© Home

• Home Page
• Mission
• Cybersecurity
  • Perché?
  • Gli impatti possibili
  • Che cosa?
  • Come?
• Direttiva NIS 2
  • Approfondimento
  • Dalla NIS alla NIS 2
  • Disposizioni sui soggetti NIS 2
  • Altre disposizioni
  • FAQ
• Blog

LA MISSION

Abilitare il Management delle PMI ad estendere l'azione di direzione e controllo alla gestione del Cyber Risk

• Home Page
• Mission
• Cybersecurity
  • Perché?
  • Gli impatti possibili
  • Che cosa?
  • Come?
• Direttiva NIS 2
  • Approfondimento
  • Dalla NIS alla NIS 2
  • Disposizioni sui soggetti NIS 2
  • Altre disposizioni
  • FAQ
• Blog

DISPOSIZIONI SUI SOGGETTI NIS 2

Sintesi degli articoli di maggior rilievo per il Management

La direttiva NIS 2 introduce significative novità nella strategia dell'Unione volta a garantire un livello comune elevato di cybersecurity, in modo da migliorare il funzionamento del suo mercato interno e della società nel suo complesso. I principi cardine di tale strategia si applicano a tutte le organizzazioni ad essa soggetta. Dal punto di vista del Management di tali organizzazioni, i suoi punti più significativi sono i seguenti:

• l'ampliamento notevole del numero di entità soggette;
• la responsabilità delle violazioni attribuita agli organi di gestione (amministrativi e direttivi) e l'identificazione di specifici obblighi a loro carico;
• indicazioni dettagliate in merito a tutti gli aspetti normati, al fine di ridurre la discrezionalità degli Stati membri all'atto del recepimento, quali: le misure da adottare per la gestione dei rischi di cybersecurity, gli obblighi di segnalazione per gli incidenti significativi, le misure di vigilanza ed esecutive ad opera delle autorità competenti nazionali, incluse le possibili sanzioni amministrative pecuniarie.

CAPO I - DISPOSIZIONI GENERALI
(ARTT. 1 - 6)

L'ambito di applicazione (Art. 2)

A riguardo, si evidenziano i seguenti  punti principali:

• Il numero di settori coinvolti viene esteso significativamente, rispetto agli 8 della direttiva NIS, identificando 11 settori altamente critici  (elencati nell'Allegato I della direttiva) e altri 7 cosiddetti settori critici (elencati nell'Allegato II); per alcuni settori in elenco, sono inoltre indicati specifici sottosettori e/o tipologie di attività/servizi;
• Per uniformità di applicazione da parte degli Stati membri, vengono stabiliti dei criteri puramente dimensionali, per cui tutte le organizzazioni di medie e grandi dimensioni dei settori elencati risultano soggette, premesso che svolgano le loro attività o eroghino servizi nell'UE;
• In base a specifiche eccezioni elencate, rientrano nel perimetro di applicazione anche micro e piccole imprese dei settori indicati;
• Indipendentemente dalle dimensioni, sono assoggettate anche tutte le organizzazioni identificate come entità critiche, in base alla direttiva EU 2022/2557 (direttiva CER), e tutte quelle che forniscono servizi di registrazione di nomi di dominio (registrar);
• Rimane invece a discrezione degli Stati membri la possibilità di includere anche PA locali e istituti di istruzione che svolgano attività di ricerca critiche.
• La direttiva non si applica invece agli enti della pubblica amministrazione che svolgono le loro attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o del contrasto agli illeciti, comprese la prevenzione, le indagini, l'accertamento e il perseguimento dei reati. Gli Stati membri possono inoltre esentare, dal rispetto degli obblighi indicati agli articoli 21 e 23, soggetti specifici che svolgono attività nei suddetti settori o che forniscono servizi esclusivamente a enti della PA di cui sopra, limitatamente a tali attività e servizi.

Alcuni numeri

• Secondo le stime presentate nel 2020 dalla Commissione Europea, in fase di valutazione di impatto della direttiva NIS 2, saranno coinvolte direttamente circa 110.000 entità;
• A livello italiano, il numero potrebbe aggirarsi intorno a 15.000 soggetti complessivamente, a fronte dei circa 450 OSE identificati per la direttiva NIS.

