NIS2 per la cybersecurity: chi deve adeguarsi?

La Direttiva NIS 2 rappresenta un’importante evoluzione per la regolamentazione della cybersecurity nell’Unione Europea, con l’obiettivo di rafforzare la sicurezza e la resilienza delle infrastrutture critiche. In questo articolo analizzeremo il campo di applicazione della NIS 2 e le implicazioni del suo recepimento in Italia. Scopriamo insieme chi sono i soggetti coinvolti e cosa dovranno fare per adeguarsi.

Cos’è la normativa NIS2?

L’acronimo NIS sta per Network and Information Security. La NIS2 corrisponde alla Direttiva UE 2022/2555, che ha sostituito la precedente Direttiva UE 2016/1148 (NIS), ed ha l’obiettivo di rafforzare la sicurezza informatica e delle infrastrutture di rete nell’Unione Europea.

La NIS2 fa parte di un disegno europeo volto ad aumentare la sicurezza e la resilienza dei settori essenziali e viene emanata insieme ad altre due normative: il Regolamento UE 2022/5554 (meglio conosciuto come DORA – Digital Operational Resilience Act), relativo alla resilienza operativa digitale per il settore finanziario, e la Direttiva UE 2022/2557 (Direttiva CER – Critical Entities Resilience), relativa alla resilienza dei soggetti critici con riferimento a rischi ulteriori rispetto a quelli informatici.

Mentre i Regolamenti dell’Unione Europea sono direttamente applicabili negli Stati membri, le Direttive devono essere recepite da una normativa nazionale. La NIS2 è stata recepita in Italia dal D.Lgs. 138 del 4 settembre 2024, entrato in vigore il 16 ottobre dello stesso anno.

Dalla NIS alla NIS2

Il passaggio dalla NIS alla NIS2 si è reso necessario per ridurre le disomogeneità negli Stati membri, soprattutto per quanto riguarda l’individuazione dei soggetti a cui applicare la normativa.

La differenza principale fra le due direttive riguarda infatti il loro ambito di applicazione.

La NIS era applicabile a due categorie di soggetti:

• Operatori dei Servizi Essenziali (OSE) e
• Fornitori di Servizi Digitali (DSP).

In Italia, soltanto poche centinaia di imprese rientravano in queste due categorie.

Invece, la NIS2 amplia moltissimo l’ambito di applicazione, che adesso riguarda decine di migliaia di soggetti in tutta Italia, fra pubbliche amministrazioni ed imprese private.

I settori interessati dalla NIS2

I settori interessati dalla NIS2 sono individuati in 4 allegati alla direttiva.

Il primo allegato individua i soggetti ad alta criticità, che corrispondono ai seguenti settori:

• Energia
• Trasporti
• Banca e finanza
• Acqua potabile e reflue
• Infrastrutture digitali (es. Datacenter, DNS, gestione dei registri di nomi a dominio, Cloud Computing etc.)
• Servizi ICT (es. MSP)
• Spazio

Il secondo allegato individua altri soggetti critici nei seguenti settori:

• Postali e corrieri
• Rifiuti
• Produzione chimica
• Alimenti
• Fabbricazione (es. dispositivi medici, computer, auto, altri mezzi di trasporto etc.)
• Servizi digitali (es. marketplace, motori di ricerca, social network, servizi di registrazione di nomi a dominio etc.)
• Ricerca

Il terzo allegato riguarda le Pubbliche Amministrazioni e comprende:

• Amministrazioni centrali (Presidenza del Consiglio e Ministeri etc.)
• Amministrazioni regionali
• Amministrazioni locali (città metropolitane, comuni con più di 100.000 abitanti etc.)
• Altri enti pubblici

Infine, il quarto allegato riguarda altre tipologie di soggetti:

• Servizi di trasporto pubblico locale
• Istituti di istruzione e ricerca
• Soggetti di interesse culturale
• Società partecipate o a controllo pubblico

Il criterio dimensionale: esclusione di piccole e micro imprese

La NIS2 si applica a tutti i soggetti che rientrano negli Allegati III e IV. Invece, sono esclusi i soggetti che rientrano negli Allegati I e II se sono piccole o micro imprese, secondo la definizione di cui alla Raccomandazione 2003/361/CE.

Sono piccole imprese quelle che hanno contemporaneamente:

• meno di 50 dipendenti impiegati e
• meno di 10 milioni di fatturato annuo.

Invece, sono micro imprese quelle che hanno contemporaneamente:

• meno di 10 dipendenti e 
• meno di 2 milioni di fatturato annuo.

All’interno di gruppi societari, si utilizzano criteri diversi per valutare il requisito dimensionale. Nel caso di imprese associate o collegate, è necessario aggregare i dati delle eventuali imprese associate dell’impresa in questione, situate immediatamente a monte o a valle di quest’ultima. L’aggregazione è effettuata in proporzione alla percentuale di partecipazione al capitale o alla percentuale di diritti di voto detenuti (si sceglie la percentuale più elevata fra le due). Per le partecipazioni incrociate si applica la percentuale più elevata (art. 6 Allegato a Racc. 2003/361/CE).

