4 Dicembre 2024
News

Recepita la Direttiva NIS2: Quali operatori riguarda e cosa prevede

Il decreto legislativo 4 settembre 2024, n. 138, pubblicato nella Gazzetta ufficiale, recepisce la direttiva (UE) 2022/2555 sulla cibersicurezza nell’Unione Europea. Stabilisce misure per garantire un livello elevato di sicurezza informatica, imponendo obblighi di gestione dei rischi e notifica di incidenti per operatori nei settori digitale, energia, ambiente e trasporti. Le piccole imprese sono escluse dal recepimento, tranne in casi specifici. Le disposizioni entreranno in vigore dal 18 ottobre 2024 e riguardano diversi soggetti elencati negli allegati del decreto.

Quelle indicate nell’allegato I (Settori ad alta criticità) per i trasporti su strada sono le seguenti:

  • Per il settore trasporti, sottosettore trasporto su strada, le seguenti tipologie di soggetti:
  • autorità stradali – qualsiasi autorità pubblica responsabile della pianificazione, del controllo o della gestione delle strade che rientrano nella sua competenza territoriale (ex art 2, Regolamento delegato (UE) 2015/962), esclusi i soggetti pubblici per i quali la gestione del traffico o la gestione dei sistemi di trasporto intelligente costituiscono soltanto una parte non essenziale della loro attività generale;
  • gestori di sistemi di trasporto intelligenti o ITS (Intelligent Transport Systems) – sistemi in cui sono applicate tecnologie dell’informazione e della comunicazione, nel settore del trasporto stradale, infrastrutture, veicoli e utenti compresi, e nella gestione del traffico e della mobilità nonché per interfacce con altri modi di trasporto (art.4, punto 1) Dir. 2010/40/UE).

Il comma 2 dell’articolo 3 stabilisce che le disposizioni del decreto si applicano ai soggetti dei settori ad alta criticità e altri settori critici che superano i limiti per le piccole imprese, definiti nella raccomandazione 2003/361/CE. Secondo questa raccomandazione, una piccola impresa è un’azienda con meno di 50 dipendenti e un fatturato annuale o un totale di bilancio non superiore a 10 milioni di EUR. Il comma 4 specifica che per classificare un soggetto come media o grande impresa si applica l’articolo 6 della stessa raccomandazione, considerando anche l’indipendenza del soggetto dalle sue imprese collegate.

L’articolo 6, paragrafo 2, stabilisce che per le imprese associate o collegate, i dati devono essere determinati in base ai conti dell’impresa o, se disponibili, ai conti consolidati. Tuttavia, ci sono eccezioni per le piccole imprese: il d.lgs. 138/2024 si applica a tutte le imprese, indipendentemente dalle loro dimensioni, come indicato nei commi 5 e 9 dell’articolo 3.

  • ai soggetti che sono identificati come soggetti critici ai sensi del decreto legislativo che recepisce la direttiva (UE) 2022/2557. Sul tema si rimanda alla nota informativa Prot. n. 0007717/2024, disponibile nella sezione innovazione e trasporti del sito Confederale;
  • ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
  • ai prestatori di servizi fiduciari;
  • ai gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;
  • ai fornitori di servizi di registrazione dei nomi di dominio;
  • ai soggetti identificati prima della data di entrata in vigore del presente decreto come operatore di servizi essenziali ai sensi del decreto legislativo 18 maggio 2018, n. 65 (cd. “decreto legislativo NIS”);  
  • qualora il soggetto sia l’unico fornitore nazionale di un servizio che è essenziale per il mantenimento di attività sociali o economiche fondamentali;  
  • qualora una perturbazione del servizio fornito dal soggetto potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica;  
  • qualora una perturbazione del servizio fornito dal soggetto potrebbe comportare un rischio sistemico significativo, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero;
  • qualora il soggetto sia critico in ragione della sua particolare importanza a livello nazionale o regionale per quel particolare settore o tipo di servizio o per altri settori indipendenti nel territorio dello Stato;  
  • qualora il soggetto sia considerato critico ai sensi del presente decreto quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti.

I soggetti di cui agli ultimi 6 punti dell’elenco di cui sopra sono individuati dall’Autorità nazionale competente NIS e questa notifica a tali soggetti la loro individuazione.   

Il comma 10 dell’articolo 3, infine, dispone che il decreto si applica, indipendentemente dalle sue dimensioni, all’impresa collegata ad un soggetto essenziale o importante, se soddisfa almeno uno dei seguenti criteri:

  • adotta decisioni o esercita una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;
  • detiene o gestisce sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;
  • effettua operazioni di sicurezza informatica del soggetto importante o essenziale;
  • fornisce servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale.

