S News – Saccone e Fragomeni: dalla NIS alla NIS 2 per rendere il Paese sempre più resiliente

di Umberto Saccone e Riccardo Fragomeni – 8 Gennaio 2025

La Direttiva (UE) 2016/1148, nota come Direttiva NIS (Network and Information Security), rappresenta il primo quadro normativo a livello europeo volto a rafforzare la sicurezza delle reti e dei sistemi informativi degli Stati membri. Adottata il 6 luglio 2016, la direttiva mirava a garantire un livello comune elevato di sicurezza informatica, promuovendo una maggiore resilienza delle infrastrutture critiche e un approccio coordinato alla prevenzione e gestione degli incidenti informatici.

La NIS, il Cybersecurity Act e la NIS 2

L’obiettivo principale della Direttiva NIS è stato quello di proteggere i servizi essenziali per il funzionamento della società e dell’economia, come l’energia, i trasporti, le banche, la sanità e le infrastrutture digitali. Essa ha imposto agli Stati membri di adottare strategie nazionali per la cybersicurezza, di identificare operatori di servizi essenziali (OSE) e fornitori di servizi digitali (FSD), e di istituire autorità competenti e squadre di risposta agli incidenti informatici (CSIRT).

Con la Direttiva NIS, l’Unione Europea ha posto le basi per un approccio sistemico e armonizzato alla sicurezza informatica, promuovendo la collaborazione tra i Paesi e garantendo una maggiore protezione contro minacce che potrebbero compromettere la continuità di servizi fondamentali.

La Direttiva è entrata in vigore l’8 agosto 2016. Gli Stati membri hanno avuto tempo fino al 9 maggio 2018 per recepirla nelle proprie legislazioni nazionali.

Fin da subito la direttiva si è posta come obiettivo quello di vederla applicare a due categorie di soggetti:

  1. Gli operatori di servizi essenziali (OSE) come:
    • Energia (elettricità, gas e petrolio)
    • Trasporti (aerei, ferroviari, marittimi e stradali)
    • Banche e mercati finanziari
    • Sanità
    • Infrastrutture digitali (punti di scambio internet, fornitori di DNS, ecc.)
    • Distribuzione dell’acqua potabile
  2. I fornitori di servizi digitali (FSD):
    • Motori di ricerca
    • Servizi cloud
    • Piattaforme di e-commerce

In sintesi, la Direttiva NIS ha contribuito a rafforzare la resilienza complessiva dell’UE, ma le criticità dovute alla frammentazione dell’attuazione tra i vari Stati membri è stata successivamente attenuata con una nuova normativa, la Direttiva NIS 2 (UE 2022/2555), che ha ampliato e rafforzato le disposizioni della Direttiva NIS originale.

Il percorso normativo che ha tratteggiato gli otto anni, dalla NIS del 2016 alla NIS 2 del 2022, ha certamente rafforzato la resilienza dell’Unione Europea anche se la sicurezza cibernetica richiede aggiornamenti costanti, adattabilità e cooperazione continua proprio perché le minacce si evolvono rapidamente, rendendo necessarie regole più stringenti e ampie

La Direttiva NIS (Network and Information Security Directive) in Italia è stata recepita con il D.Lgs. 65/2018 del 18 maggio 2018rappresentando il primo quadro normativo italiano dedicato alla sicurezza delle reti e dei sistemi informativi.  Il decreto stigmatizza che gli operatori devono adottare misure tecniche e organizzative per prevenire e mitigare i rischi legati alla sicurezza delle reti e dei sistemi informativi e che gli incidenti di sicurezza che hanno un impatto significativo devono essere segnalati tempestivamente al CSIRT (Computer Security Incident Response Team) nazionale. La norma stabilisce poi un meccanismo di cooperazione tra:

  1. Ministero dello Sviluppo Economico (MIMIT)
  2. Agenzia per la Cybersicurezza Nazionale (ACN)
  3. Ministero dell’Interno
  4. Polizia Postale

prevedendo sanzioni amministrative per gli Operatori di Servizi Essenziali (OSE) e per i Fornitori di Servizi Digitali (DSP), pubblici e privati, che non rispettano gli obblighi di sicurezza e notifica imposti dalla normativa.

