Abbiamo avuto modo di prendere visione della bozza del decreto-legge di recepimento italiano della direttiva NIS2 approvato in via preliminare dal consiglio dei ministri questa settimana.
Possiamo quindi fare alcune considerazioni su quel testo. La prima, naturalmente, è che è un’ottima notizia che il processo sia già così avanzato, alla luce dell’entrata in vigore, a ottobre, delle nuove regole.
Avere una bozza di normativa nazionale su cui fare valutazioni, è utile anche per una direttiva che lascia così poco spazio all’interpretazione da parte degli stati membri, perché molte aziende stanno comunque aspettando questo testo prima di avviare qualsiasi iniziativa.
Inoltre, avere adesso un testo lascia tempo per affinamenti e correzioni pur rispettando i termini previsti.
La seconda considerazione è che, appunto, il testo non si discosta da quello della Direttiva se non dove era prevista una maggiore flessibilità nell’implementazione, e quindi non ci sono sorprese o novità importanti. Vale la pena, comunque, di mettere in evidenza qualche passaggio specificamente legato al contesto nazionale.
L’Italia alle prese con la Nis2: la governance
- Prima di tutto, viene confermato il ruolo assolutamente centrale dell’ACN, in continuità con la linea tenuta finora e quindi anche valorizzando gli investimenti fatti nell’Agenzia. Rimane, come previsto dalla Legge delega, un ruolo di settore per i Ministeri.
- Viene assunto un ruolo più specifico invece dal Ministero della Difesa, in particolare per quanto concerne la gestione delle crisi informatiche, laddove riguardino temi di difesa e sicurezza militare dello Stato, ad evidenziare come i temi di cyberwar siano ormai tutt’altro che irrealistici.
- Viene anche istituito in via permanente un Tavolo per l’attuazione della disciplina NIS, con il coinvolgimento di diversi portatori di interesse, che dovrà, fra l’altro, formulare proposte e pareri per l’adozione di iniziative, linee guida o atti di indirizzo.
I soggetti in perimetro Nis2
Da un punto di vista operativo per i soggetti in perimetro, come primo adempimento viene confermato che quelli già individuabili dagli allegati alla norma si dovranno registrare autonomamente su una apposita piattaforma, in uno specifico periodo (gennaio-febbraio) di ogni anno, e riceveranno poi conferma dell’avvenuta inclusione negli elenchi di soggetti essenziali o importanti.
Questa stessa piattaforma è previsto che sia il riferimento principale per le diverse interazioni fra l’ACN e i soggetti in perimetro.
In una seconda fase, i soggetti in perimetro dovranno poi inviare altre informazioni, come ad esempio lo spazio di indirizzamento IP pubblico e i nomi di dominio a disposizione.
Proprio in riferimento a questo, si può mettere in evidenza come, in linea con gli obiettivi della direttiva, il recepimento da parte dei diversi stati membri sia al momento molto allineato ed uniforme sulla maggior parte dei punti, cosa che favorirà l’adeguamento da parte dei gruppi che operano in più di un paese, come anche da parte dei loro fornitori.
Su questo però, farà maggiore differenza la coerenza nelle misure tecniche richieste ai soggetti in perimetro, misure che al momento non sono disponibili.
Il supporto ai soggetti in perimetro e responsabilità
Il testo dedica poi spazio al supporto che dovrà essere dato ai soggetti in perimetro, particolarmente dallo CSIRT; dato che l’obiettivo della Direttiva NIS2 è garantire un comune elevato livello di cybersicurezza, è importante confermare che il ruolo dello CSIRT e dell’ACN è prima di tutto di collaborare con i soggetti in perimetro nel raggiungimento di questo obiettivo.
Passando a quanto impatta direttamente i soggetti in perimetro, si conferma il tema della responsabilità diretta degli organi di gestione, in particolare si conferma che gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e importanti approvano le modalità di implementazione delle misure di gestione dei rischi e sono responsabili delle violazioni a questa norma.
Un passaggio forse debole, almeno nella bozza di cui abbiamo preso visione, è quello in cui si indica che a questo scopo tali organi sono tenuti a seguire una formazione in materia di sicurezza informatica; nel testo della direttiva, e nella logica del requisito, sarebbe forse più adatto richiedere una formazione “per far sì che questi acquisiscano conoscenze e competenze sufficienti al fine di individuare i rischi e valutare le pratiche di gestione dei rischi di cibersicurezza e il loro impatto sui servizi offerti dal soggetto”.
Quello che è richiesto ad un organo di gestione, infatti, non è di entrare nel dettaglio tecnico delle misure di sicurezza, né tantomeno di avere la formazione generica di un utente che deve proteggere l’azienda da propri comportamenti a rischio, ma di capire quali siano i rischi per l’azienda e i suoi servizi, e se l’azione dei ruoli più specialistici li stia gestendo adeguatamente.
Mitigazione dei rischi cyber, obblighi
Per quanto riguarda appunto le misure di mitigazione dei rischi, il testo è in linea con quello della Direttiva, senza aggiungere o togliere niente di significativo.
Sarà quindi utile che siano disponibili quanto prima delle indicazioni su quali saranno le misure tecniche di dettaglio che, soprattutto per i soggetti in perimetro più piccoli e meno maturi, potrebbero richiedere tempo e risorse importanti da pianificare per i prossimi tempi per poter rispettare le scadenze e gli obblighi che su questo saranno definiti.
Obblighi che, precisa il testo, dovranno essere proporzionati e graduali, tenendo conto, fra l’altro, del settore di appartenenza dei soggetti e del suo grado di maturità sui temi di sicurezza.