Altri criteri di applicazione

Vi sono dei casi in cui la NIS2 è applicabile indipendentemente dal requisito dimensionale. I seguenti soggetti, rientrano nell’ambito di applicazione anche se sono piccole o micro imprese:

• I soggetti critici in base al D.Lgs. 134/2024, che recepisce la Dir. UE 2024/2557 (Direttiva CER relativa alla resilienza dei soggetti critici con riferimento a rischi ulteriori a quelli informatici).  Sono “soggetti critici” quegli enti pubblici o privati che forniscono servizi essenziali per il mantenimento di funzioni vitali della società, attività economiche, salute, sicurezza pubblica o ambiente (sostanzialmente quelli previsti nell’All. I della NIS 2), individuati specificamenti dalle Autorità Settoriali Competenti (ASC).
• Fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico.
• Prestatori di servizi fiduciari (es. servizi di firma elettronica, marcatura temporale, autenticazione dei siti web etc.).
• Gestione dei registri di nome a dominio di primo livello (Registry), fornitori di DNS, e fornitori di servizi di registrazione dei nomi a dominio (Registrar).

Società collegate a soggetti NIS2

La NIS2 è applicabile a prescindere dal criterio dimensionale per società collegate a soggetti NIS2 quando:

• adottano decisioni o esercitano una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica del soggetto NIS2;
• detengono o gestiscono sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto NIS2;
• effettuano operazioni di sicurezza informatica del soggetto NIS2;
• forniscono servizi ICT o di sicurezza al soggetto NIS2.

Si considerano collegate le società sulle quali un’altra esercita un’influenza notevole (1/5 del capitale o dei voti in assemblea o 1/10 per le società quotate).

Chi sono i soggetti essenziali ed i soggetti importanti

Una volta individuati i soggetti a cui è applicabile la normativa NIS2, questi vengono distinti in soggetti essenziali e soggetti importanti.

I soggetti essenziali hanno obblighi più stringenti e saranno sottoposti a controlli proattivi da parte dell’Agenzia per la Cybersecurity Nazionale (ACN).

Sono soggetti essenziali:

1. i soggetti ad alta criticità elencati nell’All. 1 che sono anche grandi imprese;
2. i soggetti critici in base al D.Lgs. 134/2004 (vedi sopra);
3. i fornitori di reti pubbliche di comunicazione elettronica e i fornitori di servizi di comunicazione elettronica accessibili al pubblico.
4. i prestatori di servizi fiduciari, i gestori dei registri di nomi a dominio e i gestori di servizi di DNS.
5. la pubbliche amministrazioni centrali.

Per esclusione, sono considerati soggetti importanti tutti gli altri che rientrano nel perimetro della NIS2.

Mettere in sicurezza la Supply Chain

Fra gli obblighi imposti dalla NIS2 vi è quello di mettere in sicurezza la catena di approvvigionamento dei fornitori (c.d. “Supply Chain“).

Di conseguenza, anche le imprese che non rientrano fra i soggetti obbligati per legge, potrebbero dover adottare le procedure e le misure di sicurezza richieste dalla NIS2 per lavorare con determinate tipologie di clienti. Questo vale soprattutto per le società che forniscono servizi informatici, come software house, Cloud Provider e MSP (Managed Service Provider) ma anche per tutti quei fornitori essenziali a garantire la continuità operativa dei soggetti NIS2.

La Roadmap verso l’adeguamento

Entro il 28 Febbraio 2025, tutti i soggetti che ritengono di rientrare nell’ambito di applicazione della NIS2, devono iscriversi su un portale messo a disposizione da ACN sul proprio sito web. Il termine è anticipato al 17 Gennaio 2025 per i fornitori di servizi di DNS, i gestori di registri di nomi a dominio, i fornitori di servizi di registrazione dei nomi a dominio, i fornitori di servizi in Cloud Computing, i fornitori di servizi di Datacenter, i fornitori di reti di distribuzione di contenuti, i fornitori di servizi gestiti e di servizi di sicurezza gestiti, i marketplace, i motori di ricerca e i social network.

Si prevede che il portale entrerà in funzione dal 1 Dicembre 2024 e, in ogni caso, non oltre il 1 Gennaio 2025.

Entro il 31 Marzo 2025, ACN deve redigere l’elenco dei soggetti essenziali ed importanti e comunicarlo ai soggetti interessati.

Coloro che hanno ricevuto la comunicazione di inserimento nell’elenco, dovranno aggiornare le proprie informazioni tra il 15 Aprile ed il 31 Maggio 2025.

Conclusioni

La NIS 2 ha un impatto significativo su un numero sempre maggiore di soggetti, ampliando il campo di applicazione e richiedendo alle organizzazioni di adottare misure proattive per migliorare la loro sicurezza informatica. Le aziende italiane, sia pubbliche che private, dovranno conformarsi a nuovi standard e procedure per garantire la resilienza dei loro sistemi e la continuità operativa dei servizi essenziali.

È fondamentale che le organizzazioni si preparino in anticipo, definendo strategie di gestione del rischio e assicurando la conformità ai requisiti previsti. La collaborazione con esperti del settore e l’implementazione di soluzioni tecnologiche adeguate possono rappresentare un vantaggio strategico per affrontare le nuove sfide della cybersecurity.

Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale.