operino in modo sicuro e continuo, proteggendo i dati e minimizzando il rischio di interruzioni o attacchi che potrebbero compromettere il funzionamento di infrastrutture critiche NIS 2.

Obblighi di protezione dei data center: Gli operatori di data center devono adottare politiche di sicurezza per garantire la protezione fisica delle strutture e la difesa contro le minacce informatiche. Questi obblighi si applicano sia agli operatori di data center fisici che ai fornitori di cloud computing che gestiscono infrastrutture virtuali.

La direttiva NIS 2 estende le sue normative per includere una varietà di fornitori di servizi digitali che dipendono da data center per gestire e proteggere enormi volumi di dati. Che si tratti di marketplace online, motori di ricerca, o servizi di cloud computing, la protezione dei data center è cruciale per garantire che i servizi digitali funzionino in modo sicuro, protetto e conforme alle normative di sicurezza. La NIS 2, quindi, stabilisce obblighi di sicurezza non solo per i fornitori di servizi digitali, ma anche per le infrastrutture fisiche che supportano questi servizi, come i data center, che devono essere protetti contro le minacce cibernetiche per salvaguardare i dati degli utenti e la continuità operativa.

Obblighi di Sicurezza per i Fornitori di Cloud Computing

I fornitori di cloud computing sono soggetti agli stessi obblighi di sicurezza informatica imposti dalla NIS 2, che includono:

  • Gestione dei rischi: I fornitori di cloud devono identificare, valutare e gestire i rischi cibernetici che potrebbero compromettere la sicurezza delle infrastrutture e dei dati che gestiscono.
  • Misure di protezione: I cloud provider devono implementare misure di sicurezza adeguate per garantire la riservatezza, integrità e disponibilità dei dati. Ciò può includere crittografia, autenticazione avanzata, e backup dei dati.
  • Sicurezza dei dati: Devono garantire che i dati archiviati sui loro sistemi siano protetti da accessi non autorizzati e da incidenti informatici NIS 2 (es. attacchi DDoS, malware).
  • Piani di recupero e misure di continuità operativa: I fornitori di cloud devono essere in grado di garantire che i servizi possano essere ripristinati rapidamente in caso di incidente, e che i dati possano essere recuperati in caso di perdita o danneggiamento.
  • Monitoraggio e auditing: I cloud provider devono monitorare costantemente i loro sistemi per rilevare minacce e anomalie e implementare politiche di audit per garantire che le operazioni siano conformi agli standard di sicurezza.
Notifica degli Incidenti

La NIS 2 impone che i fornitori di servizi di cloud computing notifichino tempestivamente gli incidenti significativi alle autorità nazionali competenti, se questi incidono sulla sicurezza dei dati o sui servizi erogati. Gli incidenti che potrebbero compromettere la disponibilità, l’integrità o la riservatezza dei dati devono essere segnalati entro 24 ore dalla conoscenza dell’incidente. Se non è possibile fornire tutti i dettagli in questo periodo, devono essere forniti aggiornamenti regolari.

Sanzioni per Non Conformità NIS 2

Se i fornitori di cloud computing non rispettano gli obblighi di sicurezza e di notifica stabiliti dalla NIS 2, possono essere soggetti a sanzioni. Le sanzioni possono variare da multe amministrative significative (fino a €10 milioni o 2% del fatturato globale per gli operatori essenziali) a misure correttive, che potrebbero includere il miglioramento delle misure di sicurezza o la sospensione dei servizi.

Collaborazione con le Autorità Nazionali

La NIS 2 promuove la cooperazione tra i Paesi membri dell’UE e le autorità nazionali per monitorare e gestire i rischi cibernetici legati ai servizi di cloud computing. I fornitori di cloud devono collaborare con le autorità di vigilanza per garantire che vengano rispettati gli standard di sicurezza e che gli incidenti siano gestiti in modo rapido ed efficace.

Il cloud computing è un componente essenziale nella direzione verso una società digitale sicura. La NIS 2 riconosce l’importanza del cloud per la gestione dei dati e dei servizi critici e impone a questi fornitori di adottare misure di sicurezza robuste per proteggere i dati e garantire la continuità dei servizi. Le normative sulla sicurezza cibernetica nell’ambito del cloud computing sono cruciali per minimizzare i rischi legati agli attacchi informatici e assicurare che le infrastrutture digitali possano rispondere adeguatamente agli incidenti. Anche questi fornitori sono tenuti a rispettare le norme di sicurezza e a garantire la protezione dei dati e dei sistemi informatici che gestiscono.

