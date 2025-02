Sicurezza informatica e NIS2, come adeguarsi entro febbraio: guida per le PMI

La NIS2 per la sicurezza informatica impone alle imprese un approccio integrato che coinvolge tutte le funzioni aziendali, DPO garante della compliance.

Con la pubblicazione in Gazzetta Ufficiale del DPCM n. 221/2024, si completa il quadro normativo previsto dal Dlgs n. 138/2024 (Decreto NIS), che recepisce in Italia la Direttiva europea NIS2 (Network and Information Security 2).

In base alle nuove disposizioni, entro il 28 febbraio, le aziende pubbliche e private dovranno registrarsi sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN), dichiarando a quali soggetti si applicano i nuovi obblighi previsti dal decreto.

In questo articolo proponiamo un’analisi approfondita della direttiva NIS2 e delle norme italiane che l’accompagnano, dei nuovi requisiti legali richiesti alle organizzazioni coinvolte e delle implicazioni operative per le imprese italiane, comprese le PMI.

Evoluzione normativa: dalla NIS1 alla NIS2

La crescente digitalizzazione delle attività economiche e sociali ha reso la sicurezza informatica una priorità strategica per l’Unione europea. In questo contesto, la Direttiva UE NIS2 (Network and Information Security 2) mirato a rafforzare la resilienza cibernetica degli Stati membri.

La direttiva NIS2 amplia l’ambito di applicazione di quella NIS e introduce requisiti più stringenti per la sicurezza delle reti e dei sistemi informativi. Il Decreto NIS recepisce in Italia il nuovo dettato normativo.

Ambito di applicazione esteso

Una delle principali novità della NIS2 è l’estensione del suo ambito di applicazione per garantire una protezione più omogenea e completa delle infrastrutture digitali critiche. Oltre agli operatori di servizi essenziali, la direttiva include ora anche i fornitori di servizi digitali, come:

Servizi DNS

Cloud computing

Data center

Reti di distribuzione di contenuti

Servizi gestiti e di sicurezza gestiti

Marketplace online

Motori di ricerca online

Piattaforme di servizi di social network

Registri dei nomi a dominio di primo livello

Prestatori di servizi fiduciari

Quali PMI devono adottare la NIS2

La Direttiva NIS2 distingue tra soggetti essenziali (grandi aziende e PMI di interesse strategico) e soggetti importanti (PMI operanti in settori rilevanti).

Le PMI che operano nei settori strategici definiti dalla direttiva potrebbero doversi conformare alle misure di sicurezza e agli obblighi di notifica.

Energia : produzione, trasmissione e distribuzione di elettricità, gas e petrolio.

: produzione, trasmissione e distribuzione di elettricità, gas e petrolio. Trasporti : trasporto aereo, ferroviario, marittimo, stradale.

: trasporto aereo, ferroviario, marittimo, stradale. Banche e finanza : istituti bancari e intermediari finanziari.

: istituti bancari e intermediari finanziari. Infrastrutture digitali : provider di servizi cloud, data center, reti di telecomunicazioni.

: provider di servizi cloud, data center, reti di telecomunicazioni. Pubblica amministrazione : enti locali e centrali che gestiscono dati critici.

: enti locali e centrali che gestiscono dati critici. Sanità : ospedali, laboratori di analisi, farmaceutiche con servizi digitali.

: ospedali, laboratori di analisi, farmaceutiche con servizi digitali. Acqua : fornitori di acqua potabile e trattamento delle acque reflue.

: fornitori di acqua potabile e trattamento delle acque reflue. Servizi digitali : motori di ricerca, piattaforme di e-commerce, social network.

: motori di ricerca, piattaforme di e-commerce, social network. Produzione e distribuzione di prodotti chimici e farmaceutici .

. Servizi postali e logistici.

Le PMI con almeno 50 dipendenti e un fatturato annuo superiore a 10 milioni di euro, che operano nei settori elencati, dovrebbero rientrare nella normativa NIS2. Le imprese più piccole possono rientrare nell’obbligo se forniscono servizi critici a enti essenziali.

Per capire se si rientra nell’ambito applicativo della norma, si possono consultare gli articoli 3 e 6 del Dlgs. n. 138/2024 e i suoi allegati I-IV.

Si consiglia di consultare anche le FAQ pubblicate sul sito ACN (www.acn.gov.it) per comprendere meglio l’ambito applicativo della norma.

Requisiti di sicurezza rafforzati

La NIS2 impone alle organizzazioni soggette una serie di obblighi specifici, tra cui politiche di sicurezza delle reti e dei sistemi informativi, gestione degli incidenti e della continuità operativa, sicurezza della supply chain.

