A inizio ottobre è stato pubblicato il decreto italiano di recepimento della direttiva NIS2, Dlgs 138/2024, che definisce con chiarezza gli step che tutte le aziende dovranno seguire per essere a norma rispetto alle tematiche di cybersicurezza.

1- INDICAZIONE DEI SOGGETTI COINVOLTI

Gli allegati 1e 2 identificano i settori merceologici critici e altamente critici che rientrano nel campo di applicazione della direttiva.

Nel primo Allegato dei servizi altamente critici rientrano: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestore dei servizi TIC, spazio.

Nel secondo Allegato dei servizi critici rientrano: servizi postali e di corriere; gestione dei rifiuti; fabbricazione-produzione-distribuzione di sostanze chimiche; produzione-trasformazione-distribuzione di alimenti; fabbricazione di dispositivi medici; fabbricazione di computer e apparecchi elettronici; fabbricazione di apparecchiature elettriche; fabbricazione di autoveicoli e rimorchi; fornitori di servizi digitali (mercati online, motori di ricerca, piattaforme di social network, servizi di registrazione dei nomi di dominio); ricerca.

Rientrano infine nell'ambito di applicazione ulteriori tipologie di aziende che risultano fornitori chiave di soggetti importanti o essenziali o che erogano determinati servizi informatici (gestori di registri dei nomi di dominio, reti pubbliche di comunicazione elettronica, ecc).

Le medie e grandi imprese rientranti in questi settori merceologici dovranno registrarsi, tra il 1 gennaio e il 28 febbraio, su una piattaforma digitale messa a disposizione dell'Autorità Nazionale Competente (ACN), indicando ragione sociale, indirizzo e contatti, punto di contatto, e settore di riferimento.

Entro il 31 marzo di ogni anno l'ACN redigerà l'elenco dei soggetti essenziali e importanti e comunicherà alle aziende registrate la loro appartenenza o meno a questo elenco.

Coloro che son stati identificati quali aziende essenziali o importanti dovranno, tra il 15 aprile e il 31 maggio, aggiornare le informazioni in piattaforma riportando: gli indirizzi IP pubblici e i nomi di dominio; l'elenco degli stati membri dove operano; i responsabili e loro contatti; il sostituto del punto di contatto.

2. PROPORZIONALITA' E GRADUALITA'

L'ACN adotterà misure che tengono conto del livello di rischio e delle dimensioni dei soggetti coinvolti. Si attende quindi l'emanazione di linee guida dettagliate per settore e tipologia aziendale che permettano alle aziende di adeguarsi a richieste concrete e ragionevoli. Oltre alle indicazioni specifiche, si ricorda che gli obblighi generali derivanti dall'applicazione della NIS2 sono:

• la registrazione in piattaforma e l’aggiornamento delle informazioni;
• gli organi di amministrazione e direttivi: sono individuate precise responsabilità in capo agli organi di amministrazione del soggetto, i quali approvano e sovraintendono all’implementazione delle misure oltre a essere responsabili delle eventuali violazioni;
• gli obblighi in materia di misure di sicurezza informatica: politiche di analisi dei rischi dei sistemi informativi; gestione degli incidenti; continuità operativa; sicurezza della catena di fornitura; sicurezza dell'acquisizione, sviluppo e manutenzione dei sistemi IT e di rete, comprese la gestione e divulgazione delle vulnerabilità; politiche per valutare l'efficacia delle misure di gestione dei rischi; politiche di crittografia e cifratura; sicurezza e affidabilità del personale; autenticazione a più fattori;
• gli obblighi in materia di notifica di incidente: i soggetti essenziali e i soggetti importanti devono notificare, senza ingiustificato ritardo (24 ore), al CSIRT Italia ogni incidente che ha un impatto significativo sulla fornitura dei loro servizi;
• per alcune tipologie di soggetti, gli obblighi in materia di banca dei dati di registrazione dei nomi di dominio: mantenimento, in un'apposita banca dati, di dati accurati e completi di registrazione dei nomi di dominio;
• la categorizzazione delle attività e dei servizi, in base al livello di rischio e di impatto dovuto ad eventuali attacchi.

Il termine per l’adempimento degli obblighi di base sommariamente indicati qui sopra è stabilito trascorsi nove mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti essenziali o importanti che sarà inviata da ACN.