Dejan KosuticL’Italia ha recepito la Direttiva NIS 2 dell’Unione Europea nella propria legislazione locale pubblicando il Decreto Legislativo n. 138 del 4 settembre 2024.
Quindi, come si colloca questo Decreto Legislativo rispetto alla Direttiva NIS 2 e quali sono i requisiti aggiuntivi?
Il Decreto italiano segue molto da vicino il NIS2; tuttavia, ne estende l’applicazione ad alcuni settori che non erano coperti dal NIS2, e specifica inoltre requisiti più precisi per la revisione e la supervisione.
Le basi del decreto legislativo italiano NIS2
Come previsto dalla NIS2, il Decreto Legislativo n. 138 (nel testo: Decreto Legislativo NIS2) recepisce la Direttiva NIS2 all’interno della legislazione italiana. Il suo obiettivo primario è quello di mitigare i rischi relativi alla cybersecurity associati alle organizzazioni di infrastrutture critiche (definite entità essenziali e importanti) e di migliorare la resilienza delle loro reti e dei loro sistemi informativi. Inoltre, delinea le principali responsabilità degli enti governativi incaricati di applicare le misure per la cybersecurity in Italia.
Il testo completo del Decreto Legislativo n. 138 può essere consultato qui (in italiano): https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG
Questo articolo si concentrerà sugli obblighi relativi alla cybersecurity che le entità essenziali e importanti devono rispettare in base al decreto. Il ruolo degli enti governativi responsabili di garantire la conformità a questa legge non sarà al centro di questa discussione.
Similitudini e differenze
Le principali analogie e differenze tra il Decreto Legislativo NIS2 italiano e la Direttiva NIS2 dell’UE sono riassunte nella seguente tabella:
| Italian NIS2 Legislative Decree compared to EU NIS2 Directive | |
| Quali aziende devono essere conformi | Gli stessi criteri del NIS2, ma solo per le aziende registrate in Italia.
L’eccezione è rappresentata dai fornitori di infrastrutture digitali – devono essere conformi al Decreto Legislativo NIS2 indipendentemente dal luogo in cui sono registrati, se forniscono servizi in Italia. Inoltre, elenca i criteri cui le piccole imprese dei 18 settori devono conformarsi, e prescrive inoltre gli obblighi di conformità per le città metropolitane, i comuni con più di 100.000 abitanti, le ASL, i servizi di trasporto pubblico locale, le istituzioni scolastiche che svolgono attività di ricerca e i soggetti che svolgono attività di interesse culturale. |
| Scadenze | Le aziende devono registrarsi presso l’autorità competente entro il 28 febbraio 2025 .
Conformità ai requisiti di notifica degli incidenti: 9 mesi dal ricevimento della comunicazione dell’autorità competente relativa all’inclusione della società nel registro delle entità essenziali e importanti. Conformità ai requisiti di governance e gestione del rischio: 18 mesi da ricevimento della notifica da parte dell’autorità competente. |
| Responsabilità dell’Alta Direzione | La stessa della NIS2. |
| Importanza della formazione | La stessa della NIS2. |
| Approccio alla sicurezza informatica basato sul rischio | La stessa della NIS2. |
| Misure di sicurezza informatica | La stessa della NIS2. |
| Sicurezza della catena di approvvigionamento | La stessa della NIS2. |
| Obblighi di segnalazione degli incidenti | Come per la NIS2, ma il CSIRT Italia è specificato come punto di contatto chiave. |
| Utilizzo di prodotti e servizi IT certificati | La stessa della NIS2. |
| Supervisione e applicazione | Requisiti più dettagliati su monitoraggio, analisi, audit e ispezioni. |
| Multe | La stessa della NIS2. |
| Requisiti completamente nuovi | (nessuno) |
Quali organizzazioni devono conformarsi al Decreto Legislativo NIS2?
Il Decreto Legislativo NIS2 italiano si applica alle aziende (che appartengono ai 18 settori previsti dal NIS2) registrate in Italia e che forniscono prodotti o servizi in qualsiasi Paese dell’UE. Esiste tuttavia un’eccezione: i fornitori di infrastrutture digitali devono rispettare il Decreto Legislativo NIS2 anche se non sono registrati in Italia, se forniscono servizi nel Paese.
Il Decreto Legislativo di recepimento NIS2 definisce gli stessi criteri della direttiva NIS2 per classificare le aziende e le organizzazioni come entità essenziali e importanti. Inoltre, il Decreto Legislativo NIS2 italiano prevede requisiti specifici che vanno oltre il quadro standard NIS2:
- Le città metropolitane, i comuni con più di 100.000 abitanti e le autorità sanitarie locali sono considerate entità importanti se giudicate cruciali per le attività sociali o economiche.
- Anche i servizi di trasporto pubblico locale, le istituzioni educative che conducono ricerche e gli enti che svolgono attività di interesse culturale sono classificati come enti importanti a condizioni specifiche.