Autorità Nazionali Competenti e Certificatori:

Ogni Stato membro dell’UE deve designare autorità nazionali che monitorano la conformità alla NIS 2, che includono anche enti che si occupano di certificazione della sicurezza e gestione degli incidenti.

Enti di Certificazione e Incidenti di Sicurezza:

Enti specializzati nella gestione e certificazione della sicurezza delle reti, che svolgono un ruolo fondamentale nella vigilanza sul rispetto delle normative e nella gestione degli incidenti di sicurezza.

Gestori dei Rischi (Cybersecurity Officers):

Persone designate all’interno delle organizzazioni per coordinare le misure di sicurezza cibernetica e garantire la compliance con le normative di NIS 2.

IMPRESE PICCOLE E MEDIE NIS 2

Le piccole e medie imprese (PMI) sono quelle che non rientrano tra gli operatori essenziali o i fornitori di servizi digitali di grandi dimensioni, ma la NIS 2 riconosce l’importanza di proteggere anche le PMI, che spesso rappresentano una parte significativa dell’economia europea. Sebbene la NIS 2 imponga obblighi più stringenti agli operatori essenziali e ai fornitori di servizi digitali, le PMI sono comunque coinvolte dalla normativa in maniera indiretta.

PMI Soggette alla NIS 2:

Le PMI che operano in settori strategici o che forniscono servizi digitali sono soggette agli obblighi di sicurezza cibernetica, ma con una certa flessibilità nelle modalità di applicazione rispetto ai soggetti più grandi. Ecco alcuni esempi:

  • PMI operanti nel settore sanitario, che gestiscono dati sensibili e devono garantire la protezione dei dati personali secondo la NIS 2 e il GDPR.
  • Fornitori di servizi digitali di piccole dimensioni, come piccole piattaforme di e-commerce o servizi di cloud computing, che sono obbligati a implementare misure di protezione dei dati e notificare eventuali incidenti di sicurezza.

PMI non Soggette direttamente alla NIS 2:

Alcune PMI non sono direttamente soggette agli obblighi della NIS 2, a meno che non rientrino nelle categorie specifiche sopra descritte. Tuttavia, la normativa promuove l’importanza di rafforzare la sicurezza cibernetica in tutte le organizzazioni, indipendentemente dalla loro dimensione. Per le PMI che non sono direttamente obbligate, il rafforzamento della sicurezza delle loro infrastrutture è comunque raccomandato attraverso politiche nazionali, programmi di formazione e incentivi.

Flessibilità per le PMI:

La NIS 2 è stata progettata tenendo conto delle diverse dimensioni delle imprese. Per le PMI, le misure di sicurezza non sono così rigide come per i soggetti obbligati di maggiore dimensione, ma sono comunque richieste. Le PMI devono:

  • Gestire i rischi cibernetici e attuare misure di sicurezza appropriate.
  • Notificare gli incidenti di sicurezza che potrebbero compromettere la sicurezza delle informazioni, in particolare se si tratta di eventi che potrebbero influire sulla continuità operativa.

Le PMI, soprattutto quelle che forniscono servizi digitali o operano in settori cruciali (come sanità, energia, finanza), sono più vulnerabili agli attacchi cibernetici e, pertanto, la NIS 2 impone loro misure proporzionate al rischio.

3. Rilevanza delle PMI nella NIS 2

Sebbene non tutte le PMI siano obbligate a seguire la NIS 2, queste imprese svolgono un ruolo cruciale nella sicurezza informatica dell’UE. Molte PMI sono fornitori di servizi digitali o fanno parte delle catene di approvvigionamento di organizzazioni più grandi e potrebbero rappresentare un punto di vulnerabilità. Inoltre, il loro coinvolgimento in settori chiave rende necessaria una gestione dei rischi cibernetici per garantire la sicurezza dei sistemi e dei dati.

Le PMI devono essere consapevoli dei rischi legati alla sicurezza informatica, anche se non sono soggette direttamente alla NIS 2. Esistono incentivi e strumenti per supportare le PMI nell’adozione di misure di sicurezza cibernetica, come programmi nazionali e comunitari per migliorare la resilienza delle piccole imprese.

4. Soggetti Non Obbligati dalla NIS 2

La NIS 2 non si applica a tutti i soggetti, ed alcune categorie di imprese e organizzazioni non sono obbligate a rispettare le disposizioni della normativa. Questi soggetti, però, sono comunque incentivati ad adottare buone pratiche di sicurezza:

  • Piccole imprese che non rientrano tra i fornitori di servizi digitali o operatori essenziali.
  • Organizzazioni non strategiche che non gestiscono dati sensibili o che non forniscono servizi fondamentali per la società.