L’anno successivo, il 2019, l’Unione Europea emanava il Regolamento UE 2019/881, noto anche come Cybersecurity Act che entra in vigore il 27 giugno 2019 con l’obiettivo di rafforzare l’ENISA (Agenzia dell’Unione Europea per la Cybersicurezza) per assistere gli Stati membri in caso di attacchi su larga scala, fornire linee guida per la sicurezza informatica, promuovere la cooperazione tra autorità nazionali e settore privato. Il regolamento ha istituito il primo sistema europeo di certificazione della cybersicurezza per prodotti, servizi e processi ICT con l’obiettivo di garantire che i prodotti e i servizi informatici venduti nell’UE soddisfacessero standard di sicurezza uniformi, rafforzando la fiducia e la protezione contro le minacce informatiche. Come vedremo in seguito il Cybersecurity Act è complementare e sinergico con la NIS 2. Il primo fornisce strumenti di certificazione per garantire che i prodotti ICT utilizzati siano sicuri, la NIS 2, invece, impone obblighi di sicurezza e resilienza agli operatori critici.

Il Perimetro di Sicurezza Nazionale Cibernetica (PSNC), il DPCM 131/2020 e la NIS 2

Nello stesso anno, il 21 settembre viene emanato in Italia con il DL 105/2019 – Perimetro di Sicurezza Nazionale Cibernetica (PSNC). Con questo decreto si è voluto creare un insieme di misure e regole che mirano a proteggere le proprie infrastrutture critiche da attacchi informatici, assicurando la continuità dei servizi essenziali per il Paese. L’obiettivo era quello di garantire che eventuali attacchi o incidenti cibernetici non compromettessero:

  • la sicurezza nazionale
  • la stabilità economica
  • il funzionamento dei servizi essenziali

Il Perimetro include:

  • enti pubblici (ministeri, enti governativi, ecc.)
  • aziende private strategiche (operatori di telecomunicazioni, banche, società energetiche, aziende sanitarie, ecc.)
  • infrastrutture critiche (es. centrali elettriche, reti di distribuzione, ospedali, trasporti),

i quali sono soggetti ad alcuni obblighi:

  1. Adozione di tecnologie e protocolli per difendersi dagli attacchi informatici.
  2. Monitoraggio continuo delle reti e delle infrastrutture.
  3. Obbligo di segnalare tempestivamente incidenti o anomalie al Computer Security Incident Response Team (CSIRT) nazionale.
  4. Le aziende che forniscono tecnologia o servizi digitali alle infrastrutture critiche devono sottoporsi a verifiche preventive.
  5. I soggetti devono predisporre piani di risposta e recupero in caso di attacchi cibernetici.

Nel decreto vengono previsti ruoli di diversi enti chiave:

  • l’ACN (Agenzia per la Cybersicurezza Nazionale) è Responsabile per la gestione e il coordinamento delle attività;
  • il CSIRT Italia è una struttura operativa dell’ACN  deputata a gestire la risposta agli incidenti informatici;
  • il DIS (Dipartimento delle Informazioni per la Sicurezza) coordina le attività di intelligence e sicurezza nazionale con un focus sulla protezione delle infrastrutture critiche.

In sintesi, il PSNC è un pilastro fondamentale per la difesa dell’Italia dalle minacce digitali e contribuisce a proteggere l’interesse nazionale e la sicurezza collettiva.

Il Decreto è stato successivamente regolamentato con il DPR 54/2021 (Regolamento di attuazione) e con il DPCM 131/2020 e il DPCM 81/2021.

