cyber sicurezza

NIS 2: come destreggiarsi tra obblighi, compliance, gestione della supply chain

Home Sicurezza digitale
Indirizzo copiato

estreggiarsi nella NIS 2 implica un approccio strutturato alla compliance e alla gestione della supply chain. Le imprese devono implementare misure di sicurezza proporzionate, notificare tempestivamente incidenti e garantire il controllo sui fornitori critici per evitare sanzioni significative

Pubblicato il 9 gen 2025
Aurora Agostini

Partner Lexia Avvocati

Jessica Giussani

Associate Lexia Avvocati

Giovanni Lombardi

Associate Lexia Avvocati

Giulietta Minucci

Counsel Lexia Avvocati

Direttiva CER Cybersecurity Advanced Firewalls, Secure Logins, and Digital Protections Confidential Information. (1)

Con la pubblicazione in Gazzetta Ufficiale del Decreto Legislativo n. 138/2024, l’Italia ha definitivamente recepito la Direttiva (UE) 2022/2555 (“NIS 2”), introducendo un sistema di obblighi e responsabilità significativamente più articolato in materia di sicurezza cibernetica.

Il provvedimento, entrato in vigore lo scorso 16 ottobre 2024, si caratterizza per un approccio maggiormente pervasivo rispetto alla precedente normativa, ponendo rilevanti sfide operative per i soggetti destinatari.

Direttiva NIS 2: così l’Italia rafforza la sicurezza digitale

La presente analisi si propone di esaminare le principali novità introdotte dal decreto, con particolare attenzione alle implicazioni pratiche e alle questioni interpretative emergenti.

L’ambito di applicazione e i soggetti destinatari

La nuova normativa si caratterizza per un sostanziale ampliamento del proprio ambito di applicazione soggettivo, operando attraverso una duplice direttrice, che riflette la volontà del legislatore europeo di garantire una copertura più ampia ed efficace delle infrastrutture critiche.

Il decreto, attraverso i suoi quattro allegati, delinea con precisione i settori interessati:

  • l’allegato I comprende i settori ad alta criticità, tra cui energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile e acque reflue, infrastrutture digitali e spazio;
  • l’allegato II include settori ugualmente rilevanti quali servizi postali, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, produzione e distribuzione di alimenti, nonché la manifattura di dispositivi medici e computer.
  • Gli allegati III e IV, specifici per il contesto italiano, estendono ulteriormente l’ambito applicativo includendo rispettivamente le amministrazioni pubbliche e settori quali il trasporto pubblico locale, gli istituti di ricerca e le società a controllo pubblico.

La classificazione dei soggetti destinatari

La classificazione dei soggetti destinatari si basa su criteri dimensionali accuratamente definiti: le organizzazioni con meno di 50 dipendenti e un fatturato annuo inferiore a 10 milioni di euro sono generalmente escluse dall’ambito di applicazione, salvo specifiche eccezioni espressamente previste dal decreto. Per i settori dell’allegato I, le medie imprese (con meno di 250 dipendenti e fatturato annuo non superiore a 50 milioni di euro) sono classificate come soggetti importanti, mentre le grandi imprese assumono la qualifica di soggetti essenziali. Per i settori dell’allegato II, invece, sia le medie che le grandi imprese sono classificate come soggetti importanti, delineando così un sistema di obblighi graduato in base alla criticità del settore e alle dimensioni dell’organizzazione.

L’attenzione dedicata alla supply chain

Di particolare rilevanza risulta l’attenzione dedicata alla supply chain: il decreto estende infatti la propria applicazione anche ai fornitori critici dei soggetti essenziali e importanti, introducendo uno specifico regime di qualificazione che considera tali fornitori come soggetti importanti, con la possibilità per l’autorità nazionale competente di elevarli al rango di soggetti essenziali in base alla criticità del loro ruolo nella catena di approvvigionamento. Tale approccio si applica indipendentemente dalle dimensioni del fornitore, riconoscendo come la sicurezza della catena di approvvigionamento rappresenti un elemento imprescindibile per garantire l’effettiva resilienza cibernetica del sistema nel suo complesso. La norma prevede inoltre specifici obblighi di due diligence nella selezione e nel monitoraggio dei fornitori, richiedendo ai soggetti destinatari di valutare non solo le vulnerabilità specifiche di ciascun fornitore, ma anche la qualità complessiva delle loro pratiche di sicurezza informatica e delle procedure di sviluppo sicuro.