Classificazione dei soggetti in perimetro e atti giuridici settoriali dell'Unione (Artt. 3 e 4)

Le entità rientranti nel perimetro di applicazione vengono classificate dall'articolo 3 della direttiva NIS 2 in:

• entità essenziali, ossia tutte le grandi imprese che appartengono ad un settore altamente critico ed inoltre: alcune di quelle che ricadono tra le eccezioni al criterio dimensionale (es. determinate tipologie di entità elencate nel settore delle infrastrutture digitali, la pubblica amministrazione centrale), le entità definite critiche in base alla direttiva CER, ed eventualmente gli Operatori di Servizi Essenziali nominati dagli Stati membri in base alla direttiva NIS;
• entità importanti, ossia tutte le altre entità soggette, che includono quindi, in particolare, le grandi imprese dei settori critici e tutte quelle medie.

Gli Stati membri dovranno stabilire un primo elenco delle entità essenziali ed importanti entro il 17 aprile 2025, riesaminandolo e, ove opportuno, aggiornandolo periodicamente, almeno ogni due anni.

A tal fine, gli Stati membri impongono alle entità soggette di presentare le informazioni richieste alle autorità competenti (ACN per l'Italia) , aggiornandole entro due settimane in caso di cambiamenti. A discrezione degli Stati membri, possono essere stabiliti meccanismi nazionali per consentire alle entità di registrare i propri dati.

Per l'Italia, l'

Agenzia per la cybersicurezza nazionale

ha reso disponibile sul suo sito gli Allegati I e II della direttiva in una tabella che dettaglia per ogni settore/sottosettore e/o tipologia di attività la classificazione di grandi imprese e PMI (incluse le microimprese), vedi:

Schema riepilogativo di quanto previsto dalla direttiva NIS2

.

L'articolo 4 stabilisce invece le condizioni alle quali, qualora vengano emanati dall'Unione atti giuridici settoriali che si applicano a soggetti essenziali e importanti, le loro disposizioni prevalgano su quelle della direttiva NIS 2. Un tal caso è quello del Regolamento UE 2022/2554 (Regolamento DORA - Digital Operational Resilience Act) che riguarda il settore finanziario.

CAPO IV - MISURE DI GESTIONE DEL RISCHIO DI CYBERSECURITY E OBBLIGHI DI SEGNALAZIONE
(ARTT.  20 - 25)

Governance / responsabilità degli organi di gestione delle entità soggette (Art. 20)

Con riferimento a tutte le entità NIS 2 (indipendentemente dall'appartenenza ad un servizio altamente critico o critico) e alle misure di gestione dei rischi di cybersecurity previste dalla direttiva (Art. 21), gli Stati membri dovranno garantire che gli organi di gestione (ossia di amministrazione e direttivi) sianoritenuti responsabili delle violazioni commesse dalla propria organizzazione e siano inoltre attribuiti loro, in particolare, i seguenti obblighi:

• approvare le misure di gestione dei rischi di cybersecurity e sovraintendere alla loro attuazione;
• seguire attività di formazione adeguate, al fine di acquisire conoscenze e competenze sufficienti per essere in grado di individuare i rischi di cybersecurity e valutare sia le corrispondenti pratiche di gestione poste in atto dall'organizzazione sia l'impatto sulle attività e i servizi forniti;
• promuovere con regolarità l'offerta  di simili attività di formazione rivolte ai dipendenti.

Misure di gestione dei rischi di cybersecurity e sicurezza della supply chain (Artt. 21, 22)

In generale, in linea con la precedente direttiva NIS, la norma richiede a tutte le entità soggette di adottare misure tecniche, operative ed organizzative, appropriate e proporzionate, per:

• la gestione dei rischi complessivi relativi alla sicurezza delle reti e dei sistemi informativi,  utilizzati nelle loro attività o nella fornitura dei loro servizi, inclusi quelli relativi all'ambiente fisico in cui tali reti e sistemi sono collocati (approccio multirischio);
• prevenire e minimizzare l'impatto degli incidenti sulla propria operatività e sui destinatari dei loro servizi o su altri servizi.

Misure appropriate: se assicurano un livello di sicurezza delle reti e dei sistemi informativi adeguato ai rischi esistenti, tenuto conto delle conoscenze più aggiornate in materia e, ove possibile, delle pertinenti norme europee e internazionali, nonché dei costi di attuazione.

Misure proporzionate: se tengono conto del grado di esposizione ai rischi, delle dimensioni e criticità del soggetto e della probabilità che si verifichino incidenti, nonché della loro gravità, compreso il loro impatto sociale ed economico.