In ogni caso, la sicurezza informatica dovrebbe rimanere una priorità anche per queste organizzazioni, per proteggere i dati e le informazioni da eventuali minacce. L’integrazione tra i soggetti obbligati e le PMI nella NIS 2 è importante per garantire che la sicurezza informatica non dipenda solo dalle grandi organizzazioni, ma che tutte le imprese, anche quelle più piccole, siano protette contro le minacce cibernetiche. Le PMI, sebbene non sempre obbligate direttamente dalla NIS 2, giocano un ruolo fondamentale nel mantenere la sicurezza e la resilienza delle infrastrutture critiche e dei servizi digitali. La direttiva promuove la protezione delle PMI attraverso misure proporzionate e supporti nazionali per migliorare la sicurezza complessiva dell’ecosistema digitale europeo.

SOGGETTI OBBLIGATI REGISTRAZIONE AL REGISTRO NIS 2 – CASI DUBBI

Tuttavia, molte aziende non rientrano pienamente nei casi semplici o predefiniti indicati dalla normativa, ossia tra i soggetti importanti NIS 2. Ciò crea confusione, poiché la classificazione dei soggetti obbligati dipende da una serie di fattori che potrebbero non essere immediatamente evidenti. Alcuni esempi di difficoltà includono:

  1. Settori non sempre chiari: La Direttiva NIS 2 si applica a settori che rientrano sotto la categoria di “servizi essenziali”. Tuttavia, per molte aziende, determinare se il proprio settore è veramente critico o se l’attività aziendale ha un impatto sufficientemente rilevante per giustificare l’obbligo di iscrizione al registro può non essere sempre chiaro. Ad esempio, aziende tecnologiche o fornitori di software che non gestiscono infrastrutture critiche potrebbero non capire se devono registrarsi o meno.
  2. Dimensione dell’azienda: Le normative NIS 2 prevedono che anche alcune piccole e medie imprese (PMI), seppure non operanti nei settori critici tradizionali, debbano comunque aderire ai requisiti di sicurezza cibernetica, soprattutto se operano come fornitori di servizi a soggetti essenziali. Tuttavia, la definizione di “fornitore” o “partner” può risultare ambigua, complicando la decisione di quali aziende debbano effettivamente iscriversi.
  3. Ambiguità dei criteri: Molte aziende non rientrano facilmente nei criteri definiti dalla normativa, come la dimensione dell’azienda o il livello di impatto sulla sicurezza cibernetica. La normativa stabilisce che se un’organizzazione fornisce servizi essenziali o importanti, deve rispettare gli obblighi di sicurezza, ma la classificazione di un’azienda come tale può dipendere da variabili complesse. Ad esempio, una start-up tecnologica potrebbe non essere immediatamente considerata un “soggetto essenziale”, ma se fornisce servizi critici per un’altra azienda, potrebbe essere comunque obbligata ad iscriversi.
  4. Settori non tradizionali: Aziende che operano in settori non tradizionali o infrastrutture nuove, come quelle relative alle cryptocurrency, cloud computing o altre tecnologie emergenti, potrebbero non essere facilmente categorizzabili secondo le definizioni preesistenti e potrebbero trovare difficile stabilire se sono soggette o meno alla registrazione obbligatoria.

Le difficoltà nell’individuazione dei casi applicabili

  • Non tutte le aziende sono facili da classificare: Molte aziende potrebbero trovarsi in una situazione grigia, dove non sono né chiaramente dentro né fuori dai criteri di registrazione, essere o non essere tra i soggetti importanti NIS 2. Questo accade soprattutto in contesti in cui la normativa non è ancora ben adattata a nuovi modelli di business e nuove tecnologie.
  • Individuare la responsabilità: Un altro aspetto problematico riguarda l’identificazione di chi è effettivamente responsabile per la sicurezza informatica nell’ambito delle organizzazioni che operano nei settori essenziali. Ad esempio, in alcune strutture complesse, potrebbe non essere immediato capire chi debba occuparsi della registrazione al registro NIS 2: il responsabile della sicurezza informatica o il responsabile della compliance normativa.