Per l’appunto, nel 2020, con Il DPCM 131/2020 (Decreto del Presidente del Consiglio dei Ministri) si stabiliscono misure di protezione per le infrastrutture critiche e strategiche del Paese, per prevenire e mitigare attacchi informatici che potrebbero compromettere la sicurezza nazionale. Con il Decreto si istituisce l’elenco di soggetti pubblici e privati che gestiscono infrastrutture critiche o servizi essenziali per lo Stato come:

  1. Energia;
  2. Trasporti;
  3. Sanità;
  4. Telecomunicazioni;
  5. Finanza;
  6. Difesa,

i quali oltre ad adottare misure di sicurezza avanzate per proteggere le proprie reti e sistemi informativi sono obbligati a notificare incidenti di sicurezza significativi entro 6 ore dalla rilevazione al CSIRT nazionale (Computer Security Incident Response Team). Le forniture ICT (software, hardware e servizi tecnologici di rilevanza strategica) destinate alle infrastrutture critiche devono essere valutate preventivamente per evitare l’introduzione di vulnerabilità. Il decreto prevede sanzioni amministrative per i soggetti che non rispettano gli obblighi di sicurezza o omettono di notificare incidenti e, in caso di gravi inadempienze, possono essere imposte penalità economiche e la sospensione di forniture non conformi.

Il DPCM 131/2020 si integra con la Direttiva NIS 2 e il Cybersecurity Act UE 2019/881, contribuendo a creare un sistema nazionale di cybersicurezza in linea con gli standards europei.

Il DPCM 81/2021 e il Decreto 54/2021

L’anno successivo con il DPCM 81/2021 (Decreto del Presidente del Consiglio dei Ministri) si delinea l’organizzazione e il funzionamento dell’Agenzia per la Cybersicurezza Nazionale (ACN), istituita per rafforzare la resilienza cibernetica dell’Italia. Questo decreto definisce il ruolo, la struttura e i compiti dell’Agenzia, con l’obiettivo di proteggere le infrastrutture critiche e migliorare la sicurezza nazionale nel settore digitale.

Con il Decreto, l’ACN diventa il principale organo di coordinamento per la cybersecurity in Italia responsabile della protezione delle reti e dei sistemi informativi di soggetti pubblici e privati di rilevanza strategica coordinando e implementando le misure stabilite dal DPCM 131/2020 per la protezione delle infrastrutture critiche e supervisionando le valutazioni di sicurezza per l’acquisizione di tecnologie ICT destinate a settori critici.

Di fatto si è creato un ecosistema nazionale di cybersicurezza per proteggere l’Italia da minacce cibernetiche, ridurre la dipendenza da tecnologie straniere e promuovere lo sviluppo di soluzioni italiane nonché favorire la cooperazione pubblico-privato per migliorare la resilienza complessiva del sistema Paese.

In sintesi, il DPCM 81/2021 è uno dei decreti più rilevanti per la strategia italiana di cybersicurezza nazionale. Con l’istituzione dell’ACN, l’Italia si allinea alle migliori pratiche europee ed internazionali per proteggere il proprio ecosistema digitale da attacchi e minacce.

Ma solo con il Decreto 54/2021 del Presidente della Repubblica, in attuazione del D.L. 105/2019 (convertito con la L. 133/2019) che ha istituito il Perimetro di Sicurezza Nazionale Cibernetica, si è voluto regolamentare l’organizzazione e il funzionamento del Perimetro di Sicurezza Nazionale Cibernetica. Il Decreto stabilisce regole chiare per la gestione del rischio e la notifica degli incidenti di sicurezza informatica oltre le modalità con le quali identificare i soggetti pubblici e privati che rientrano nel Perimetro di Sicurezza Nazionale Cibernetica. I Soggetti Inclusi dovranno adottare misure di protezione avanzate per le reti, i sistemi informativi e i servizi ICT; procedere alla notifica obbligatoria di incidenti cibernetici significativi al CSIRT (Computer Security Incident Response Team) Italia; implementare i controlli ed effettuare audit periodici per verificare la conformità alle misure di sicurezza.

Le forniture di tecnologie ICT destinate a infrastrutture critiche devono essere sottoposte a valutazioni di sicurezza preventiva per evitare fornitori non affidabili. In caso di incidente dovranno segnalare l’evento entro sei ore dalla rilevazione e collaborare con il CSIRT per mitigare e risolvere l’attacco. L’ACN coordinerà la gestione del Perimetro di Sicurezza Nazionale Cibernetica svolgendo un ruolo centrale nell’attuazione del decreto e collaborando con gli altri Enti tra cui il DIS (Dipartimento delle Informazioni per la Sicurezza) e la Polizia Postale.

