L’Italia si allinea alla NIS 2: cosa cambia per la sicurezza informatica

Il Consiglio dei ministri ha approvato in via preliminare lo schema di decreto legislativo per il recepimento a livello nazionale della Direttiva (UE) 2022/2555, anche detta Direttiva NIS 2, con l’obiettivo di garantire un livello elevato di sicurezza informatica a livello nazionale, contribuendo al contempo a elevare il livello comune di sicurezza all’interno dell’Unione Europea.

Direttiva NIS 2: cosa prevede la nuova normativa italiana

Lo schema introduce diverse misure specifiche, tra cui l’individuazione dei soggetti critici, la valutazione del rischio, l’adozione di misure di sicurezza e la collaborazione tra autorità nazionali. In particolare, lo schema di decreto legislativo prevede diverse misure per raggiungere l’obiettivo di cui sopra e, sul punto:

• definisce una Strategia Nazionale di Cybersicurezza con obiettivi strategici e priorità per la sicurezza informatica;
• integra un quadro di gestione delle crisi informatiche nell’organizzazione nazionale per la gestione delle crisi che coinvolgono aspetti di cybersicurezza a livello nazionale;
• conferma l’Agenzia per la Cybersicurezza Nazionale (ACN) quale Autorità Nazionale Competente NIS, definendone i poteri per l’implementazione e l’attuazione del decreto;
• istituisce le Autorità di settore NIS chiamate a collaborare con l’ACN, supportandone la funzione di Autorità Nazionale Competente NIS e di Punto di Contatto Unico NIS;
• stabilisce i criteri per l’individuazione dei soggetti (pubblici e privati) tenuti a rispettare gli obblighi in materia di sicurezza informatica (classificati in due categorie, “essenziali” e “importanti”, in base alla loro rilevanza per l’economia e la società, e alle dimensioni delle loro operazioni, come meglio specificato di seguito); e infine
• definisce i criteri per identificare i soggetti a cui si applica il decreto e definisce i relativi obblighi in materia di misure di gestione dei rischi per la sicurezza informatica.

L’obiettivo principale dello schema di decreto è quindi quello di allineare gli standard italiani e quelli europei, rafforzando la resilienza nazionale contro le minacce informatiche. Sul punto, la Direttiva NIS 2, e quindi lo schema di decreto legislativo, amplia l’ambito di applicazione rispetto alla precedente direttiva del 2016, applicandosi anche a “soggetti critici” in settori chiave come energia, trasporti, bancario e salute.

I soggetti coinvolti dalla Direttiva NIS 2

Come anticipato sopra, lo schema di decreto prevede obblighi principali per diverse categorie di soggetti, tra cui in particolare (i) soggetti “essenziali” e “importanti”, (ii) “organi di amministrazione e direttivi”, e (iii) soggetti che forniscono servizi di registrazione dei nomi di dominio.

In particolare, i soggetti essenziali e importanti includono i soggetti elencati nell’Allegato I dello schema di decreto che superano i massimali dimensionali per le medie imprese definiti dalla raccomandazione 2003/361/EC. Rientrano in questa categoria anche i fornitori di reti pubbliche di comunicazione elettronica e i fornitori di servizi di comunicazione elettronica accessibili al pubblico, classificati come medie imprese.

I soggetti cosiddetti “importanti” invece sono definiti ad esclusione, intesi come quei soggetti che rientrano nell’articolo 3 dello schema del decreto ma non sono classificati come essenziali.

Gli obblighi principali dei soggetti coinvolti

I soggetti essenziali e importanti devono adottare misure di gestione dei rischi per la sicurezza informatica proporzionate al livello di rischio a cui sono esposti, tra cui:

● notificare all’Autorità nazionale competente NIS (Autorità Nazionale per la Cybersicurezza – ACN) gli incidenti significanti che hanno un impatto sui servizi forniti; ● registrarsi sulla piattaforma digitale dell’ACN, fornendo informazioni dettagliate sulle loro attività e sui loro sistemi.

Peraltro, l’ACN può imporre ai soggetti essenziali e importanti l’utilizzo di prodotti e servizi certificati per dimostrare il rispetto di determinati obblighi.

Più nel dettaglio, lo schema di decreto prevede che i soggetti essenziali e importanti notifichino al qualsiasi incidente che abbia un impatto significativo sulla fornitura dei loro servizi.^[1]

Cosa devono includere le notifiche

Nelle notifiche, i soggetti essenziali e importanti devono includere:

• informazioni che consentano al CSIRT Italia di determinare un eventuale impatto transfrontaliero dell’incidente;
• una segnalazione preliminare entro 24 ore dalla scoperta dell’incidente, indicando se si sospetta che l’incidente sia il risultato di atti illegittimi o malevoli e se potrebbe avere un impatto transfrontaliero;
• una notifica dell’incidente entro 72 ore dalla scoperta, aggiornando le informazioni del preallarme e fornendo una valutazione iniziale della sua gravità e del suo impatto, inclusi gli indicatori di compromissione;
• relazioni intermedie su richiesta del CSIRT Italia; e
• una relazione finale entro un mese dalla notifica dell’incidente, con una descrizione dettagliata dell’incidente, il tipo di minaccia e le misure di attenuazione adottate.

Ovviamente, resta fatto salvo l’eventuale obbligo di notifica di una violazione dei dati personali ai sensi del Regolamento 679/2016 (“GDPR”) nei confronti del Garante per la protezione dei dati personali.