Settori Essenziali e Casi Dubbi Registrazione al registro NIS 2

I settori essenziali come quelli dell’energia (gas, elettricità, acqua potabile), dei trasporti (aerei, ferroviari, marittimi, su strada), delle infrastrutture dei mercati finanziari e delle comunicazioni elettroniche sono soggetti obbligati a registrarsi al registro NIS 2. Tuttavia, ci sono casi di ambiguità:

  • Aziende che forniscono servizi “importanti” ma non essenziali (ad esempio, alcuni fornitori di servizi digitali o data center) potrebbero trovarsi in una situazione di incertezza su come applicare la normativa.
  • Settori non tradizionali come i gestori di nomi di dominio o i fornitori di servizi Cloud potrebbero non essere immediatamente inclusi ma sono fondamentali per la sicurezza delle reti.

Catena di Fornitura NIS 2 (Supply Chain)

Le aziende che fanno parte della supply chain di soggetti essenziali o importanti devono anch’esse rispettare determinati obblighi, anche se non sono direttamente essenziali. Ad esempio, anche un fornitore piccolo che fornisce servizi critici a un’azienda essenziale dovrà conformarsi alla normativa, a prescindere dalle sue dimensioni. La responsabilità si estende a tutta la catena di approvvigionamento, per cui se un fornitore di basso livello non è conforme, può influire negativamente sull’intera rete di sicurezza, in quanto catena di fornitura e cybersecurity sono strettamente collegate.

SCADENZE NIS 2 – OBBLIGHI E TEMPI DI CONFORMITÀ

Rispetto alla scadenze NIS2 i soggetti obbligati devono registrarsi al registro NIS 2 entro 28 febbraio per ottenere la conformità allaNIS 2 2025. Una volta registrati, l’ACN (Autorità per la Cybersecurity Nazionale) avrà tempo fino al 31 marzo per redigere l’elenco dei soggetti conformi. Successivamente, i soggetti che non rientrano nell’elenco dovranno ricevere una comunicazione ufficiale. Entro 31 maggio, coloro che sono stati inclusi nel registro dovranno implementare le misure di sicurezza, con scadenze più specifiche per le misure operative entro dicembre 2025 e altre procedure entro settembre 2026.

Il registro NIS 2 si applica a un numero ampio di settori essenziali e importanti, ma la sua applicazione può risultare complessa per molte aziende, specialmente quelle che si trovano all’interno di una catena di fornitura critica, cd catena di fornitura NIS 2. Le aziende devono prendere atto dei requisiti e dei tempi di conformità, implementando le misure di sicurezza necessarie per evitare sanzioni per non conformità NIS 2 e interruzioni delle proprie attività.

Scadenze NIS 2 e Adempimenti Dei Soggetti Tenuti All’iscrizione Per Ottenere La Conformità Alla NIS 2 2025

  • Registrazione sulla piattaforma digitale: I soggetti obbligati devono registrarsi o aggiornare la propria registrazione sulla piattaforma digitale gestita dall’Autorità nazionale competente NIS. La registrazione deve avvenire annualmente, tra il 1° gennaio e il 28 febbraio 2025.
  • Per alcune categorie specifiche di soggetti, come i fornitori di servizi di sistema dei nomi di dominio, di cloud computing e data center, la registrazione deve essere effettuata entro il 17 gennaio 2025.
  • Adozione delle misure di sicurezza NIS 2: Gli obblighi previsti dagli articoli 23 e 24 devono essere rispettati entro 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti essenziali o importanti.
  • Comunicazione dell’elenco delle attività e dei servizi: A partire dal 1° gennaio 2026, i soggetti obbligati devono fornire annualmente, tra il 1° maggio e il 30 giugno, un elenco delle attività e dei servizi svolti, comprensivo della loro caratterizzazione e categorizzazione.

È fondamentale che i soggetti interessati monitorino attentamente queste scadenze NIS 2 per garantire la conformità alle disposizioni del Decreto NIS 2 e per evitare le sanzioni previste in caso di inadempimento.

L’Autorità per la Cybersecurity Nazionale (ACN) ha l’obbligo di comunicare ai soggetti iscritti sulla piattaforma se sono obbligati o meno a conformarsi agli obblighi previsti dalla Direttiva NIS 2 e dal relativo decreto (ad esempio, il Decreto 138/2024).

SCADENZE NIS 2 – TERMINI DELLA COMUNICAZIONE DELL’AUTORITÀ CYBERSICUREZZA NAZIONALE

Tempistiche della Comunicazione

Entro il 31 marzo: L’ACN deve redigere l’elenco ufficiale dei soggetti che sono obbligati a conformarsi agli obblighi della NIS 2 e registrarsi come soggetti essenziali o importanti.