Con riferimento alle imprese sopra indicate, la normativa prevede una loro suddivisione in soggetti essenziali e soggetti importanti in base alle dimensioni e servizi svolti. Nello specifico, in base a quanto indicato all’articolo 6, sono considerati essenziali:

  • i soggetti di cui all’allegato I (Settori ad alta criticità) che superano i massimali per le medie imprese. Si tratta, quindi, di imprese che occupano 250 o più persone, il cui fatturato annuo supera i 50 milioni di EUR oppure il cui totale di bilancio annuo supera i 43 milioni di EUR;
  • indipendentemente dalle loro dimensioni, i soggetti identificati come soggetti critici ai sensi del decreto legislativo che recepisce la direttiva (UE) 2022/2557. Sul punto, come già indicato, si rimanda alla citata nota informativa Prot. n. 0007717/2024;
  • i fornitori di reti pubbliche di comunicazione elettronica e i fornitori di servizi di comunicazione elettronica accessibili al pubblico di cui all’articolo 3, comma 5, che si considerano medie imprese;
  • indipendentemente dalle loro dimensioni, i prestatori di servizi fiduciari qualificati e i gestori di registri dei nomi di dominio di primo livello, nonché i prestatori di servizi di sistema dei nomi di dominio di cui all’articolo 3, comma 5.

Il decreto stabilisce che l’Autorità nazionale competente NIS identifichi i soggetti essenziali e importanti, che devono registrarsi sulla piattaforma digitale annualmente. I soggetti devono fornire informazioni aggiornate come ragione sociale, contatti e dettagli sui settori pertinenti. Entro il 31 marzo, l’Autorità redige un elenco di tali soggetti e comunica eventuali aggiornamenti. Dal 15 aprile al 31 maggio, i soggetti comunicati devono fornire ulteriori informazioni, inclusi indirizzi IP e nomi di dominio. Viene richiesto che i fornitori di servizi specifici inviino dettagli sulla loro sede e rappresentanza nell’UE. In caso di modifiche, la notifica deve avvenire entro quattordici giorni. Infine, l’articolo 24 impone misure di sicurezza tecniche e operative per gestire i rischi.

Tali misure:

  1. assicurano un livello di sicurezza dei sistemi informativi e di rete adeguato ai rischi esistenti, tenuto conto delle conoscenze più aggiornate e dello stato dell’arte in materia e, ove applicabile, delle pertinenti norme nazionali, europee e internazionali, nonché dei costi di attuazione;
  2. sono proporzionate al grado di esposizione a rischi del soggetto, alle dimensioni del soggetto e alla probabilità che si verifichino incidenti, nonché alla loro gravità, compreso il loro impatto sociale ed economico.

Il comma 2 dell’articolo 24 dispone che le misure di cui al comma 1 sono basate su un approccio multi-rischio, volto a proteggere i sistemi informativi e di rete nonché il loro ambiente fisico da incidenti, e comprendono almeno i seguenti elementi:

  1. politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete;
  2. gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche di cui agli articoli 25 (Obblighi in materia di notifica di incidente) e 26 (Notifica volontaria di informazioni pertinenti);
  3. continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro, ove applicabile, e gestione delle crisi;
  4. sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
  5. sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità;
  6. politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica;
  7. pratiche di igiene di base e di formazione in materia di sicurezza informatica;
  8. politiche e procedure relative all’uso della crittografia e, ove opportuno, della cifratura;
  9. sicurezza e affidabilità del personale, politiche di controllo dell’accesso e gestione dei beni e degli assetti;
  10. uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno.

Il comma 3 dell’articolo 24 stabilisce che i soggetti considerino le vulnerabilità specifiche dei loro fornitori e la qualità della sicurezza informatica per valutare le misure adeguate. Devono anche tenere in conto i risultati delle valutazioni dei rischi per le catene di approvvigionamento critiche. Il comma 4 richiede ai soggetti di adottare misure correttive tempestive se rilevano non conformità. Infine, il comma 1 dell’articolo 25 obbliga i soggetti essenziali e importanti a notificare al CSIRT Italia qualsiasi incidente significativo che influisca sui loro servizi senza ingiustificato ritardo.

  1. ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;
  2. ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

Il processo di notifica prevede tempistiche serrate. Come indicato al comma 5 dell’articolo 25, ai fini della notifica di cui al comma 1, i soggetti interessati trasmettono al CSIRT Italia:

  1. senza ingiustificato ritardo, entro 24 ore dalla conoscenza dell’incidente significativo, una pre-notifica che, se possibile, indichi se l’incidente possa essere il risultato di atti illegittimi o malevoli o avere un impatto transfrontaliero;
  2. senza ingiustificato ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell’incidente significativo, una notifica dell’incidente che, ove possibile, aggiorni le informazioni della pre-notifica e indichi una valutazione iniziale dell’incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione;
  3. su richiesta del CSIRT Italia, una relazione intermedia sui pertinenti aggiornamenti della situazione;
  4. una relazione finale entro un mese dalla trasmissione della notifica dell’incidente di cui alla lettera b), che comprenda: 1) una descrizione dettagliata dell’incidente, ivi inclusi la sua gravità e il suo impatto; 2) il tipo di minaccia o la causa originale che ha probabilmente innescato l’incidente; 3) le misure di attenuazione adottate e in corso; 4) ove noto, l’impatto transfrontaliero dell’incidente;
  5. in caso di incidente in corso al momento della trasmissione della relazione finale, una relazione mensile sui progressi e una relazione finale entro un mese dalla conclusione della gestione dell’incidente.