Eccezione PA
Per quanto riguarda le pubbliche amministrazioni, un passaggio indica che possono essere previsti obblighi specifici per i fornitori della Pubblica Amministrazione, tenendo conto degli impatti sociali ed economici legati a incidenti in questa catena di fornitura. Ma proprio per quanto riguarda la Pubblica Amministrazione, si nota un passaggio, meno evidente che nel DDL cyber, ma comunque presente; si dice infatti che, per quanto riguarda le sanzioni relative alla mancata segnalazione di incidenti allo CSIRT, tali sanzioni si applicano solo in caso di reiterazione.
La sensazione è di accettazione che la PA “non ce la faccia” anche su temi, come appunto la segnalazione incidenti, che hanno impatti molto più organizzativi che di risorse o competenze.
Cooperazione tra autorità
Importante anche la cooperazione prevista fra le diverse Autorità nazionali, tenuto conto in particolare delle risorse disponibili per le attività di vigilanza. L’attività di vigilanza su un numero così grande di soggetti sarà una sfida notevole per l’ACN, e la segnalazione reciproca, in particolare con il Garante per la protezione dei dati personali, di eventuali carenze riscontrate nelle attività ispettive, eviterà che siano necessarie attività duplicate sugli stessi soggetti.
E proprio l’attività di vigilanza sarà uno dei punti critici riguardo alla reale efficacia della norma. L’ACN dovrà vigilare sull’operato di molte migliaia di aziende. Qui si vede una differenza importante rispetto alle norme di recepimento in fase di predisposizione o già adottate da diversi altri paesi.
Queste, per i soggetti essenziali (quindi, per la maggior parte, grandi aziende di settori critici), prevedono audit di terza parte obbligatori per dare evidenza dello stato di adeguatezza, imponendo così però un maggiore onere a questi soggetti ma dando maggiore garanzia della correttezza delle informazioni fornite.
Nis2, sanzioni e responsabilità
La strada suggerita dal testo sembra essere invece quella della responsabilizzazione dei vertici aziendali in caso di incidente, prevedendo che audit possano essere specificamente richiesti ma non siano un requisito metodico, fidando quindi di più sulla correttezza delle informazioni fornite periodicamente dai soggetti stessi, salvo quando poi si verifichi un incidente, e puntando quindi sull’effetto deterrente della sanzione se e quando un comportamento non conforme venga rilevato.
Per quanto riguarda le sanzioni, sono naturalmente recepiti i poteri dell’autorità competente di richiedere, per i soggetti essenziali che pervicacemente non adempiono alle prescrizioni dell’autorità NIS competente, la sospensione temporanea un certificato o un’autorizzazione.
Come anche, la possibilità per l’autorità NIS di disporre nei confronti delle persone fisiche responsabili di tale soggetto, o che agiscano in qualità di suo rappresentante legale con l’autorità di rappresentarlo, nonché di quelle che svolgono funzioni dirigenziali a livello di amministratore delegato o rappresentante legale di un soggetto essenziale o importante, l’applicazione della sanzione amministrativa accessoria della incapacità a svolgere funzioni dirigenziali all’interno del medesimo soggetto.
Questo passaggio, di grande deterrenza perché tocca a livello personale i vertici aziendali, sembrerebbe la variazione più significativa rispetto al testo della direttiva, che richiede questa ultima pena accessoria solo per i soggetti essenziali.
La norma italiana assicurerebbe quindi questo importante effetto deterrente per la totalità dei soggetti essenziali e importanti.
Per quanto riguarda le Pubbliche amministrazioni ed i dipendenti pubblici, le sanzioni sono ovviamente molto ridotte dal punto di vista economico, e si applicano le norme in materia di responsabilità dei dipendenti pubblici e dei funzionari eletti o nominati, sottolineando che la violazione degli obblighi posti dal decreto può costituire causa di responsabilità disciplinare e amministrativo-contabile.
Sono previsti anche strumenti deflattivi del contenzioso, che hanno anche l’effetto di favorire l’atteggiamento collaborativo fra autorità NIS e soggetti in perimetro, favorendo quindi le azioni di rimedio da parte delle aziende rispetto al contenzioso per arrivare alla sanzione, fatto salvo naturalmente il caso di reiterazione.
Oltre a quanto interessa i soggetti in perimetro, il decreto-legge recepisce poi altri aspetti che sono più rilevanti come attività dello Stato o in termini di coordinamento a livello europeo, come la definizione della strategia nazionale di cybersicurezza, o la partecipazione a EU-CyCLONe, la rete di cooperazione europea per la gestione delle crisi cyber.
Anche su questo, non ci sono novità inattese. Importante il passaggio, fra le misure della strategia nazionale, relativo al supporto al rafforzamento della resilienza e dell’igiene informatica delle piccole e medie imprese, in particolare quelle escluse dal perimetro NIS2, con azioni adeguate a questi soggetti.
Un bilancio
Complessivamente quindi, il decreto non presenta grandi sorprese, come era ipotizzabile date le caratteristiche della Direttiva NIS2, e nel complesso non presenta criticità di rilievo per i soggetti in perimetro.
Lascia ancora aperti due grossi punti interrogativi, come del resto fanno le altre norme analoghe degli altri paesi membri, ovvero le misure tecniche di dettaglio ed i tempi per l’adeguamento, temi sui quali è auspicabile che si possano avere qualche indicazione di massima, soprattutto per le molte migliaia di aziende che per la prima volta si troveranno a dover affrontare una normativa su temi di cybersecurity.