Di fatto il DPR 54/2021 rappresenta un pilastro fondamentale per la sicurezza cibernetica italiana allineando l’Italia agli standards europei e internazionali e rafforzando la collaborazione con altri Paesi.

Il decreto è una componente chiave della strategia di cybersicurezza nazionale. Attraverso questo provvedimento, l’Italia rafforza la propria capacità di prevenire, rilevare e rispondere alle minacce informatiche, proteggendo i settori più sensibili per la sicurezza e la stabilità del Paese.

Il ruolo di pivot dell’ACN

In tutto questo susseguirsi di norme il ruolo di pivot, attraverso il quale ruota la strategia di cyber Defence, è l’ACN istituita con il Decreto-legge 82/2021, con l’obiettivo di rafforzare la sicurezza cibernetica e la resilienza digitale dell’Italia. Questo decreto è stato convertito nella Legge 109/2021 del 4 agosto 2021 e rappresenta un pilastro fondamentale della strategia nazionale di cybersicurezza. L’ACN diventa l’Ente di riferimento per la cybersicurezza in Italia, gestisce e coordina il Perimetro di Sicurezza nazionale Cibernetica istituito per proteggere i settori chiave. Tra l’altro, in collaborazione con il CSIRT Italia (Computer Security Incident Response Team) è responsabile della rilevazione e gestione degli attacchi informatici, certifica e valuta la sicurezza dei prodotti ICT destinati a infrastrutture critiche e le forniture tecnologiche per enti pubblici pubblici e privati strategici. L’agenzia è poi chiamata a promuovere progetti di ricerca e sviluppo nel settore della cybersicurezza, effettuare formazione e sensibilizzazione sulla sicurezza informatica, promuovere collaborazione con Università e centri di ricerca. L’ACN collabora con :

  • DIS (Dipartimento delle Informazioni per la Sicurezza)
  • Ministeri e Forze dell’Ordine
  • Enti Privati promuovendo la cooperazione per proteggere le catene di fornitura ICT.

Il Decreto stabilisce poi sanzioni amministrative per enti e aziende che non rispettano le direttive in materia di sicurezza cibernetica. Le aziende che non notificano incidenti o non adottano misure adeguate di protezione ICT possono subire sanzioni economiche e interventi correttivi.

In sintesi, il DL 82/2021 segna un passaggio cruciale per la cybersicurezza nazionale con la creazione di un’agenzia dedicata a proteggere infrastrutture critiche, prevenire attacchi informatici e rafforzare la sovranità digitale del Paese. Le modalità di funzionamento dell’ACN vengono dettagliate con il Il DPCM 92/2022 (Decreto del Presidente del Consiglio dei Ministri), in continuità con il quadro normativo delineato dal D.L. 105/2019 e successivamente ampliato dai decreti attuativi, come il DPR 54/2021 e il DPCM 131/2020.

Con il DPCM 92/2022 si è voluto:

  • Definire le procedure operative per la protezione delle infrastrutture critiche nazionali.
  • Stabilire i meccanismi di intervento e controllo in caso di minacce cibernetiche.
  • Garantire la continuità e la sicurezza dei servizi essenziali e strategici per il Paese.

Il Decreto identifica poi le Infrastrutture Critiche e i settori strategici tra cui:

  • Energia;
  • Telecomunicazioni;
  • Trasporti;
  • Finanza;
  • Sanità;
  • Difesa.

Le forniture di beni e servizi ICT destinati alle infrastrutture critiche devono essere valutate e approvate prima dell’acquisto o dell’implementazione. Il decreto impone il controllo preventivo delle tecnologie utilizzate per ridurre i rischi di infiltrazione o attacchi attraverso fornitori non affidabili.

L’ACN è incaricata di monitorare l’attuazione delle misure di sicurezza e di eseguire audit e ispezioni sui soggetti inclusi nel perimetro. Il decreto introduce un meccanismo di reporting periodico per verificare il livello di protezione cibernetica e commina sanzioni amministrative per i soggetti che non rispettano gli obblighi di sicurezza o non notificano incidenti. In caso di inadempienze gravi, l’ACN può proporre interventi correttivi o sospendere forniture ICT che rappresentano una minaccia per la sicurezza nazionale.