Il testo riguarda gli obblighi e le responsabilità dei prestatori di servizi fiduciari e del CSIRT Italia in merito alla gestione degli incidenti significativi che impattano la fornitura di servizi. I prestatori devono notificare tali incidenti entro 24 ore dalla loro scoperta. Il CSIRT Italia deve rispondere alle notifiche, fornendo supporto e orientamenti, e se necessario, assistere nella segnalazione di incidenti criminali.

I soggetti essenziali e importanti devono comunicare gli incidenti significativi ai destinatari dei loro servizi e informare su minacce informatiche. L’Agenzia per la cybersicurezza nazionale può informare il pubblico sugli incidenti significativi e promuovere l’uso di categorie di prodotti e servizi TIC certificati. Si evidenzia inoltre la raccolta di dati di registrazione dei nomi di dominio da parte dei gestori e l’importanza di mantenere informazioni accurate.

L’Autorità nazionale competente NIS stabilisce obblighi proporzionati in base ai rischi e fornisce linee guida vincolanti, considerando le dimensioni e la natura dei soggetti coinvolti. Specifici obblighi possono essere imposti ai soggetti che forniscono servizi alla pubblica amministrazione in caso di incidenti significativi.

Gli organi di amministrazione e direttivi dei soggetti essenziali e importanti devono attivamente garantire la compliance alla normativa sulle misure di gestione dei rischi per la sicurezza informatica, approvando e sovrintendendo alla loro implementazione. Sono responsabili delle violazioni delle disposizioni e possono incorrere in sanzioni specifiche. Devono essere informati sugli incidenti e ricevere formazione in materia di sicurezza informatica. L’Agenzia per la cybersicurezza è l’autorità competente per monitorare l’applicazione della Direttiva NIS 2 e stabilire sanzioni. Le sanzioni variano in base al soggetto e alla violazione, con limiti massimi di euro 10.000.000 per soggetti essenziali e euro 7.000.000 per soggetti importanti, con minimi sanzionatori stabiliti.

Le sanzioni di cui sopra sono relative alla violazione dei seguenti obblighi:

  • mancata osservanza degli obblighi imposti dall’articolo 23 agli organi di amministrazione e direttivi;
  • inosservanza degli obblighi relativi alla gestione del rischio per la sicurezza informatica e alla notifica di incidente di cui agli articoli 24 e 25;
  • inottemperanza delle disposizioni adottate dall’Autorità nazionale competente NIS ai sensi dell’articolo 37, commi 3 e 4, e alle relative diffide.

Ai commi 10 e 11 dell’articolo 38 sono previste sanzioni amministrative pecuniarie per violazioni meno gravi, sotto riportate che, per i soggetti essenziali sono fino a un massimo dello 0,1% del totale del fatturato annuo su scala mondiale per l’esercizio precedente mentre, per i soggetti importanti, fino a un massimo dello 0,07% del totale del fatturato. Rimangono validi i minimi edittali di cui sopra. 

Le violazioni sono relative a:

  1. mancata registrazione, comunicazione o aggiornamento delle informazioni sulla piattaforma digitale resa disponibile dall’Autorità nazionale competente NIS;  
  2. inosservanza delle modalità stabilite dall’Autorità nazionale competente NIS per la comunicazione delle informazioni ai sensi dell’articolo 7;
  3. mancata comunicazione o aggiornamento dell’elenco delle attività e dei servizi nonché della loro categorizzazione ai sensi dell’articolo 30, comma 1;
  4. mancata implementazione o attuazione degli obblighi relativi all’uso di schemi di certificazione, alla banca dei dati di registrazione dei nomi di dominio nonché alle previsioni settoriali specifiche di cui agli articoli 27, 29 e 32;
  5. mancata collaborazione con l’Autorità nazionale competente NIS nello svolgimento delle attività e nell’esercizio dei poteri di monitoraggio, vigilanza ed esecuzione di cui al Capo V; 
  6. mancata collaborazione con il CSIRT Italia.

Il testo tratta delle sanzioni in caso di violazioni delle disposizioni del decreto, specificando che in caso di reiterazione, le sanzioni possono triplicare. Si evidenzia l’importanza della registrazione sulla piattaforma digitale dell’Autorità nazionale competente NIS e si stabiliscono sanzioni accessorie, come la sospensione temporanea di certificati o autorizzazioni in caso di inottemperanza a diffide. Viene anche menzionata la responsabilità del management per eventuali mancanze.

Si stabilisce che diversi fornitori di servizi devono registrarsi entro il 17 gennaio 2025 e che i termini per l’adempimento degli obblighi in materia di notifica di incidente e gestione dei rischi di sicurezza informatica sono fissati in nove e diciotto mesi, rispettivamente, dalla comunicazione di inserimento nell’elenco dei soggetti essenziali. Infine, l’obbligo di comunicazione e aggiornamento delle attività e dei servizi si applicherà a partire dal 1° gennaio 2026.

Scopri di più da Truck24

Abbonati ora per continuare a leggere e avere accesso all'archivio completo.

Continua a leggere