Gli obblighi di notifica e il sistema di gestione degli incidenti: il ruolo dell’ACN

Il decreto introduce un articolato sistema di obblighi che si caratterizza per un approccio fortemente orientato alla gestione del rischio, richiedendo ai soggetti destinatari l’implementazione di misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi. Tale sistema si fonda su una logica di proporzionalità che tiene conto delle specificità dimensionali e settoriali di ciascun operatore, riconoscendo come le esigenze di sicurezza debbano necessariamente bilanciarsi con la sostenibilità economica e operativa delle misure richieste.

Il sistema di notifica degli incidenti

Particolare rilevanza assume il sistema di notifica degli incidenti che rappresenta uno dei pilastri fondamentali del nuovo impianto normativo, caratterizzandosi per una significativa evoluzione rispetto alla precedente disciplina. In particolare, viene delineato un processo di comunicazione multilivello che si articola secondo tempistiche precise e differenziate in base alla natura e alla criticità dell’incidente.

La prima fase prevede una notifica preliminare, da effettuarsi entro 24 ore dalla scoperta dell’incidente, che deve contenere gli elementi strettamente necessari a consentire al CSIRT Italia di avviare l’analisi della situazione, con particolare riferimento alla natura dell’evento, alla sua potenziale origine dolosa o accidentale e alla possibilità di impatti transfrontalieri. Tale comunicazione iniziale deve includere anche una prima valutazione della gravità dell’incidente e gli eventuali indicatori di compromissione già identificati.

La seconda fase, che deve concludersi entro 72 ore dall’evento, prevede una notifica più strutturata e dettagliata, comprensiva di una valutazione approfondita dell’incidente, della sua gravità e del suo potenziale impatto, nonché delle prime misure di contenimento adottate. In questa fase devono essere forniti anche elementi più specifici relativi alle vulnerabilità sfruttate, ai sistemi compromessi e alle eventuali ripercussioni operative sui servizi erogati.

Il processo si conclude con una relazione finale, da presentarsi entro un mese dall’incidente, che deve fornire un quadro completo ed esaustivo dell’evento, includendo:

  • un’analisi dettagliata della tipologia di minaccia e delle cause dell’incidente;
  • una valutazione completa dell’impatto effettivo, incluse le eventuali ripercussioni transfrontaliere;
  • una descrizione delle misure di mitigazione adottate e della loro efficacia;
  • le lezioni apprese e le azioni preventive pianificate per evitare il ripetersi di eventi analoghi.

Obblighi relativi alla gestione degli incidenti che coinvolgono la supply chain

Particolarmente significativa è l’introduzione di specifici obblighi relativi alla gestione degli incidenti che coinvolgono la supply chain: in questi casi, il soggetto colpito è tenuto non solo a notificare l’evento alle autorità competenti, ma anche ad informare tempestivamente i propri fornitori critici e i soggetti potenzialmente impattati, previa consultazione con il CSIRT Italia. Tale disposizione riflette la crescente consapevolezza dell’interconnessione dei sistemi informativi e della necessità di un approccio coordinato alla gestione degli incidenti.

Procedure per la gestione delle comunicazioni al pubblico

Il decreto prevede inoltre specifiche procedure per la gestione delle comunicazioni al pubblico relative agli incidenti significativi: l’ACN, previa consultazione con il soggetto interessato, può informare il pubblico dell’incidente qualora la sua conoscenza sia necessaria per evitare il verificarsi di ulteriori incidenti o per gestire un incidente in corso. Tale previsione bilancia l’esigenza di trasparenza con la necessità di tutelare la riservatezza delle informazioni sensibili e la reputazione dei soggetti coinvolti.

La registrazione sulla piattaforma dell’ACN

Il processo di registrazione sulla piattaforma digitale dell’Agenzia per la Cybersicurezza Nazionale rappresenta il primo passo concreto nell’attuazione del D.Lgs. 138/2024. A partire dal 1° dicembre 2024, i soggetti essenziali e importanti devono intraprendere questo percorso di identificazione formale, che si configura come prerequisito fondamentale per l’operatività dell’intero sistema di sicurezza cibernetica.

Il meccanismo di registrazione si sviluppa attraverso tre passaggi fondamentali che riflettono la natura sistematica dell’approccio normativo. In primo luogo, ogni organizzazione deve procedere alla nomina di un punto di contatto NIS2, figura chiave destinata a gestire le interazioni con l’CAN; questa designazione si accompagna alla predisposizione di una dichiarazione dettagliata che fotografa lo stato dell’arte delle strutture e dei processi aziendali rilevanti per la cybersicurezza. Il processo si completa con la formalizzazione del legame tra il referente designato e l’organizzazione, creando così un quadro di responsabilità chiaramente definito.