Le imprese e le organizzazioni dovranno adottare policy formali che definiscano le misure di sicurezza da implementare per proteggere le proprie infrastrutture digitali.

Diventa obbligatorio istituire procedure per l’identificazione, la gestione e la segnalazione degli incidenti di sicurezza. La direttiva specifica anche i criteri per determinare quando un incidente debba essere considerato “significativo” e quindi soggetto a obblighi di notifica.

Operatori e fornitori di servizi devono predisporre piani di continuità operativa e di ripristino in caso di disastro, assicurando la resilienza dei servizi essenziali.

Infine, è richiesta l’adozione di misure per gestire i rischi associati alla catena di fornitura, garantendo che anche i fornitori e i partner rispettino standard di sicurezza adeguati.

DPO responsabile della compliance

La figura del DPO assume un ruolo strategico nell’implementazione della NIS2, soprattutto in considerazione dell’intersezione tra sicurezza informatica e protezione dei dati personali.

Al DPO spetta prima di tutto la valutazione dell’ambito di applicabilità della norma: deve determinare se la sua organizzazione rientra o meno nell’ambito di applicazione della NIS2 e in che misura.

A quel punto, se la ritiene coinvolta, dovrà coordinare le funzioni aziendali responsabili della sicurezza informatica, per garantire un approccio integrato all’adeguamento normativo.

A seguire scattano le operazioni di audit e monitoraggio delle misure implementate (assicurandone la conformità sia alla NIS2 che al GDPR) e quelle di gestione degli incidenti di sicurezza, integrandole con quelle previste per le violazioni dei dati personali.

Check-list operativa in 5 passi

Analisi dei rischi: valutare i rischi associati alle proprie infrastrutture digitali e identificare le aree di vulnerabilità. Definizione delle politiche di sicurezza: sviluppare e formalizzare politiche di sicurezza che riflettano i requisiti della NIS2. Formazione del personale: implementare programmi di formazione e sensibilizzazione per il personale, promuovendo una cultura della sicurezza informatica. Gestione dei fornitori: valutare i fornitori critici e assicurarsi che rispettino standard di sicurezza adeguati. Monitoraggio continuo: stabilire processi di monitoraggio continuo delle reti e dei sistemi informativi per rilevare e rispondere tempestivamente agli incidenti.

Registrazione sulla piattaforma ACN

I soggetti pubblici e privati a cui si applica il Decreto NIS, entro il 28 febbraio 2025, devono registrarsi sulla piattaforma digitale resa disponibile dall’ACN. Il mancato adempimento prevede una sanzione pecuniaria fino allo 0,1% del fatturato annuo.

La registrazione è disciplinata dall’art. 7 del decreto e le istruzioni sono contenute nella determinazione ACN n. 38565/2024.

La procedura è composta da tre fasi: censimento del punto di contatto, associazione al soggetto e compilazione della dichiarazione NIS.

In via preliminare, dunque, bisogna designazione il punto di contatto, che può essere anche un dipendente delegato dal legale rappresentante del soggetto tenuto alla registrazione (che su effettua da questo link).

Cosa deve fare il punto di contatto? Deve compilare una dichiarazione articolata in 4 sezioni: contesto, caratterizzazione, tipologie di soggetto e autovalutazione (ecco le risposte alle domande frequenti su questo aspetto della norma).

Clausola di salvaguardia e DPCM n. 221/2024

Attraverso il Decreto del Presidente del Consiglio dei ministri n. 221 del 9 dicembre 2024 (DPCM n. 221/2024), il legislatore dà sostanza alla clausola di salvaguardia che bilancia tutela della cybersicurezza e proporzionalità nell’applicazione della normativa NIS.

La clausola consente di derogare alla definizione di impresa collegata stabilita dalla Raccomandazione 2003/361/CE, purché siano soddisfatti specifici requisiti di indipendenza totale dei sistemi informativi e delle attività NIS disciplinati dal DPCM n. 221/2024.

Le organizzazioni che li rispettano possono richiedere l’applicazione della clausola in fase di registrazione all’ACN, beneficiando di un regime normativo più proporzionato rispetto alla loro effettiva struttura operativa.

Alcune PMI appartenenti a gruppi societari complessi possono richiedere l’esenzione da obblighi stringenti attraverso la clausola di salvaguardia, dimostrando indipendenza operativa e tecnologica rispetto alla capogruppo.

La deroga è tuttavia sempre esclusa per i soggetti che rientrano automaticamente nell’ambito del Decreto NIS.