Approvato la bozza del decreto di recepimento della Direttiva NIS2
Novità per il mondo della cybersicurezza: il Consiglio dei Ministri ha approvato la bozza del decreto di recepimento della Direttiva NIS2. Anche se tale direttiva era già stata approvata dal Parlamento Europeo a fine 2022, nel nostro Paese il recepimento non era ancora formalmente avvenuto.
Adesso, invece, grazie all’approvazione della bozza, tante saranno le novità che verranno introdotte in Italia in merito alla sicurezza informatica.
Scopriamo insieme cosa prevede la NIS2 (acronimo di Network and Information Security 2) e cosa, invece, è contenuto nella bozza del decreto di recepimento.
NIS2, la Network and Information Security approvata dal Parlamento Europeo
Ma procediamo in ordine cronologico: l’approvazione della NIS2 (Network and Information Security) da parte del Parlamento Europeo è già avvenuta da tempo. L’ok dall’UE è infatti arrivato il 10 novembre 2022, con la successiva pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea il 27 dicembre 2022.
L’aumento dei crimini e dei rischi informatici ha reso necessario potenziare la cybersicurezza, modificando la vecchia Direttiva NIS1. Possiamo considerare la nuova NIS2 come l’erede della NIS1 e, soprattutto, come un suo potenziamento.
La NIS1 è stata infatti spesso tacciata di inadeguatezza, in quanto gli obblighi in essa contenuta sono abbastanza astratti e indefiniti.
Se all’interno della Direttiva precedente troviamo indicazioni per minimizzare le problematiche derivanti da incidenti legati alla cybersicurezza, nella Direttiva NIS2 troviamo invece degli obblighi specifici. Inoltre, i destinatari della direttiva vengono più ampiamente chiariti.
Direttiva NIS2, a chi si rivolge?
Una delle informazioni più interessanti contenute nella NIS2 riguarda i suoi destinatari. La precedente Direttiva era indirizzata solamente alle aziende dei settori bancari e finanziari, energia, telecomunicazioni, trasporti, sanità.
Con la nuova Direttiva, invece, altre società vengono incluse, ampliando l’applicazione delle regole europee legate alla cybersicurezza. La NIS2 include infatti anche le società che forniscono servizi digitali di vario genere, quelle che si occupano di servizi di produzione, distribuzione e trasformazione del cibo, le società di servizi sanitari e quelle farmaceutiche.
Vengono inoltre fornite indicazioni in merito all’ampiezza delle società interessate. Sono destinatarie della Direttiva UE di medie e grandi dimensioni. Vengono inoltre incluse anche le micro e le piccole attività nel caso in cui queste risultino operanti in settori chiave.
Chi opera in settori chiave, in sostanza, dovrà attenersi alla nuova Direttiva sulla Network and Information Security indipendentemente dalla dimensione aziendale.
Network and Information Security: gli obblighi previsti
La NIS2 ha provveduto anche a specificare diversi obblighi che le imprese dovranno considerare quando si parla di cybersicurezza. In dettaglio, le società dovranno necessariamente prevedere delle misure di tipo tecnico, che abbiano a che fare con i sistemi di gestione di incidenti e di business continuity.
Quest’ultimo aspetto riguarda la possibilità di proseguire il lavoro in caso di crisi.
Le politiche su sicurezza e analisi dei rischi devono essere chiare, così come le misure atte a gestire la cybersecurity.
Inoltre, le implementazioni tecniche richieste riguardano anche la sicurezza dei sistemi informatici a vari livelli, dalla manutenzione all’eventuale sviluppo.
Bisogna inoltre prevedere formazione in merito alla cybersicurezza, oltre che politiche di sicurezza interne all’HR.
Infine, aspetto fondamentale per garantire la sicurezza informatica, è necessario prevedere l’autenticazione a più fattori per proteggere dati e comunicazioni.
La NIS2 ha dunque chiarito tutta una serie di obblighi che le società dovranno assolvere. Tuttavia, si tratta di misure minime. Il che significa che gli Stati membri dell’Unione Europea avranno il compito di specificare, a livello nazionale, ulteriori vincoli e doveri più specifici da rispettare.
Il decreto di recepimento in Italia
Secondo quanto stabilito dall’Unione Europea, c’era tempo fino al 18 novembre 2024 per recepire la NIS2. La bozza del decreto di recepimento, nel nostro Paese, è arrivata per tempo, con sollievo delle società e dei soggetti interessati.
Infatti, le imprese erano in attesa di disposizioni statali, al fine di poter attuare le implementazioni richieste a livello europeo. La possibilità di dettagliare maggiormente la normativa europea, per l’Italia, avrebbe potuto comportare norme e regole più precise.
In realtà, però, il decreto di recepimento della Network and Information Security 2 non presenta particolari differenze con la Direttiva UE. Al momento, dunque, si attendono solamente comunicazioni in merito alle tempistiche di adeguamento. La bozza, infatti, non contiene alcun riferimento alle tempistiche che le aziende dovranno rispettare.
Cosa cambia in termini di cybersicurezza
L’applicazione, a livello nazionale, della direttiva NIS2 ribadisce innanzitutto l’organo di riferimento per la cybersicurezza in Italia. Si tratta dell’Agenzia per la cybersicurezza nazionale, nota anche come ACN.
L’Agenzia viene definita come il cuore essenziale della sicurezza informatica della Nazione. Viene dunque ribadito il ruolo dell’ACN come l’Agenzia atta a garantire la corretta gestione delle risorse e una strategia unica a livello nazionale.
Tuttavia, anche Ministero della Difesa viene coinvolto, soprattutto quando si parla della cybersicurezza in ambito statale. Infatti, le cosiddette cyberwar rappresentano ormai una possibilità fattibile. Il Ministero della Difesa, in tal senso, dovrà avere un ruolo fondamentale nella sicurezza militare e nelle eventuali crisi informatiche di livello statale.
La bozza del decreto di recepimento prevede poi l’istituzione di un Tavolo per attuare formalmente la NIS2.
Come anticipato, fatta eccezione per queste specificazioni, il decreto non si discosta particolarmente dalla Direttiva Europea, limitandosi a recepirne il contenuto.
Decreto di recepimento: Pubblica Amministrazione e sanzioni previste
Il decreto di recepimento della NIS2 contiene però anche delle specificazioni, che riguardano la Pubblica Amministrazione e le sanzioni.
In merito alla Pubblica Amministrazione, innanzitutto, è previsto che gli eventuali fornitori debbano rispettare degli obblighi specifici. Questi verranno stabiliti considerando le possibili conseguenze che incidenti di cybersicurezza potrebbero causare.
Per quanto riguarda le sanzioni previste, invece, il decreto di recepimento della Direttiva NIS2 le prevede anche per le persone fisiche. Anche queste, in caso di responsabilità, potranno essere sanzionate.
Multe ridotte, invece, per la Pubblica Amministrazione in caso di violazione, anche se non è esclusa la responsabilità amministrativo-contabile e, soprattutto, disciplinare per i soggetti che commettono violazioni.
Si punta a responsabilizzare le alte cariche aziendali in caso di minacce e crisi, prevedendo sanzioni molto rigide, non soltanto pecuniarie.
In accordo con il testo della NIS2 suggerito dall’UE, in caso di violazioni dirigenti e responsabili potrebbero incorrere in sospensioni di autorizzazioni e temporaneo allontanamento dall’incarico.