Il termine del 28 febbraio 2025 per il completamento della registrazione acquisisce particolare rilevanza alla luce delle implicazioni operative e delle potenziali conseguenze sanzionatorie. Il legislatore ha infatti previsto un regime sanzionatorio incisivo, che può arrivare fino allo 0,1% del fatturato annuo mondiale per i soggetti inadempienti, sottolineando così la centralità di questo adempimento nel nuovo quadro normativo.

Per agevolare il processo di registrazione, l’ACN ha implementato una serie di strumenti operativi accessibili attraverso il proprio Portale ACN: in particolare, gli operatori possono accedere a una sezione dedicata che include video tutorial dettagliati sulla procedura di registrazione, documentazione tecnica specifica e un sistema di FAQ costantemente aggiornato per rispondere alle principali criticità applicative. La piattaforma di registrazione, accessibile tramite autenticazione SPID o CIE, è stata strutturata per guidare gli operatori attraverso un processo sequenziale che prevede la compilazione di specifiche sezioni informative.

Il sistema sanzionatorio

Particolare rilevanza assume il sistema sanzionatorio introdotto dal decreto, che si caratterizza per una significativa incisività e per una modulazione delle sanzioni basata sulla distinzione tra soggetti essenziali e importanti. Per i primi, le violazioni più gravi possono comportare sanzioni fino a 10 milioni di euro o fino al 2% del fatturato annuo mondiale, mentre per i soggetti importanti i limiti sono fissati rispettivamente a 7 milioni di euro o all’1,4% del fatturato. Tale differenziazione riflette un approccio proporzionale che tiene conto non solo della criticità del ruolo svolto dai diversi operatori, ma anche della loro capacità economica.

Di particolare interesse risulta la previsione di sanzioni accessorie, che possono giungere fino alla sospensione temporanea delle certificazioni o autorizzazioni relative ai servizi erogati, nonché all’interdizione temporanea dei componenti degli organi di amministrazione dall’esercizio di funzioni dirigenziali. Tale apparato sanzionatorio, nella sua articolazione, manifesta la chiara volontà del legislatore di garantire l’effettività della normativa attraverso un sistema di deterrenza particolarmente incisivo.

Criticità applicative e questioni interpretative

L’implementazione del D.Lgs. 138/2024 pone significative sfide interpretative e operative, particolarmente in relazione al coordinamento con il preesistente quadro normativo in materia di cybersecurity. La sovrapposizione degli obblighi di notifica previsti da diverse normative rappresenta una delle principali complessità: un soggetto che ricade contemporaneamente nell’ambito di applicazione della NIS 2 e del Perimetro di Sicurezza Nazionale Cibernetica deve infatti gestire requisiti potenzialmente divergenti in termini di tempistiche e modalità di comunicazione. Analogamente critica risulta l’interazione con la normativa privacy, specialmente in relazione agli obblighi di notifica dei data breach previsti dal GDPR, che richiede un attento coordinamento delle comunicazioni verso il CSIRT Italia e il Garante Privacy.

La gestione della supply chain emerge come ulteriore ambito di particolare criticità applicativa. Il decreto richiede ai soggetti destinatari di implementare misure adeguate per il controllo dei fornitori critici, ma l’effettiva attuazione di tale obbligo si scontra con difficoltà pratiche significative, particolarmente nella gestione dei fornitori extra-UE e nell’implementazione di sistemi di monitoraggio efficaci. A ciò si aggiungono le nuove sfide in relazione alla qualificazione e certificazione dei fornitori di servizi cloud e di altri servizi digitali critici, per i quali si attende la definizione di standard tecnici dettagliati attraverso successivi atti implementativi.

Le priorità nella pianificazione delle attività di adeguamento

In questo quadro di complessità interpretativa e operativa, emergono alcune priorità d’azione che gli operatori dovrebbero considerare nella pianificazione delle attività di adeguamento. In primo luogo, risulta essenziale avviare tempestivamente una gap analysis strutturata che consideri non solo gli aspetti tecnici della compliance, ma anche gli impatti organizzativi e procedurali.

La gap analysys

Tale analisi dovrebbe focalizzarsi in particolare su:

  • la revisione dei processi di incident detection and response, con particolare attenzione alle procedure di escalation e alle tempistiche di notifica previste dal decreto;
  • l’adeguamento dei sistemi di logging e monitoraggio per garantire la capacità di rilevare e documentare gli incidenti secondo i parametri richiesti dalla normativa;
  • l’implementazione di procedure di supplier risk assessment che integrino i nuovi requisiti di sicurezza della supply chain.