Diversamente dal passato, la direttiva NIS 2 prevede però che le misure di cui sopra includano, come minimo, quelle specificate in un elenco di 10 punti. Le più rilevanti in termini di coinvolgimento diretto del Management dell'organizzazione riguardano:

• le policy relative alla sicurezza informatica ed alla gestione dei rischi corrispondenti;
• la gestione degli incidenti (incluso quanto riguarda la loro segnalazione obbligatoria o le notifiche volontarie);
• la continuità operativa e la gestione delle crisi;
• la sicurezza della supply chain;
• le policy e procedure per valutare l'efficacia delle misure di gestione dei rischi adottate;
• la formazione in materia di cybersecurity.

Si sottolinea, in particolare, l'attenzione rivolta al tema della sicurezza della supply chain e quindi alla sicurezza dei rapporti di ciascun soggetto con i propri fornitori diretti e service provider.

La norma stabilisce infine che, qualora un soggetto constati di non essere conforme alle misure suddette, esso adotti, senza indebito ritardo, tutte le misure correttive necessarie, appropriate e proporzionate.

Obblighi di segnalazione (Art. 23)

Indipendentemente dall'appartenenza ad un "settore" altamente critico o critico così come dalla classificazione come entità essenziali o importanti, gli Stati membri dovranno garantire che tutte le entità NIS 2, senza indebito ritardo:

• notifichino gli incidenti significativi al proprio Computer Security Incident Response Team (CSIRT: per l'Italia allo CSIRT-Italia) o, dove possibile, alla propria autorità competente e, ove opportuno, anche ai destinatari dei servizi la cui fornitura sarà probabilmente impattata in modo negativo;
• dove possibile, comunichino ai destinatari dei servizi, che sono potenzialmente interessati da una minaccia informatica significativa, qualsiasi misura o azione correttiva che sia possibile adottare in risposta a tale minaccia e, ove opportuno, li informino anche della minaccia informatica stessa.

Sono incidenti significativi quelli che causano o potrebbero causare

gravi interruzioni dell'operatività dei servizi forniti o perdite finanziarie all'entità coinvolta

ossia provocano, o sono suscettibili di provocare, 

perdite materiali o immateriali considerevoli ad altre persone fisiche o giuridiche

.

Diversamente dalla precedente direttiva NIS, viene dettagliata la procedura e vengono stabilite delle tempistiche massime relativamente ai suddetti obblighi di notifica al proprio CSIRT, che gli Stati membri dovranno far rispettare ai soggetti interessati (es. preallarme entro 24 ore da quando sono venuti a conoscenza di un incidente significativo, notifica vera e propria entro le 72 ore e relazione finale entro un mese).

In risposta ad una notifica, il CSIRT dovrà fornire un riscontro iniziale sull'incidente e, a richiesta del soggetto notificante, orientamenti o consulenza operativa sull'attuazione di possibili misure di attenuazione ed, eventualmente, ulteriore supporto tecnico. Se si sospetta che l'incidente abbia carattere criminale, verranno anche date indicazioni su come procedere alla segnalazione alle autorità di contrasto.

Qualora sia necessario sensibilizzare il pubblico per prevenire un incidente significativo o affrontarne uno in corso, o comunque la sua divulgazione sia nell'interesse pubblico, dopo aver consultato il soggetto interessato, le autorità coinvolte possono informare il pubblico o imporre al soggetto di farlo.

Uso dei sistemi europei di certificazione della cybersecurity e degli standard (Artt. 24, 25)

Inoltre, al fine di dimostrare il rispetto delle prescrizioni in materia di misure di gestione dei rischi di cybersecurity, gli Stati membri potranno:

• imporre alle entità soggette di utilizzare prodotti, servizi o processi ICT certificati a norma del regolamento (UE) 2019/881 (Cybersecurity Act); alla Comissione è conferito il potere di adottare atti delegati a riguardo;
• incoraggiare l'utilizzo di servizi fiduciari qualificati;
• incoraggiare l'utilizzo di norme e specifiche tecniche europee e internazionali relative alla sicurezza dei sistemi informatici e di rete.

CAPO VI - CONDIVISIONE DELLE INFORMAZIONI

(ARTT. 29 e 30)

Accordi sulla condivisione di informazioni di cybersecurity (Art. 29)

La direttiva NIS 2 riconosce in modo esplicito l'importanza che ha assunto la condivisione su base volontaria di informazioni di cybersecurity sia tra le entità ad essa soggette sia tra queste ed altre entità (es. loro fornitori e service provider) al fine di:

• prevenire, rilevare, rispondere o riprendersi dagli incidenti o mitigarne l'impatto;
• aumentare in generale il livello di cybersecurity raggiunto.