Comunicazione a partire dal 15 aprile: I soggetti che sono stati iscritti al registro dovranno ricevere una comunicazione ufficiale entro la fine di maggio, indicando se sono inclusi nell’elenco e se sono soggetti obbligati.

Contenuto della Comunicazione:

  • Se un soggetto è obbligato: L’ACN gli comunicherà l’inclusione nell’elenco dei soggetti obbligati e le scadenze per la conformità.
  • Se un soggetto non è obbligato: L’ACN fornirà la comunicazione che lo esclude dall’obbligo di conformarsi alla normativa, indicando che non rientra nei settori essenziali o importanti.

Integrazioni:

  • Se l’ACN ritiene che un soggetto necessiti di ulteriori informazioni o integrazioni sulla sua posizione (se sia realmente un soggetto obbligato o meno), fornirà una richiesta di integrazione.
  • I soggetti dovranno rispondere a queste richieste, fornendo documenti o aggiornamenti entro i termini stabiliti.

Termini Specifici:

  • Completamento dell’elenco: Entro il 31 marzo 2025.
  • Comunicazione ufficiale ai soggetti: Tra il 15 aprile e il 31 maggio 2025.
  • Termine finale per l’implementazione delle misure di sicurezza NIS 2: Gli obblighi devono essere implementati entro i termini successivi, come il 31 dicembre 2025 (per la prima fase, incidenti di sicurezza) e settembre 2026 per le misure operative.

In sintesi, l’ACN deve comunicare in maniera chiara e tempestiva a tutti i soggetti registrati se sono soggetti obbligati o meno a conformarsi alle disposizioni della NIS 2, con le scadenze stabilite per l’implementazione delle misure richieste.

SANZIONI PER NON CONFORMITÀ NIS 2

La direttiva NIS 2 prevede sanzioni per coloro che non rispettano i requisiti di sicurezza e le obbligazioni stabilite per la gestione dei rischi cibernetici. Le sanzioni sono mirate a garantire la conformità alla normativa, proteggere le reti e i sistemi informativi, e ridurre i rischi di incidenti significativi che potrebbero compromettere la sicurezza delle infrastrutture critiche NIS 2 e dei servizi digitali. Le sanzioni variano a seconda della gravità della violazione e del soggetto coinvolto (operatore essenziale o fornitore di servizi digitali).

1. Sanzioni NIS 2 per gli Operatori Essenziali (OES)

Gli operatori essenziali che non rispettano i requisiti di sicurezza previsti dalla NIS 2, come l’adozione di misure appropriate di sicurezza informatica o la notifica tempestiva di incidenti significativi, sono soggetti a sanzioni amministrative severe.

Le violazioni comuni che possono portare a sanzioni includono:

  • Mancata implementazione di misure di sicurezza NIS 2 adeguate contro le minacce informatiche.
  • Mancata notifica di incidenti significativi alle autorità competenti entro i termini stabiliti (24 ore per incidenti urgenti, 72 ore per gli altri).
  • Mancata gestione adeguata dei rischi relativi alla sicurezza delle informazioni.
  • Inadeguato monitoraggio e valutazione della sicurezza.

Le sanzioni previste per le violazioni da parte degli operatori essenziali includono:

  • Multa amministrativa che può arrivare fino a €10 milioni o 2% del fatturato globale annuo dell’organizzazione, a seconda della gravità e del tipo di violazione.
  • Richieste di miglioramento delle misure di sicurezza NIS 2.
  • Sospensione dei servizi in casi estremi, se la violazione compromette la sicurezza e l’affidabilità dei servizi.

2. Sanzioni NIS 2 per i Fornitori di Servizi Digitali (DSP)

Anche i fornitori di servizi digitali (come marketplace online, motori di ricerca, e servizi di cloud computing) sono soggetti a sanzioni NIS 2 per inadempienze. Le violazioni per cui possono essere sanzionati includono:

  • Mancata adozione di misure di sicurezza adeguate per proteggere i dati e i sistemi.
  • Mancata notifica di incidenti significativi alle autorità competenti.
  • Non conformità alle norme di gestione dei rischi relativi alla sicurezza informatica.

Le sanzioni NIS 2 per i fornitori di servizi digitali includono:

  • Multa amministrativa che può arrivare fino a €7 milioni o 1,4% del fatturato globale annuo dell’organizzazione.
  • Ordinanze di sospensione o interruzione del servizio, qualora la violazione costituisca una minaccia diretta alla sicurezza dei sistemi informativi.

