Il 16 ottobre è entrato in vigore il decreto legislativo che recepisce la NIS2, con rilevanti implicazioni per il settore pubblico e privato. Il convegno organizzato dall’Agenzia per la cybersicurezza nazionale all’Università La Sapienza di Roma è stata l’occasione sia per sensibilizzare i principali attori sulle nuove responsabilità imposte dalla Direttiva sia per tratteggiare una roadmap verso una maggiore resilienza digitale del Paese. Il Direttore Generale dell’ACN, Frattasi: “La NIS2 appronta uno scenario di riferimento che avremo davanti per i prossimi decenni”.
La nuova Direttiva NIS per un più alto livello di cybersecurity del sistema Paese. Questo il focus del convegno organizzato dall’Agenzia per la cybersicurezza nazionale (ACN) a Roma, presso l’aula magna del rettorato dell’Università La Sapienza. Un incontro, aperto ai principali stakeholder del comparto pubblico e privato coinvolti, volto sia ad approfondire il nuovo quadro di sicurezza cibernetica sia a sensibilizzare le istituzioni e le aziende in merito alle sfide inedite poste dalla NIS2. Tra i temi affrontati quello della sicurezza nazionale che si è ampliata a preservare l’integrità della sfera pubblica, includendo il settore pubblico e quello privato, la Pubblica Amministrazione e le aziende.
E ancora, come gli ultimi conflitti internazionali insegnano – ma anche nel caso dell’attacco nei cercapersone di Hezbollah – il legame indissolubile tra il settore militare e quello civile. E se (come dimostrato) le minacce cyber evolvono rapidamente, con la NIS2 – che identifica 18 settori e sottosettori soggetti a obblighi di sicurezza incrementati, fra cui telecomunicazioni, sanità, energia, trasporti e telco, a cui si aggiunge la PA – si entra in una nuova era della cybersecurity. Un cambio di registro di portata enorme.
NIS2 oltre la valenza tecnica: è uno sguardo nuovo sulla realtà
Recepimento della Direttiva NIS2, niente panico. Ed è proprio così. Lo è altrettanto, però, che “la NIS2 rappresenta un cambio di registro di portata enorme rispetto alla grande questione della sicurezza cibernetica. La prima Direttiva NIS, che l’aveva preceduta di sei anni, aveva rivelato una serie di carenze intrinseche che le avrebbero impedito di affrontare con efficacia le sfide attuali ed emergenti di cybersicurezza”. Così il Direttore Generale dell’ACN, Bruno Frattasi, che poi ha ricordato l’impatto di due eventi epocali succedutisi nel periodo considerato: la pandemia da Covid-19 e il conflitto tra Russia e Ucraina. Da qui “la necessità, espressa con forza dalle istituzioni europee, di una più alta capacità di protezione della superficie digitale di ogni paese dell’Ue”. Una frontiera assai più estesa di quella precedente, quasi indefinibile nei suoi confini fisici e digitali.
Quindi Frattasi ha sottolineato che la NIS2 fonda la sua base giuridica sull’articolo 114 del Trattato sul funzionamento dell’Unione europea (“ma la sicurezza cibernetica compulsa la sicurezza nazionale, come avvedutamente la stessa Direttiva mette in luce”, ha aggiunto), per poi fare riferimento – per quanto concerne l’Italia – al Decreto legge n. 105 del 21 settembre 2019 (“Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica”). Una legge perimetro “che si integra e completa con la NIS2 attraverso la sua trasposizione nel nostro ordinamento, con il decreto legislativo n. 138 del 4 settembre 2024, opportunatamente anticipato dalla legge n. 90 del 20 giugno 2024 relativa alle disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”.
Poche ore fa, l’ACN ha quindi pubblicato la Determina del Direttore generale Frattasi, che definisce i termini e le modalità di utilizzo della piattaforma digitale per la registrazione dei soggetti NIS. Tra punti salienti della Determina, emergono:
- L’obbligo di registrazione: quasi tutti i soggetti pubblici e privati designati come “soggetti NIS” devono registrarsi entro il 28 febbraio 2025 tramite il Portale ACN.
- Il ruolo del punto di contatto: ogni organizzazione dovrà nominare un punto di contatto, responsabile delle comunicazioni con l’Agenzia per la cybersicurezza nazionale e della gestione degli adempimenti.
- Le procedure di verifica e controllo: il sistema prevede meccanismi di censimento, convalida e verifiche volti ad assicurare la coerenza e l’accuratezza delle informazioni trasmesse.
- La responsabilità e le sanzioni: gli organi di amministrazione e quelli direttivi dei “soggetti NIS” sono responsabili di eventuali violazioni (compresa la mancata registrazione).
La piattaforma è pensata per assicurare una gestione centralizzata ed efficiente delle informazioni, diminuendo i rischi cyber e promuovendo un approccio proattivo alla sicurezza delle infrastrutture critiche.