Il CSIRT Italia deve fornire un riscontro iniziale al soggetto notificante entro 24 ore dal ricevimento del preallarme, fornendo orientamenti operativi su possibili misure di mitigazione, se necessario fornendo anche supporto tecnico.

In aggiunta, gli organi di amministrazione e direttivi dei soggetti essenziali e importanti – i quali sono responsabili dell’implementazione e del rispetto degli obblighi di sicurezza informatica – sono tenuti ai sensi dello schema del decreto a seguire una formazione in materia di sicurezza informatica e a promuovere la formazione periodica dei propri dipendenti.

Da ultimo, l’articolo 2 dello schema di decreto definisce “fornitore di servizi di registrazione di nomi di dominio” come un registrar o un agente che agisce per conto di un registrar, includendo anche i fornitori o rivenditori di servizi di registrazione per la privacy o di proxy. Sul punto, i soggetti che erogano esclusivamente servizi di registrazione dei nomi di dominio devono assicurare un livello di sicurezza informatica coerente con gli obblighi di gestione del rischio previsti per gli altri soggetti.

Fermo restando quanto sopra, tutti i soggetti devono rispettare i principi di proporzionalità e gradualità degli obblighi, tenendo conto del livello di rischio, delle dimensioni del soggetto e dell’impatto potenziale degli incidenti. Il decreto prevede inoltre sanzioni amministrative pecuniarie per i soggetti inadempienti e, da ultimo, l’ACN può anche adottare misure correttive, nonché disporre sospensioni temporanee, nei confronti dei soggetti inadempienti.

Le differenze tra la Direttiva NIS 2 e lo schema di decreto legislativo italiano

La Direttiva NIS prevede un’ampia discrezionalità nei confronti degli Stati membri in merito all’attuazione delle proprie disposizioni. Nonostante ciò, lo schema del decreto legislativo, nel recepimento della Direttiva NIS, introduce alcune divergenze, che potrebbe creare un meccanismo di incertezza in relazione al quadro europeo di riferimento.

Ad esempio, la Direttiva NIS stabilisce un criterio “dimensionale” uniforme per identificare i soggetti essenziali e importanti, basato sulla dimensione delle medie imprese (si veda sul punto il Considerando n. 7 della direttiva). Lo schema di decreto, invece, introduce criteri aggiuntivi oltre al criterio dimensionale, come l’importanza a livello nazionale o regionale per il settore o il tipo di servizio fornito (si veda sul punto l’Art. 3, paragrafo 5 dello schema di decreto). Ancora, mentre la direttiva incoraggia l’uso di norme e specifiche tecniche europee e internazionali per la sicurezza dei sistemi informatici e di rete, lo schema di decreto – oltre a promuovere l’uso di tali specifiche tecniche – prevede la redazione di un elenco non vincolante di tecnologie idonee ad assicurare l’attivazione delle misure di gestione dei rischi.

Lo schema di decreto introduce inoltre dei criteri aggiuntivi per l’inclusione di soggetti nell’ambito di applicazione della normativa, come l’appartenenza alla catena di approvvigionamento di un soggetto essenziale o importante. Questi criteri non sono esplicitamente menzionati nella Direttiva NIS 2 e potrebbero comportare l’inclusione di un numero maggiore di soggetti rispetto a quelli previsti a livello europeo.

Entrambe le normative promuovono la divulgazione coordinata delle vulnerabilità, ma lo schema di decreto specifica che tale divulgazione debba avvenire in linea con una politica nazionale adottata dall’Agenzia per la Cybersicurezza Nazionale. Infine, dal punto di vista delle sanzioni applicabili, la Direttiva NIS 2 stabilisce che le sanzioni per la violazione della normativa devono essere effettive, proporzionate e dissuasive, lasciando agli Stati membri la definizione delle specifiche sanzioni. Lo schema di decreto italiano non risolve interamente questo punto, demandando all’Autorità nazionale competente NIS la definizione dei criteri per l’applicazione delle sanzioni amministrative pecuniarie, prevedendo anche la possibilità di sospendere temporaneamente licenze o autorizzazioni in caso di mancato adeguamento.

La Direttiva NIS 2 e le attività di intelligence

Da un punto di vista critico, l’articolo 6 del recente disegno di legge sull’intelligenza artificiale presentato dal Governo al Parlamento prevede che le attività di ricerca, sperimentazione, sviluppo, adozione e applicazione di sistemi e modelli di intelligenza artificiale svolte per scopi di sicurezza nazionale siano escluse dall’ambito di applicazione del disegno di legge governativo sull’intelligenza artificiale. Si tratta di attività che vengono infatti lasciate alla disciplina della legge 3 agosto 2007, n. 124, che come noto ha riformato il comparto dell’intelligence italiana. Analogamente, lo schema di decreto sulla cybersecurity qui in esame esclude altresì, espressamente, dal campo di applicazione, le attività di sicurezza nazionale, cybersicurezza e difesa, pur dovendo naturalmente far salvo il rispetto dei diritti fondamentali e delle libertà costituzionali anche nello svolgimento di tali attività.

Note

^[1] gli obblighi di notifica non si applicano ai soggetti che forniscono esclusivamente servizi di registrazione dei nomi di dominio, ma questi devono comunque garantire un livello di sicurezza informatica coerente con tali obblighi;