L’Italia recepisce la NIS2, ecco novità e adempimenti

di Pierfrancesco Malu

L’Italia recepisce ufficialmente la Direttiva NIS 2: ecco di cosa si tratta

L’Italia recepisce ufficialmente la Direttiva NIS 2 (UE 2022/2555), come si legge sul testo pubblicato dalla Gazzetta Ufficiale, Decreto Legislativo 4 settembre 2024, n. 138. Il termine ultimo per il recepimento della NIS2 da parte degli Stati Membri è il 17 ottobre 2024. Si tratta di un importante aggiornamento relativo alle norme in materia di sicurezza cibernetica. L’obiettivo è garantire un livello elevato di sicurezza informatica in un contesto nazionale, contribuendo a migliorare il livello di sicurezza anche nell’Unione Europea.

Con il decreto di recepimento delal Direttiva NIS 2vengono introdotte alcune rilevanti definizioni attinenti al mondo della cibersicurezza, che, fra gli operatori economici, rilevano in particolare altresì per i soggetti già obbligati al rispetto del Regolamento DORA, ovvero gli operatori bancari e finanziari, fra cui:

• Sicurezza dei sistemi informativi e di rete: la capacità dei sistemi informativi e di rete di resistere, con un determinato livello di affidabilità, agli eventi che potrebbero compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti da tali sistemi informativi e di rete o accessibili attraverso di essi;
• Sicurezza informatica: l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche, cosi’ come definito dall’articolo 2, punto 1), del regolamento (UE) 2019/881;
• Cybersicurezza: ferme restando le definizioni di cui alle lettere q) e r), l’insieme delle Attivita’ di cui all’articolo 1, comma 1, lettera a), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;
• Incidente: un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete o accessibili attraverso di essi;
• Quasi-incidente: cd. near-miss, un evento che avrebbe potuto configurare un incidente senza che quest’ultimo si sia tuttavia verificato, ivi incluso il caso in cui l’incidente sia stato efficacemente evitato;
• Incidente di sicurezza informatica su vasta scala: un incidente che causa un livello di perturbazione superiore alla capacità di uno Stato membro di rispondervi o che ha un impatto significativo su almeno due Stati membri;
• Gestione degli incidenti: le azioni e le procedure volte a prevenire, rilevare, analizzare e contenere un incidente o a rispondervi e recuperare da esso;
• Minaccia informatica: qualsiasi circostanza, evento o azione che potrebbe danneggiare, perturbare o avere un impatto negativo di altro tipo su sistemi informativi e di rete, sugli utenti di tali sistemi e altre persone, così come definita dall’articolo 2, punto 8), del Regolamento (UE) 2019/881;
• Minaccia informatica significativa:  una  minaccia informatica che, in base alle sue caratteristiche tecniche, si presume possa avere un grave impatto sui sistemi informativi e di rete di un soggetto o sugli utenti dei servizi erogati da un soggetto causando perdite materiali o immateriali considerevoli;
• Prodotto TIC: un elemento o un gruppo di elementi di un sistema informativo o di rete, così come definito dall’articolo 2, punto 12), del regolamento (UE) 2019/881;
• Servizio TIC: un servizio consistente interamente o prevalentemente nella trasmissione, conservazione,  recupero  o elaborazione di informazioni per mezzo dei sistemi informativi e di rete così come definito dall’articolo 2, punto 13), del regolamento (UE) 2019/881;
• Processo TIC: un insieme di attività svolte  per progettare, sviluppare, fornire o mantenere un prodotto TIC o servizio TIC, così come definito dall’articolo 2, punto 14), del regolamento (UE) 2019/881;

Quali sono i requisiti principali per soddisfare questa direttiva?

• Politiche di analisi dei rischi e di sicurezza dei sistemi informatici
• Gestione degli incidenti
• Continuità operativa
• Sicurezza della catena di approvvigionamento
• Sicurezza dell’acquisizione, sviluppo e manutenzione dei sistemi informatici e di rete
• Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersecurity
• Pratiche di igiene digitale di base e formazione in materia di cybersicurezza
• Politiche e procedure relative all’uso della crittografia
• Sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi (hardware, software, dati)
• Uso di soluzioni di autenticazione a più fattori o di autenticazione continua

Rispetto alla Direttiva NIS (UE) 2016/1148, emanata nel 2016, la Direttiva NIS 2 estende il proprio campo di applicazione andando a inglobare un maggior numero di settori e operatori, tra cui le pubbliche amministrazioni, le aziende dei trasporti, l’ambito sanitario, alimentare e molti altri ancora.

Fine ultimo della nuova normativa è quello di rafforzare la resilienza informatica e favorire la continuità operativa per armonizzare la vita delle imprese nel contesto digitale nel quale operano.

Al fine di supportare al meglio le stesse imprese, il Centro Studi dell’Associazione Prestatori Servizi di Pagamento, in collaborazione con la Hermes University, ha predisposto un Corso di Alta formazione su Cybersecurity High Level per Top Manager