In sintesi, Il DPCM 92/2022 è un tassello fondamentale per la sicurezza cibernetica dell’Italia, rafforzando il Perimetro di Sicurezza Nazionale Cibernetica e delineando le modalità di intervento, prevenzione e risposta alle minacce informatiche. Questo decreto rappresenta uno strumento essenziale per la protezione delle infrastrutture strategiche e dei servizi essenziali, contribuendo alla resilienza digitale nazionale.

La NIS 2

Il 16 gennaio 2023 per rispondere alle crescenti minacce alla sicurezza informatica e rafforzare la resilienza delle infrastrutture critiche il legislatore europeo emette la NIS 2 (UE) 2022/2555. L’iniziativa è spinta dal fatto che negli ultimi anni gli attacchi informatici sono diventati più sofisticati e frequenti, colpendo infrastrutture essenziali come energia, trasporti, sanità e servizi digitali. La pandemia ha ulteriormente esposto a vulnerabilità i sistemi digitali. In effetti la direttiva NIS dopo otto anni si è dimostrata insufficiente per affrontare minacce complesse e sistemiche.

Gli Stati membri sono stati chiamati ad adottare la Direttiva entro il 17 ottobre 2024. L’Italia l’ha recepita attraverso il DL 138 del 4 settembre 2024 pubblicato sulla Gazzetta Ufficiale il 1° ottobre 2024. Le disposizioni del Decreto sono entrate in vigore il 16 ottobre 2024. Dal 1° gennaio al 28 febbraio 2025 i soggetti che rientrano nelle categorie individuate devono registrarsi sulla piattaforma digitale dell’ACN. Entro il 1° gennaio 2026 le entità devono adeguarsi alle misure di sicurezza previste, incluse la gestione degli incidenti.

La NIS 2 si applica a più settori e soggetti rispetto alla precedente direttiva. I soggetti sono suddivisi in due categorie:

  • Entità Essenziali (EE): energia, trasporti, sanità, acqua potabile e reflua, infrastrutture digitali, servizi finanziari, pubblica amministrazione, spazio.
  • Entità Importanti (EI): servizi postali e di corriere, gestione rifiuti, industria chimica, alimentare, manifattura, fornitura di ICT.

Le entità devono adottare misure di gestione del rischio e implementare piani di continuità operativa in caso di attacco informatico. Obbligo di test periodici di sicurezza e formazione del personale. Introduzione di audit e controlli per verificare il rispetto delle misure di sicurezza.

Gli incidenti significativi devono essere notificati entro 24 ore dalla scoperta, con un rapporto dettagliato entro 72 ore. È richiesto un rapporto finale entro un mese, con dettagli sulle misure correttive adottate. Per il mancato rispetto delle norme sono previste sanzioni:

  1. Fino a 10 milioni di euro o il 2% del fatturato globale annuo per le entità essenziali.
  2. Fino a 7 milioni di euro o l’1,4% del fatturato globale annuo per le entità importanti.
  3. Responsabilità diretta del management in caso di mancata conformità.

Le aziende devono inoltre garantire che anche i fornitori e partners lungo la catena di approvvigionamento adottino misure di sicurezza adeguate. Particolare attenzione deve essere rivolta ai fornitori ICT critici. Viene istituito un meccanismo di cooperazione rafforzata tra i Paesi dell’UE per la condivisione di informazioni e la risposta congiunta alle minacce e il Gruppo di Cooperazione NIS[1] promuove lo scambio di buone pratiche e la gestione coordinata degli attacchi informatici su larga scala. Le autorità nazionali hanno poteri più ampi di vigilanza e possono condurre ispezioni e audit. Le entità devono fornire documentazione e collaborare attivamente con le autorità di supervisione. In pratica vengono introdotte  misure stringenti e requisiti di sicurezza che rendono complesso l’affidamento a fornitori di Paesi terzi.