3. Inadempimento della Notifica degli Incidenti

Uno degli obblighi chiave sotto NIS 2 è la notifica tempestiva di incidenti di sicurezza informatica. Le sanzioni NIS 2 possono essere inflitte se:

  • Un incidente significativo non viene segnalato entro i tempi previsti.
  • La notifica è incompleta o non fornisce informazioni adeguate.

La mancata notifica può comportare multe elevate, in base alla gravità e all’impatto dell’incidente sulla sicurezza delle infrastrutture.

Obblighi di Notifica degli Incidenti secondo la NIS 2

Chi deve notificare?

  1. Gli obblighi di notifica si applicano a:
    • Operatori essenziali (OES): aziende che forniscono servizi fondamentali per il funzionamento della società e dell’economia (ad esempio, energia, trasporti, sanità, ecc.).
    • Fornitori di servizi digitali (DSP): enti che forniscono servizi digitali come marketplace online, motori di ricerca, cloud computing, ecc.

Quando notificare un incidente?

La NIS 2 stabilisce un obbligo di notifica per gli incidenti significativi che possano avere un impatto sulla sicurezza delle reti e dei sistemi informativi. Un incidente si considera significativo quando può compromettere la disponibilità, l’integrità, la confidenzialità dei dati o la fornitura del servizio.

  • Entro 24 ore dalla conoscenza dell’incidente: Gli operatori devono segnalare alle autorità competenti un incidente grave che possa avere un impatto significativo sui loro sistemi informativi o servizi, che includa perdita di dati, accesso non autorizzato, interruzione dei servizi, ecc.
  • Relazione aggiornata: Se l’incidente non può essere completamente descritto entro 24 ore, l’organizzazione deve fornire un aggiornamento regolare finché l’incidente non è stato completamente gestito.

Cosa notificare?

La notifica deve contenere tutte le informazioni rilevanti sull’incidente, inclusi:

  • Descrizione dell’incidente: Tipo di attacco, modalità di esecuzione, origine e impatto.
  • Impatto sugli utenti e sui servizi: Effetti sull’operatività dei servizi, accesso ai dati, e eventuali danni alle infrastrutture.
  • Misure prese per mitigarne l’impatto: Le azioni intraprese per risolvere il problema, il ripristino dei servizi e la protezione dei dati.
  • Piani di recupero: Dettagli sulle misure adottate per il recupero dei dati o dei sistemi compromessi.
  • Tempistiche: Orari e date in cui l’incidente si è verificato, è stato rilevato e le azioni intraprese.

Notifica alle autorità competenti

Le notifiche devono essere inviate alle autorità nazionali competenti designate da ciascuno Stato membro dell’UE. Ogni Paese ha un’autorità di regolamentazione che gestisce la sicurezza delle reti e dei sistemi informativi, e che funge da punto di contatto per la ricezione delle notifiche.

  • Cooperazione tra Paesi: La NIS 2 prescrive la cooperazione tra Stati membri e autorità competenti a livello europeo per gestire incidenti transnazionali e garantire una risposta coordinata alle minacce cibernetiche.

Mancata notifica e sanzioni

Mancata notifica e sanzioni Se un’organizzazione non rispetta gli obblighi di notifica, può essere soggetta a sanzioni amministrative. Le autorità competenti possono applicare multe significative per la mancata comunicazione di incidenti di sicurezza, che variano a seconda della gravità e del tipo di violazione.

  • Sanzioni pecuniarie: Le violazioni delle normative NIS 2 possono comportare sanzioni che arrivano fino a €10 milioni o 2% del fatturato globale annuale dell’organizzazione (per gli operatori essenziali) o fino a €7 milioni o 1,4% del fatturato (per i fornitori di servizi digitali).
  • Misure correttive: L’organizzazione potrebbe essere obbligata a intraprendere azioni correttive e miglioramenti nelle sue politiche di sicurezza informatica.

Esempi di incidenti da notificare

  • Interruzione dei servizi: Qualsiasi disservizio che influisca sulla disponibilità dei servizi (es. attacchi DDoS, blackout di sistemi critici).
  • Violazione dei dati: Accesso non autorizzato ai dati sensibili (ad esempio, furto di dati personali, perdita di informazioni finanziarie).
  • Malware e ransomware: Attacchi che compromettono la sicurezza del sistema, ad esempio con software dannoso o blocco dei dati per estorcere un riscatto.
  • Accessi non autorizzati: Tentativi di intrusione o compromissione di sistemi da parte di attori esterni.