Cybersecurity questione di sicurezza nazionale e non di resilienza
Nel corso del suo keynote speech, il Sottosegretario alla Presidenza del Consiglio dei Ministri, Alfredo Mantovano, ha citato ai presenti un caso di cronaca: “Il 19 luglio 2024 la rete di computer Microsoft è stata colpita da un evento cyber che ha mandato in tilt migliaia di pc in tutto il mondo, creando disagi di varia natura, anche in Italia. La causa era un errore umano, non legato al cybercrime”. Ecco, “l’importanza di compiere un salto culturale nell’approccio alla sicurezza cibernetica, che non è mera questione di qualità dei sistemi, delle reti e degli apparati, ma riguarda anche elementi extra informatici, come appunto il fattore umano (responsabile del 68% della violazione dei dati) e l’efficacia dell’organizzazione aziendale”.
“La NIS2 – ha proseguito il Sottosegretario Mantovano – si muove proprio in questa direzione, in sinergia con altri strumenti normativi, mirando a realizzare una forma di tutela a tutto tondo. Ad esempio, sono responsabilizzati i vertici dei soggetti sottoposti alla Direttiva, indicati come i primi responsabili dell’adempimento delle misure di sicurezza degli obblighi previsti della nuova normativa. Così da evitare che il peso sia scaricato sulle spalle del solo responsabile cyber. E questo non è un passaggio irrilevante”. La Direttiva inserisce poi misure di rafforzamento del fattore umano nonché “gli obblighi per gli organi di amministrazione direttivi di seguire una formazione in materia di sicurezza icibernetica”.
ACN guida alla scoperta della NIS
Nell’affrontare il tema del percorso attuativo del Decreto legislativo di recepimento della NIS2, Milena Antonella Rizzi, Capo del Servizio Regolazione (ACN) ha evidenziato che “mentre nel caso della Direttiva NIS1 l’impianto teorico non è stato in grado di catturare l’obiettivo che si era prefissato, con la NIS2 c’è stato un cambio di passo per mettere in sicurezza l’intera infrastruttura digitale”. Subito dopo Gianluca Galasso, Capo del Servizio Operazioni e gestione delle crisi cyber (ACN) ha approfondito il ruolo del CSIRT Italia (“non è solo l’hub nazionale della ricezione delle notifiche di incidente, il CSIRT Italia opera infatti in tutta quella parte di attività di tipo preventivo, con l’obiettivo di anticipare la minaccia”).
Quindi Nicolò Rivetti, Capo Divisione NIS e discipline unionali del Servizio Regolazione (ACN) si è espresso sul processo di registrazione dei soggetti essenziali ed importanti sulla piattaforma NIS: “Tramite il processo di registrazione si andrà a costruire un canale diretto, dedicato e informato tra i soggetti NIS e l’ACN, dando modo all’Agenzia di fornire riscontri più puntuali ai soggetti e fornire un supporto proattivo alle singole realtà”. A prendere la parola è stata poi Eliana Pezzuto, Vice Capo Divisione NIS e discipline unionali, Servizio Regolazione (ACN). Durante il suo intervento (“Soggetti essenziali e importanti”), Pezzuto ha ripreso le parole del Prefetto Rizzi. Spiegando che “tra gli aspetti più innovativi della NIS2 c’è l’ampliamento dell’ambito di applicazione delle nuove misure in materia di cybersecurity. Ampliamento che riguarda sia l’aumento dei settori, dei sottosettori e delle tipologie dei soggetti coinvolti sia l’applicazione delle nuove misure alle intere infrastrutture ICT del soggetto”.
I dieci ambiti di applicazione delle misure di sicurezza nelle parole di Claudio Ciccotelli, Capo della Divisione PSNC e discipline nazionali, Servizio Regolazione (ACN). Dettagliando: “Politiche di analisi dei rischi e di sicurezza dei sistemi informativi; gestione degli incidenti continuità operativa; sicurezza della catena di approvvigionamento; sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete”.
E ancora, “politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersicurezza; pratiche di igiene di base e di formazione in materia di sicurezza informatica; politiche e procedure relative all’uso della crittografia; sicurezza delle risorse umane; uso di soluzioni di autenticazione a più fattori o di autenticazione continua e di sistemi di comunicazione protetti”.
Proprio su uno dei dieci ambiti di applicazione delle misure di sicurezza si è concentrato Davide Nardacci – Vice Capo della Divisione PSNC e discipline nazionali, Servizio Regolazione (ACN) – nel suo intervento. Con riferimento “all’articolo 24 della Direttiva NIS2, le considerazioni si concentrano sulla gestione del rischio legato alla Supply Chain, identificazione e valutazione di fornitori, contratti con i fornitori che prevedono aspetti di sicurezza, estensione dell’ambito di applicazione della NIS2 rispetto alla NIS1”.
A chiudere il cerchio ecco il keynote speech di Nunzia Ciardi, Vice Direttore generale dell’ACN. “La NIS2 non va interpretata e vissuta come una serie di regole che possono “appesantire” il lavoro, ma va fatta propria come un’opportunità. L’approccio a questo ecosistama digitale deve essere olistico, lo sguardo più largo e l’orizzonte più lontano”. Inoltre, “regolazione e tecnologia non sono sufficienti a mettere in sicurezza l’ecosistema digitale perché c’è un fattore umano rilevantissimo che deve evolvere ed essere supportato. Dobbiamo investire in cultura, formazione e consapevolezza”, ha chiosato Ciardi.