Gli Stati membri dovranno dunque facilitare tale scambio di informazioni attraverso la conclusione di specifi accordi di condivisione. A tal fine potranno definirne gli elementi operativi, compreso l'uso di piattaforme ICT dedicate e di strumenti di automazione, i contenuti e le condizioni. Dovranno inoltre provvedere affinché le entità soggette notifichino alle autorità competenti la loro adesione ai suddetti accordi così come il ritiro dagli stessi.

Notifica volontaria di informazioni rilevanti (Art. 30)

Infine, gli Stati membri dovranno garantire che sia le entità soggette sia altre entità possano, su base volontaria, notificare al CSIRT o, se possibile, alle autorità competenti incidenti, minacce informatiche e quasi incidenti. Tali notifiche saranno trattate allo stesso modo di quelle obbligatorie relative agli incidenti significativi ma a queste ultime potrà essere data priorità.

CAPO VII - VIGILANZA ED ESECUZIONE

(ARTT. 31 - 37)

Aspetti generali relativi alla vigilanza e all'esecuzione (Art. 31)

Diversamente dalla precedente direttiva, NIS 2 dettaglia i poteri minimi che gli Stati membri dovranno conferire alle rispettive autorità competenti, al fine di esercitare le funzioni di vigilanza ed imposizione del rispetto della norma sulle entità soggette, attraverso misure efficaci, proporzionate e dissuasive. Viene però data loro la facoltà di consentire alle autorità competenti di stabilire la priorità degli interventi di vigilanza, adottando una metodologia basata sulla valutazione del rischio.

La classificazione delle entità in essenziali ed importanti incide soltanto su:

• la tempistica dell'attività di vigilanza delle autorità competenti: che può essere anche ex-ante nel primo caso e solo ex-post (ossia a seguito di elementi che fanno presumere una violazione della norma) nel secondo;
• la limitazione, al solo caso di entità essenziali, del potere delle autorità competenti di:
• designare, con poteri specifici e limitati nel tempo, un funzionario addetto alla vigilanza;
• sospendere temporaneamente sia certificazioni o autorizzazioni relative ai servizi erogati / alle attività svolte da entità inadempienti sia i loro amministratori delegati / rappresentanti legali dalle funzioni dirigenziali;
• l'entità di eventuali sanzioni amministrative pecuniarie imposte.
  
  

Misure di vigilanza ed esecutive, incluse eventuali sanzioni amministrative pecuniarie  (Artt. 32, 33, 34)

Per quanto riguarda i compiti di vigilanza, sono previsti, in particolare, almeno i seguenti poteri:

• effettuare: ispezioni in loco, vigilanza a distanza, audit di sicurezza e vulnerability scan (i costi degli audit sono di norma a carico dell'entità soggetta);
• richiedere: informazioni necessarie per valutare le misure di gestione dei rischi di cybersecurity adottate e ogni altro dato, documento o informazione utile, così come evidenze dell'implementazione delle policy di cybersecurity.

Per quanto riguarda invece i compiti esecutivi, facendo obbligo alle autorità competenti di rispettare in ogni caso i diritti della difesa, di tener conto delle circostanze, di specifiche aggravanti o attenuanti e di seguire determinate procedure, sono previsti almeno i seguenti poteri:

• emanare avvisi di violazione, adottare istruzioni vincolanti o ingiunzioni a porre rimedio, ordinare di porre fine a comportamenti che violano la norma e, in particolare, gli obblighi in materia di misure di gestione dei rischi di cybersecurity e di notifica di incidenti significativi, imporre di attuare le raccomandazioni fornite a seguito di audit di sicurezza;
• ordinare di informare le persone fisiche e giuridiche, destinatarie dei servizi forniti / delle attività svolte, di minacce informatiche significative a cui sono potenzialmente esposte, imporre di rendere pubbliche violazioni;
• imporre, in aggiunta, sanzioni amministrative pecuniarie, la cui entità massima è pari ad almeno il valore maggiore tra:
• EUR 10 milioni e il 2 % del totale del fatturato mondiale annuo per l'esercizio precedente dell'impresa cui il soggetto appartiene, nel caso di entità essenziali;
• EUR 7 milioni e il 1,4 % del totale del fatturato mondiale annuo per l'esercizio precedente dell'impresa cui il soggetto appartiene, nel caso di entità importanti.

Gli Stati membri dovranno inoltre garantire che a qualsiasi persona fisica responsabile a vario titolo di un entità soggetta (rappresentante legale o che abbia l'autorità di prendere decisioni o esercitare un controllo) venga attribuito il potere di far rispettare la direttiva e possa quindi essere ritenuta responsabile in caso di inadempimento dei relativi obblighi.

• Ritorna alla pagina iniziale di approfondimento sulla NIS 2

© Home