Il Regolamento DORA, la Legge 28 giugno 2024, n. 90 e il Decreto Legislativo 4 settembre 2024, n. 138

Ultimo atto di questo complesso schema normativo Il Regolamento (UE) 2022/2554, noto anche come DORA (Digital Operational Resilience Act), è un regolamento dell’Unione Europea adottato il 27 dicembre 2022, che mira a rafforzare la resilienza operativa digitale nel settore finanziario. Fa parte del pacchetto di finanza digitale dell’UE e entrerà in vigore il 17 gennaio 2025 con l’obiettivo di garantire che il settore finanziario dell’UE sia in grado di prevenire, gestire e resistere a incidenti informatici e operativi integrandosi con la Direttiva NIS 2, il Cybersecurity Act e il Regolamento GDPR, contribuendo a creare così un quadro armonizzato di cybersicurezza e resilienza digitale nell’UE.

La Legge 28 giugno 2024, n. 90, intitolata “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, è stata pubblicata nella Gazzetta Ufficiale n. 153 il 2 luglio 2024 ed è entrata in vigore il 17 luglio 2024.

La legge mira a:

  • rafforzare la cybersicurezza nazionale: implementando misure per aumentare la resilienza delle infrastrutture digitali del Paese.
  • contrastare i reati informatici: introducendo disposizioni per prevenire e reprimere attività illecite nel cyberspazio.

La normativa si applica a:

  • Pubbliche amministrazioni centrali: come individuate dall’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196.
  • Regioni e province autonome: di Trento e Bolzano.
  • Città metropolitane e comuni: con popolazione superiore a 100.000 abitanti o capoluoghi di regione.
  • Società di trasporto pubblico: urbano ed extraurbano con specifici requisiti di bacino d’utenza.
  • Aziende sanitarie locali.

I soggetti sopra indicati sono tenuti a:

  • Segnalare: entro 24 ore dalla conoscenza, qualsiasi incidente riconducibile alle tipologie individuate nella tassonomia definita dall’Agenzia per la Cybersicurezza Nazionale (ACN).
  • Notificare: entro 72 ore, una relazione completa con tutti gli elementi informativi disponibili sull’incidente.

In caso di mancata notifica per una prima violazione: L’ACN comunica all’interessato che una reiterazione nell’arco di cinque anni comporterà sanzioni. Nel caso di reiterazione è prevista una sanzione amministrativa pecuniaria da €25.000 a €125.000. Inoltre, la violazione può comportare responsabilità disciplinari e amministrativo-contabili per i funzionari e dirigenti responsabili.

La legge stabilisce che i contratti pubblici per beni e servizi informatici devono rispettare specifici requisiti di cybersicurezza, definiti tramite un decreto della Presidenza del Consiglio dei Ministri, su proposta dell’ACN, da adottarsi entro 120 giorni dall’entrata in vigore della legge.

La legge introduce modifiche al Codice penale per:

  • Inasprire le pene: per i reati informatici esistenti.
  • Introdurre nuove fattispecie di reato: come l’estorsione mediante reati informatici.

Inoltre, estende l’applicazione di misure investigative speciali, come le intercettazioni, ai reati informatici di particolare gravità. L’articolo 629 del Codice Penale è stato aggiornato per includere l’estorsione realizzata mediante reati informatici (estorsione informatica), come l’accesso abusivo a sistemi informatici o telematici, il danneggiamento di dati o sistemi, e l’intercettazione illecita di comunicazioni informatiche. Le sanzioni per reati quali l’accesso abusivo a sistemi informatici, il danneggiamento di dati o sistemi, e l’intercettazione illecita di comunicazioni sono state inasprite, soprattutto quando tali reati sono commessi in danno di sistemi di interesse pubblico o militare.

Per i reati informatici, inclusa l’estorsione informatica, la durata massima delle indagini preliminari è stata estesa a due anni, mentre la disciplina delle intercettazioni prevista per i fatti di criminalità organizzata è stata estesa ai reati informatici coordinati dal Procuratore Nazionale Antimafia e Antiterrorismo. Le indagini preliminari relative ai reati informatici, inclusa l’estorsione informatica, sono ora attribuite alla Procura Distrettuale.