Obiettivi della Notifica

Gli obblighi di notifica degli incidenti hanno diversi obiettivi:

  • Prevenire l’escalation: Identificare e risolvere rapidamente le minacce per evitare danni maggiori.
  • Trasparenza e cooperazione: Favorire la cooperazione tra gli Stati membri, le autorità e gli operatori per una risposta rapida e condivisa agli incidenti.
  • Protezione degli utenti: Informare tempestivamente gli utenti finali in caso di incidenti che possano influenzare la loro privacy e sicurezza.
  • Rafforzamento delle difese cibernetiche: Promuovere l’adozione di pratiche di sicurezza adeguate e rafforzare la resilienza delle organizzazioni contro future minacce.
L’obbligo di notifica degli incidenti in base alla direttiva NIS 2 rappresenta un aspetto cruciale per garantire la sicurezza delle reti e dei sistemi informativi, nonché per migliorare la gestione dei rischi cibernetici a livello europeo. La tempestività e l’accuratezza delle notifiche sono fondamentali per una risposta efficace e per ridurre al minimo i danni causati da attacchi informatici.

Sanzioni NIS 2 per la Non Conformità alle Misure di Sicurezza

In generale, la non conformità alle misure di sicurezza richieste dalla NIS 2, come la mancanza di protezione dei dati o di risorse informatiche critiche, può comportare sanzioni molto severe. Questo può includere:

  • Rimozione di accessi non autorizzati alle reti o ai dati.
  • Ordine di rafforzamento della sicurezza per prevenire attacchi futuri.
  • Multa pecuniaria come deterrente contro il mancato adempimento.

Maggiorazioni e Penali per Incapacità di Gestire i Rischi

Le sanzioni sono particolarmente gravi in caso di mancata gestione adeguata dei rischi. Gli operatori devono avere in atto sistemi di gestione del rischio che permettano loro di affrontare le minacce in modo efficace. L’adozione di pratiche di gestione dei rischi inadeguate può comportare:

  • Multa amministrativa.
  • Ordini di miglioramento e adeguamento delle misure di sicurezza.

Controllo e Vigilanza

In Italia, l’autorità designata per comminare le sanzioni NIS 2 è l’ACN (Autorità per la Cybersicurezza Nazionale), che ha il compito di garantire la sicurezza delle reti e dei sistemi informativi di importanza nazionale e strategica. L’ACN è responsabile della supervisione degli operatori essenziali e dei fornitori di servizi digitali (compresi quelli appartenenti a settori come energia, trasporti, sanità e cloud), e ha il potere di monitorare l’attuazione delle misure di sicurezza, gestire gli incidenti cibernetici, e adottare sanzioni nei casi di non conformità.

In Sintesi:

Le sanzioni per la violazione della NIS 2 sono severe e variano in base alla gravità della violazione. Esse vanno da multe amministrative significative (fino a €10 milioni o 2% del fatturato per gli operatori essenziali) a ordini di sospensione dei servizi e miglioramento delle misure di sicurezza. L’obiettivo della direttiva è garantire che tutte le organizzazioni coperti dalla normativa attuino misure adeguate per proteggere la sicurezza delle reti e dei sistemi informativi, riducendo al minimo i rischi e gli incidenti cibernetici.

FONTI NORMATIVE EUROPEE ED ITALIANE

La Cybersecurity Directive è la direttiva dell’Unione Europea che stabilisce un quadro normativo per migliorare la cybersicurezza in tutta Europa, mirando a rafforzare la protezione delle reti e dei sistemi informativi. L’obiettivo principale della direttiva è garantire che le infrastrutture digitali critiche siano protette da minacce cibernetiche e che i Paesi dell’UE collaborino in modo efficace per prevenire, rilevare e rispondere a incidenti cibernetici.

Le principali direttive sulla cybersecurity dell’UE

Direttiva NIS (Network and Information Systems Directive)

  • NIS (2016/1148) è la prima direttiva dell’UE sulla cybersecurity, adottata nel 2016. Si concentra sulla protezione delle reti e dei sistemi informativi in tutta l’Unione Europea, in particolare per gli operatori essenziali (settori come energia, trasporti, sanità) e i fornitori di servizi digitali (come cloud computing, marketplace online, e motori di ricerca).
  • Gli Stati membri dell’UE sono tenuti a designare autorità nazionali competenti, a garantire che gli operatori essenziali implementino misure di sicurezza adeguate e a segnalare gli incidenti di sicurezza.

