Corsi di formazione obbligatori per i manager e personale e notifiche di incidenti per i nuovi soggetti interessati, considerati essenziali e importanti per il Paese. Notifiche degli incidenti, ecco quando e cosa trasmettere al CSIRT Italia (ACN). Concretamente la NIS2 in Italia partirà il 31 marzo 2025, quando l’ACN avrà completato la lista dei soggetti che dovranno attenersi alla direttiva: da questo momento scatteranno gli obblighi. Poi entro il 17 aprile 2025 comunicherà l’UE il numero dei soggetti.
Il Governo oggi ha recepito la direttiva europea NIS2 con la quale si introducono le misure per un livello comune elevato di cybersicurezza nell’Unione Europea. Dal 18 ottobre prossimo scatteranno gli obblighi presenti nel decreto legislativo approvato oggi in CdM, con cui il Consiglio dei ministri ha recepito la NIS2.
Gli 8 punti chiave sono:
- I nuovi soggetti coinvolti, circa 50mila secondo le stime del direttore generale dell’Agenzia per la Cybersicurezza nazionale (ACN), che vanno ad aggiungersi a quelli già interessati dalla direttiva precedente NIS.
- Questi nuovi soggetti sono considerati essenziali e importanti per il Paese, perché forniscono anche essi servizi critici, come, ad esempio, quelli postali e dei corrieri, di gestione dei rifiuti, di fabbricazione di dispositivi medici, di computer e prodotti di elettronica e ottica, oppure, ancora, quelli legali alla grande distribuzione alimentare.
- Tuttavia, il nuovo testo normativo non si rivolge indistintamente a tutte le società che insistono all’interno dei suddetti settori, ma specifica in maniera precisa delle “regole”, basate principalmente sulla dimensione del soggetto e sul suo fatturato.
- L’Agenzia per la Cybersicurezza Nazionale (ACN) realizzerà la piattaforma (che sarà attiva dal 18 ottobre 2024) sulla quale tutti i soggetti che ritengono di essere “sicuramente” coinvolti dalle prescrizioni della NIS2 dovranno “auto-registrarsi”, indicando un elenco delle proprie attività e dei propri servizi, comprensivo di tutti gli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza.
- Dal 1 gennaio al 28 febbraio 2025 i soggetti essenziali e importanti per il Paese si registrano o aggiornano la propria registrazione sulla piattaforma. Il termine di scadenza si anticipa al 17 gennaio 2025 per i fornitori di domini, cloud computing e data center.
- Poi entro il 31 marzo 2025 la stessa Agenzia a risponderà ai soggetti essenziali e ai soggetti importanti circa la conformità. L’ACN quindi andrà a stabilire le categorie di rilevanza nonché il processo, le modalità e i criteri per l’elencazione, caratterizzazione e categorizzazione delle attività e dei servizi da registrare sulla piattaforma.
- Concretamente la NIS2 in Italia partirà il 31 marzo 2025, quando l’ACN avrà completato la lista dei soggetti che dovranno attenersi alla direttiva.
- Gli obblighi di adeguamento (art. 42) decorrono dalla data di comunicazione di ACN ai soggetti (il 31 marzo) e sono 9 mesi per gli incidenti e 18 mesi per gli obblighi in materia di organi amministrativi, misure di sicurezza.
Quali sono i principali obblighi della Direttiva NIS2? Corsi di formazione obbligatori per i manager e personale e notifiche di incidenti
La Direttiva NIS 2 prevede che, come già avvenuto per l’originaria Direttiva NIS, gli operatori inclusi nel suo campo di applicazione dovranno adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi connessi alla sicurezza dei sistemi informatici e delle reti.
Tra queste misure, corsi di formazione obbligatori per il personale. In particolare, gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti:
- sono tenuti a seguire una formazione in materia di sicurezza informatica;
- promuovono l’offerta periodica di una formazione coerente ai loro dipendenti, per favorire l’acquisizione di conoscenze e competenze sufficienti al fine di individuare i rischi e valutare le pratiche di gestione dei rischi per la sicurezza informatica e il loro impatto sulle attività del soggetto e sui servizi offerti
In aggiunta, i soggetti essenziali e importanti saranno obbligati a notificare all’Agenzia per la Cybersicurezza Nazionale – in particolare al CSIRT Italia – , senza indebito ritardo, eventuali incidenti che abbiano un impatto significativo sulla fornitura dei loro servizi.