Scadenze
Ai sensi del Decreto Legislativo NIS2, le entità devono rispettare le seguenti scadenze:
- Registrazione: Le entità devono registrarsi presso l’autorità competente entro il 28 febbraio 2025.
- Conformità alla notifica degli incidenti: Le entità devono conformarsi agli obblighi di notifica degli incidenti entro 9 mesi dal ricevimento della notifica da parte dell’autorità competente della loro inclusione nel registro delle entità essenziali e importanti.
- Conformità alla governance e alla gestione del rischio: Le entità devono soddisfare i requisiti di governance e di gestione del rischio entro 18 mesi dal ricevimento della notifica da parte dell’autorità competente.
Supervisione e applicazione
In base al decreto legislativo italiano di recepimento NIS2, l’autorità nazionale (Agenzia per la Cybersicurezza Nazionale) effettua il monitoraggio e l’analisi della conformità, utilizzando una piattaforma digitale centralizzata in cui le entità registrano e aggiornano le informazioni sul rischio.
Può richiedere verifiche periodiche o ad hoc, da parte di organismi indipendenti o di propri funzionari, per valutare il grado di attuazione delle misure di sicurezza da parte dei soggetti interessati. Gli audit possono essere effettuati periodicamente o in risposta a specifici fattori (ad esempio, un incidente). L’autorità effettua anche ispezioni, sia sul sito che al di fuori del sito, concentrandosi sulla configurazione dei sistemi, sui registri, sui rapporti sugli incidenti e sulla preparazione generale in materia di cybersecurity.
La mancata collaborazione o il mancato rimedio ai problemi individuati possono portare a misure esecutive, tra cui ordini vincolanti o ammende. Questo approccio basato sul rischio mira a garantire che la vigilanza rimanga flessibile, proporzionata e allineata ai principi della NIS2 e alle esigenze specifiche delle infrastrutture critiche e dei servizi pubblici italiani.
Multe
In linea con la Direttiva NIS2, il Decreto Legislativo italiano NIS2 prevede sanzioni significative in caso di non conformità. Per i soggetti privati essenziali, le multe possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale (se superiore). Per le entità private importanti, il limite massimo è di 7 milioni di euro o dell’1,4% del fatturato.
Il decreto italiano , tuttavia, fissa anche dei massimali più bassi per gli enti governativi e gli enti sotto controllo pubblico (come gli enti locali), con un tetto massimo di 125.000 euro per gli enti essenziali e importi ridotti per quelli importanti.
Le violazioni ripetute o deliberate possono comportare multe più elevate, a seguito di una valutazione basata sul rischio. Le autorità valutano fattori quali la gravità dell’incidente, le violazioni precedenti, il livello di cooperazione e la rapidità con cui l’ente ha posto rimedio alle violazioni. Se le entità non riescono a correggere i problemi entro le scadenze richieste, possano essere adottate misure aggiuntive, come la sospensione temporanea delle attività.
Requisiti uguali a quelli della NIS2
Il Decreto Legislativo italiano di recepimento della NIS2 contiene molti elementi che sono gli stessi della Direttiva NIS2 dell’UE:
- Responsabilità dell’alta direzione – vedi i qui dettagli (in inglese): What is NIS 2 Directive? A detailed and straightforward guide
- Importanza della formazione – per saperne di più (in inglese): How to perform training and awareness according to NIS 2
- Approccio alla cybersecurity basato sul rischio – per saperne di più (in inglese): The 8 most important cybersecurity and reporting requirements in NIS2
- Cybersecurity come combinazione di misure tecniche, operative e organizzative – vedi anche (in inglese): List of required documents according to NIS 2
- Sicurezza della catena di approvvigionamento
- Obblighi di segnalazione degli incidenti – vedi anche (in inglese): What are reporting obligations according to NIS 2?
- Utilizzo di prodotti e servizi IT certificati
Tuttavia, il decreto legislativo NIS2 definisce che il governo italiano emanerà norme che specificheranno ulteriormente l’attuazione di questo decreto, quindi una volta che ciò avverrà, queste saranno certamente più dettagliate della direttiva NIS2.
Decreto legislativo italiano NIS2 a confront con la Direttiva UE NIS2
Nel complesso, il Decreto Legislativo italiano NIS2 segue molto da vicino la NIS2; tuttavia, ne estende l’applicazione ad alcuni settori che non erano coperti dalla NIS2 e specifica inoltre requisiti più precisi per la revisione e la vigilanza.
Naturalmente, molto dipenderà dalle ulteriori norme che verranno pubblicate dal governo italiano, perché sicuramente prescriveranno requisiti di cybersecurity più dettagliati, come quelli già pubblicati in alcuni altri Paesi dell’UE.
Per trovare tutti i documenti necessari per conformarsi alla direttiva NIS2, consulta questo Kit Documentazione NIS2 che include tutte le politiche, le procedure, i piani e altri modelli.