La legge ha poi considerato anche di valutare la responsabilità amministrativa degli enti (D.lgs. 231/2001). Il reato di estorsione informatica è stato inserito tra i reati presupposto per la responsabilità amministrativa degli enti. In particolare, l’articolo 24-bis del D.lgs. 231/2001 è stato integrato prevedendo sanzioni pecuniarie da trecento a ottocento quote[2] e sanzioni interdittive per una durata non inferiore a due anni in caso di condanna. Queste modifiche mirano a rafforzare la resilienza cibernetica del Paese, inasprendo le pene per i reati informatici e potenziando gli strumenti di prevenzione e contrasto. Il decreto si applica a una vasta gamma di soggetti pubblici e privati, tra cui:

  • Settori altamente critici: energia, trasporti, sanità, infrastrutture digitali, servizi finanziari, pubblica amministrazione, spazio.
  • Altri settori critici: servizi postali e di corriere, gestione rifiuti, industria chimica, alimentare, manifattura, fornitura di ICT.
  • Pubbliche amministrazioni: centrali, regionali e locali, con particolare attenzione alle amministrazioni con maggiore esposizione al rischio informatico.

I Soggetti coinvolti sono obbligati a:

  • adottare misure tecniche e organizzative adeguate per gestire i rischi di sicurezza informatica, implementando un approccio basato su un’analisi approfondita delle minacce e delle vulnerabilità dei sistemi;
  • notificare tempestivamente gli incidenti di sicurezza informatica significativi all’Agenzia per la Cybersicurezza Nazionale (ACN), seguendo procedure specifiche per la rilevazione, la risposta e il recupero da tali incidenti.
  • svolgere audit periodici per verificare l’adeguatezza delle misure di sicurezza adottate e garantire la conformità alla normativa, oltre a garantire una formazione continua per il personale al fine di prevenire e gestire eventuali incidenti di cybersicurezza.

Il decreto conferma l’Agenzia per la Cybersicurezza Nazionale (ACN) come:

  • Autorità nazionale competente NIS: responsabile dell’implementazione e dell’attuazione del decreto.
  • Punto di contatto unico NIS: assicura il raccordo nazionale e transfrontaliero in materia di cybersicurezza.
  • CSIRT Italia: gruppo di intervento nazionale per la sicurezza informatica in caso di incidente,

e prevede sanzioni amministrative pecuniarie per i trasgressori, che possono arrivare fino a 10 milioni di euro o al 2% del fatturato mondiale annuo, in caso di mancato adeguamento agli obblighi di cybersicurezza.

Il decreto è stato pubblicato nella Gazzetta Ufficiale n. 230 il 1° ottobre 2024. Le disposizioni del decreto sono divenute effettive a decorrere dal 18 ottobre 2024. Contestualmente il legislatore ha previsto l’abrogazione del Decreto Legislativo 65/2018 (Decreto che in Italia ha recepito la Direttiva NIS), con il Decreto Legislativo 4 settembre 2024, n. 138 con l’eccezione di alcuni articoli. Il decreto impone alle aziende e alle pubbliche amministrazioni una serie di misure atte a garantire un livello comune elevato di cybersicurezza, rafforzando la protezione dei sistemi informatici e delle infrastrutture critiche a livello nazionale ed europeo.

La Determinazione n. 38565/2024

La Determinazione n. 38565/2024, emanata il 26 novembre 2024 dal Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale (ACN), stabilisce i termini, le modalità e le procedure per l’utilizzo e l’accesso alla piattaforma digitale destinata alla registrazione dei soggetti NIS (Network and Information Security).

Questa determinazione, in vigore dal 1° dicembre 2024, definisce:

  • Le modalità di designazione del punto di contatto per i soggetti NIS.
  • Il procedimento per il censimento del punto di contatto come utente per accedere al Portale ACN.
  • Il procedimento per l’associazione dell’utenza del punto di contatto al soggetto per conto del quale opera.
  • Il procedimento per la registrazione tramite il Portale dei Servizi.