Notifiche degli incidenti, quando e cosa trasmettere al CSIRT Italia (ACN)
I soggetti essenziali e importanti dovranno:
- senza ingiustificato ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo, una pre-notifica che, ove possibile, indichi se l’incidente significativo possa ritenersi il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero;
- senza ingiustificato ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell’incidente significativo, una notifica dell’incidente che, ove possibile, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale dell’incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione;
- su richiesta del CSIRT Italia, una relazione intermedia sui pertinenti aggiornamenti della situazione;
- una relazione finale entro un mese dalla trasmissione della notifica dell’incidente di cui alla lettera b), che comprenda:
- una descrizione dettagliata dell’incidente, ivi inclusi la sua gravità e il suo impatto;
- il tipo di minaccia o la causa originale (root cause) che ha probabilmente innescato l’incidente;
- le misure di attenuazione adottate e in corso;
- ove noto, l’impatto transfrontaliero dell’incidente;
- in caso di incidente in corso al momento della trasmissione della relazione finale di cui alla lettera d), una relazione mensile sui progressi e una relazione finale entro un mese dalla conclusione della gestione dell’incidente.
In ultimo, si segnala che gli operatori inclusi potranno essere soggetti ad attività di vigilanza, tra cui ispezioni in loco e vigilanza a distanza, nonché audit sulla sicurezza periodici e mirati, effettuati da organismi indipendenti o dall’autorità competente.
Quali sono le sanzioni?
La Direttiva prevede diverse sanzioni in funzione del fatto che un operatore sia qualificato come essenziale o come importante.
Nel merito, scattano da parte dell’ACN, dopo la diffida,
- per i soggetti essenziali, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, se tale importo è superiore.
- per i soggetti importanti, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 7.000.000 o dell’1,4% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, se tale importo è superiore.
- per le pubbliche amministrazioni con sanzioni amministrative pecuniarie da euro 25.000 a euro 125.000.
ACN è l’Autorità nazionale competente NIS e potrà avvalersi dell’aiuto delle Autorità di settore NIS
Tra quest’ultime anche il ministero della Cultura, perché l’Italia, unica in Europa, ha inserito la Cultura – e in particolare i soggetti che svolgono attività di interesse culturale – tra i settori critici e strategici da proteggere maggiormente dal punto di vista della cybersecurity.
Perché è ormai palese che la Cultura è un target delle cyber gang spesso sponsorizzati da Governi che considerano ostili gli Stati europei. Lo è tanto più quando i soggetti che gestiscono la cultura, operano in territori per i quali queste attività rappresentano un asset fondamentale. Come l’Italia.
L’Italia ha inserito la Cultura in NIS2, perché un settore strategico, critico, essenziale per il Paese e per questo occorre aumentare le difese cyber
La Cultura in Italia è uno dei settori rilevanti per l’economia: direttamente e indirettamente, insieme alla Creatività, genera un valore aggiunto per oltre 270 miliardi di euro, pari al 16% del PIL nazionale.
Allo stesso tempo la Cultura è un settore critico, perché legato all’ecosistema digitale: basti pensare all’interruzione dell’erogazione online dei ticket per accedere al Colosseo, avvenuta lo scorso anno, a causa di un attacco cibernetico. E siamo alla vigilia di grandi eventi, come il Giubileo 2025. E come non citare il cyberattacco alla piattaforma Ticketmaster con cui sono stati violati i dati personali di 560 milioni di fan della popstar Taylor Swift, oltre al furto di QR Code di 440mila biglietti del tour. Poi emblematici sono gli attacchi informatici alla British Library di Londra e a 40 musei in Francia, compreso il Louvre. Tanti casi che dimostrano l’urgenza di garantire la cybersicurezza ai soggetti che svolgono attività di interesse culturale, non solo pubblici.