Definizione di ruoli e responsabilità organizzative

Dal punto di vista organizzativo, è necessario procedere alla definizione di ruoli e responsabilità chiari in materia di cybersecurity, con particolare riferimento alle figure chiave coinvolte nel processo di notifica degli incidenti. Questo implica:

  • la nomina di referenti specifici per i rapporti con l’ACN e il CSIRT Italia;
  • la costituzione di team multidisciplinari che includano competenze tecniche, legali e di business continuity;
  • l’implementazione di programmi di formazione continua per il personale coinvolto nella gestione degli incidenti.

Aggiornamento del proprio framework procedurale

Sul piano documentale, gli operatori dovranno procedere all’aggiornamento del proprio framework procedurale, sviluppando o rivedendo:

  • le policy di incident management per includere le nuove tempistiche e modalità di notifica;
  • i template per la documentazione degli incidenti allineati ai requisiti informativi previsti dal decreto;
  • le procedure di comunicazione interna ed esterna in caso di incidente significativo;
  • i contratti con i fornitori critici per includere clausole specifiche relative agli obblighi di sicurezza e cooperazione.

Calendario degli adempimenti

Il Decreto Legislativo n. 138/2024 stabilisce due fasi operative principali per i soggetti coinvolti: una fase di adeguamento iniziale per garantire la conformità ai nuovi requisiti e un regime di adempimenti annuali ricorrenti per il mantenimento della compliance.

Di seguito, il dettaglio:

Tempi di adeguamento iniziale (2024-2026)

Questa fase prevede un percorso graduale di implementazione degli obblighi normativi, scandito dalle seguenti scadenze:

  • Entro il 28 febbraio 2025:
    • Completamento della registrazione iniziale sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale;
    • designazione del punto di contatto NIS 2, con trasmissione delle informazioni richieste (stato di sicurezza aziendale, ruoli di responsabilità, ecc.).
  • Entro gennaio 2026:
    • avvio degli obblighi di notifica degli incidenti, con implementazione di sistemi strutturati per il rilevamento, l’analisi e la comunicazione degli eventi di sicurezza;
    • revisione delle procedure interne per garantire l’allineamento alle tempistiche e ai requisiti di notifica.
  • Entro ottobre 2026:
    • implementazione delle misure di sicurezza tecniche e organizzative definite dal decreto, inclusi sistemi di logging, monitoraggio e gestione degli incidenti;
    • integrazione dei requisiti relativi alla supply chain, con particolare attenzione ai fornitori critici.

Adempimenti annuali ricorrenti (a partire dal 2027)

Una volta completata la fase di adeguamento iniziale, gli operatori saranno soggetti a un regime annuale di obblighi che si ripeterà secondo il seguente calendario:

  • aggiornamenti annuali (15 aprile – 31 maggio): presentazione degli aggiornamenti relativi a:
    • (i) politiche di sicurezza e incident management;
    • (ii) misure tecniche adottate per garantire la conformità continua.
  • registrazione annuale (1 gennaio – 28 febbraio): aggiornamento delle informazioni sulla piattaforma ACN, incluse:
    • (i) dichiarazioni sulle modifiche intervenute nella struttura organizzativa o nei processi di sicurezza;
    • (ii) designazione o conferma del punto di contatto NIS 2.
  • elenco annuale (entro il 31 marzo): invio dell’elenco aggiornato dei fornitori critici e delle eventuali modifiche intervenute nella supply chain.
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Aurora Agostini
Partner Lexia Avvocati
Seguimi su
G
Jessica Giussani
Associate Lexia Avvocati
L
Giovanni Lombardi
Associate Lexia Avvocati
M
Giulietta Minucci
Counsel Lexia Avvocati

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • intelligenza artificiale

    L'unicità umana al tempo dell’IA: quali competenze per guidare il cambiamento

    05 Lug 2024

    di Fabio Ferrari

    Condividi

  • esperto risponde

    Fattura elettronica, quale copia inviare al cliente

    18 Nov 2024

    di Salvatore De Benedictis

    Condividi

  • netcomm

    Web tax all'italiana, ecco tutti i danni a pmi, startup e al Paese

    25 Ott 2024

    di Roberto Liscia

    Condividi

Prossimo

L'unicità umana al tempo dell’IA: quali competenze per guidare il cambiamento

Articolo 1 di 4