La registrazione è obbligatoria per le medie e grandi imprese, e in alcuni casi anche per le piccole e microimprese, nonché per le pubbliche amministrazioni a cui si applica la normativa NIS. Il periodo per effettuare la registrazione va dal 1° dicembre 2024 al 28 febbraio 2025. La mancata registrazione comporta una sanzione amministrativa pecuniaria fino allo 0,1% del fatturato annuo su scala mondiale del soggetto.

Conclusione

Il perimetro cyber nazionale italiano rappresenta un significativo passo avanti verso una maggiore protezione delle infrastrutture critiche, ma è un sistema ancora in evoluzione. Se da un lato le fondamenta normative e operative sono solide, dall’altro resta cruciale continuare ad investire in formazione, innovazione e collaborazione internazionale per affrontare minacce in costante mutamento.
In sintesi, il perimetro è ben delineato ma ancora migliorabile, soprattutto in termini di agilità, capacità operative e risposta alle nuove minacce emergenti.

[1] Il Gruppo di Cooperazione NIS è un organismo istituito nell’ambito della Direttiva NIS (Network and Information Security) dell’Unione Europea. Ha il compito di facilitare e rafforzare la cooperazione strategica tra gli Stati membri in materia di sicurezza delle reti e dei sistemi informativi.

[2] Le quote hanno un valore variabile da 258 a 1.549 euro.

UMBERTO SACCONE

Partner di Mead, ha trascorso 33 anni nell’Arma dei Carabinieri, di cui 25 nel Servizio di Intelligence Nazionale SISMI. Ha ricoperto incarichi operativi in diverse aree del Medio Oriente ed in Europa. Nel 2006 ha lasciato il Servizio per ricoprire l’incarico di Direttore della Security in ENI. In ragione della sua esperienza maturata nel mondo dell’intelligence, è membro di numerosi comitati scientifici. Sull’argomento ha scritto pareri ed articoli per giornali e riviste specializzate. Tra le sue pubblicazioni, “La Security aziendale nell’ordinamento italiano”, “Governare il rischio”, “Protocollo S” e “Il Dovere di Protezione – Manuale di Security Risk Management” – edito dalla Luiss University Press. In qualità di professore a contratto ha tenuto regolari corsi di intelligence e risk management presso l’Università Cattolica del Sacro Cuore di Milano. Dal 2021 è referente e Adjunct Professor presso la Luiss Business School nell’ambito del Corso Executive “Security Risk Management”. Nell’aprile 2017 è stato nominato Amministratore Unico della Port Autority Security dei Porti di Civitavecchia, Fiumicino e Gaeta, società in house ad intero capitale pubblico soggetta a controllo analogo, coordinamento e direzione dell’Autorità di Sistema Portuale del Mar Tirreno Centro Settentrionale. Laureato in Scienze Politiche, è Commendatore Ordine al Merito della Repubblica Italiana.

RICCARDO FRAGOMENI

Direttore Sistemi Informativi dell’Ospedale Israelitico di Roma è Coordinatore dell’Osservatorio Health Cybersecurity della Fondazione ICSA. Security Manager certificato UNI 10459:2017, ha partecipato come esperto a diversi progetti Europei per lo sviluppo di piattaforme informatiche a supporto della resilienza delle infrastrutture sanitarie da attacchi fisici e cyber. È stato Direttore del Dipartimento Informatico dell’Ospedale San Giovanni Calibita, Fatebenefratelli all’Isola Tiberina. Dal 1990 al 2000 titolare di diversi contratti di ricerca del CNR, Consiglio Nazionale delle Ricerche, e dell’Istituto Superiore di Sanità per lo sviluppo software di sistemi di telemetria e l’elaborazione e la rappresentazione di dati clinici sperimentali. Consulente di Ricerca presso il Laboratorio di Fisica Medica e Sistemi Esperti del Centro Ricerche Sperimentali Ospedale Regina Elena, IFO con applicazioni nel campo delle reti neuronali e logica fuzzy. Consulente per Engineering, Noemalife, Agenzia Spaziale Italiana ed Europea. Ha partecipato a pubblicazioni scientifiche nel campo dei sistemi software, a supporto dei sistemi complessi e di simulazione nel campo medico.

Leggi l’articolo su S News

ARTICOLI CORRELATIALTRO DALL'AUTORE