Direttiva NIS 2 (Network and Information Systems Directive 2)

  • La NIS 2, adottata nel 2020 e entrata in vigore nel 2022, è un aggiornamento e un potenziamento della precedente direttiva NIS. Introduce nuovi obblighi più rigorosi per gli operatori essenziali e fornitori di servizi digitali, con un’attenzione particolare alla gestione dei rischi cibernetici e alla comunicazione tempestiva degli incidenti.
  • La direttiva NIS 2 amplia l’ambito di applicazione rispetto alla precedente versione, includendo nuovi settori e migliorando la cooperazione tra Stati membri e le autorità di vigilanza.

Cybersecurity Act

  • Adottato nel 2019, il Cybersecurity Act ha istituito l’ENISA (Agenzia dell’Unione Europea per la Cybersecurity) come autorità centrale per la cybersecurity a livello europeo. Inoltre, ha creato un sistema di certificazione della cybersicurezza per i prodotti e servizi, al fine di migliorare la fiducia nei prodotti tecnologici e nelle soluzioni digitali.

Obiettivi chiave della Cybersecurity Directive

  • Rafforzamento della resilienza digitale: Assicurare che le infrastrutture critiche e i sistemi informativi siano protetti da cyberattacchi e da altre minacce informatiche.
  • Protezione delle informazioni sensibili: Promuovere l’adozione di misure di sicurezza per proteggere i dati personali e le informazioni sensibili.
  • Comunicazione di incidenti di sicurezza: Imporre l’obbligo di segnalare tempestivamente gli incidenti cibernetici, consentendo alle autorità competenti di rispondere rapidamente e di coordinare le misure di mitigazione.
  • Cooperazione internazionale: Promuovere la cooperazione tra Stati membri e agenzie internazionali per affrontare le minacce cibernetiche in modo più efficace e rapido.
  • Responsabilità delle organizzazioni: Impegnare i vari attori (operatori essenziali, fornitori di servizi digitali) a rispettare le normative sulla cybersicurezza e a implementare misure di sicurezza adeguate.
Sanzioni

La Cybersecurity Directive prevede sanzioni per le organizzazioni che non rispettano le normative sulla sicurezza delle reti e dei sistemi informativi. Le sanzioni possono includere:

  • Multa amministrativa.
  • Sospensione dei servizi.
  • Obbligo di migliorare le misure di sicurezza.

Le sanzioni sono proporzionali alla gravità delle violazioni e possono variare a seconda dei Paesi membri, che hanno il compito di implementare le disposizioni della direttiva nel loro sistema giuridico.

La Cybersecurity Directive dell’UE rappresenta un passo fondamentale per garantire un elevato livello di sicurezza cibernetica in tutta l’Unione Europea. Attraverso la NIS, la NIS 2, e il Cybersecurity Act, l’Unione Europea si impegna a proteggere le sue infrastrutture critiche, a prevenire attacchi cibernetici e a garantire la cooperazione tra i vari Stati membri. Il rafforzamento della cybersicurezza è fondamentale per proteggere la privacy dei cittadini, promuovere l’innovazione tecnologica e sostenere la crescita economica in un mondo sempre più digitalizzato.

Fonti NIS 2

Decreto legislativo 04/09/2024, n. 138

Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento sicurezza dati (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148.

Pubblicato nella Gazz. Uff. 1° ottobre 2024, n. 230.

Parlamento Europeo – Direttiva 14/12/2022, n. 2022/2555/UE.   DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento sicurezza dati (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (Testo rilevante ai fini del SEE). Pubblicata nella G.U.U.E. 27 dicembre 2022, n. L 333.

Fonti CER

Decreto legislativo 04/09/2024, n. 134

Attuazione della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio.

Pubblicato nella Gazz. Uff. 23 settembre 2024, n. 223.

Parlamento Europeo – Direttiva 14/12/2022, n. 2022/2557/UE

 DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio (Testo rilevante ai fini del SEE).   Pubblicata nella G.U.U.E. 27 dicembre 2022, n. L 333.

Consulenza legale anche online

Oltre ad offrire assistenza legale, mettiamo a disposizione un servizio di consulenza online nei nostri ambiti di intervento. Contattaci per fissare un appuntamento in videoconferenza su Skype o su altre piattaforme.

Contatta l'Avvocato Pisanello per
Assistenza Legale Specializzata

Se stai affrontando situazioni di violenza o discriminazione, non esitare a contattarci per una consulenza legale specializzata.