NIS 2: obblighi, compliance e supply chain

martedì 21 Gennaio, 2025

Affrontare la NIS 2 richiede un approccio alla compliance e alla gestione della supply chain maggiormente organizzato e strutturato.
Alle aziende viene chiesto di adottare le opportune misure di sicurezza, di segnalare prontamente eventuali incidenti e mantenere un controllo rigoroso sui fornitori critici. Tutto ciò, anche allo scopo di evitare pesanti sanzioni.

Con la pubblicazione del Decreto Legislativo n. 138/2024 in Gazzetta Ufficiale, l’Italia ha ufficialmente recepito la Direttiva (UE) 2022/2555 (“NIS 2”), introducendo un quadro di obblighi e responsabilità più complesso in materia di sicurezza cibernetica.

In vigore dal 16 ottobre 2024, questo provvedimento impone ai soggetti coinvolti sfide operative più significative, adottando un approccio maggiormente incisivo rispetto alla normativa precedente.

AMBITO DI APPLICAZIONE E SOGGETTI DESTINATARI

Nella nuova normativa si può notare un sostanziale ampliamento del proprio ambito di applicazione soggettivo che, operando su una duplice direttrice, riflette la volontà del legislatore europeo di garantire una copertura più ampia ed efficace delle infrastrutture critiche.

Il decreto, attraverso quattro allegati, specifica i settori interessati:

• l’allegato I riguarda i settori ad alta criticità, tra cui energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile e acque reflue, infrastrutture digitali e spazio;
• l’allegato II riguarda settori ugualmente rilevanti quali servizi postali, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, produzione e distribuzione di alimenti, nonché la manifattura di dispositivi medici e computer.
• Gli allegati III e IV, specifici per il contesto italiano, estendono ulteriormente l’ambito applicativo includendo rispettivamente le amministrazioni pubbliche e settori quali il trasporto pubblico locale, gli istituti di ricerca e le società a controllo pubblico

La classificazione dei soggetti destinatari

Le organizzazioni con meno di 50 dipendenti e un fatturato annuo inferiore a 10 milioni di euro sono generalmente escluse dall’ambito di applicazione, salvo specifiche eccezioni espressamente previste dal decreto. Per i settori dell’allegato I, le medie imprese (con meno di 250 dipendenti e fatturato annuo non superiore a 50 milioni di euro) sono classificate come soggetti importanti, mentre le grandi imprese assumono la qualifica di soggetti essenziali.
Per i settori dell’allegato II, invece, sia le medie che le grandi imprese sono classificate come soggetti importanti, delineando così un sistema di obblighi graduato in base alla criticità del settore e alle dimensioni dell’organizzazione.

Supply Chain

Il decreto estende la propria applicazione anche ai fornitori critici dei soggetti essenziali e importanti, introducendo uno specifico regime di qualificazione che considera tali fornitori come soggetti importanti, con la possibilità per l’autorità nazionale competente di elevarli al rango di soggetti essenziali in base alla criticità del loro ruolo nella catena di approvvigionamento.
Tale approccio si applica indipendentemente dalle dimensioni del fornitore, riconoscendo come la sicurezza della catena di approvvigionamento rappresenti un elemento imprescindibile per garantire l’effettiva resilienza cibernetica del sistema nel suo complesso. La norma prevede inoltre specifici obblighi di due diligence nella selezione e nel monitoraggio dei fornitori, richiedendo ai soggetti destinatari di valutare non solo le vulnerabilità specifiche di ciascun fornitore, ma anche la qualità complessiva delle loro pratiche di sicurezza informatica e delle procedure di sviluppo sicuro.

OBBLIGHI DI NOTIFICA E GESTIONE DEGLI INCIDENTI

Il decreto introduce un articolato sistema di obblighi che si caratterizza per un approccio fortemente orientato alla gestione del rischio, richiedendo ai soggetti destinatari l’implementazione di misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi. Tale sistema si fonda su una logica di proporzionalità che tiene conto delle specificità dimensionali e settoriali di ciascun operatore, riconoscendo come le esigenze di sicurezza debbano necessariamente bilanciarsi con la sostenibilità economica e operativa delle misure richieste.

Notifica degli incidenti

Uno dei pilastri fondamentali del nuovo impianto normativo è costituito dal sistema di notifica degli incidenti che si caratterizza per una significativa evoluzione rispetto alla precedente disciplina. Nella nuova norma viene delineato un processo di comunicazione multilivello che si articola secondo tempistiche precise e differenziate in base alla natura e alla criticità dell’incidente.

La prima fase prevede una notifica preliminare, da effettuarsi entro 24 ore dalla scoperta dell’incidente, che deve contenere gli elementi strettamente necessari a consentire al CSIRT Italia di avviare l’analisi della situazione, con particolare riferimento alla natura dell’evento, alla sua potenziale origine dolosa o accidentale e alla possibilità di impatti transfrontalieri. Tale comunicazione iniziale deve includere anche una prima valutazione della gravità dell’incidente e gli eventuali indicatori di compromissione già identificati.

La seconda fase, che deve concludersi entro 72 ore dall’evento, prevede una notifica più strutturata e dettagliata, comprensiva di una valutazione approfondita dell’incidente, della sua gravità e del suo potenziale impatto, nonché delle prime misure di contenimento adottate. In questa fase devono essere forniti anche elementi più specifici relativi alle vulnerabilità sfruttate, ai sistemi compromessi e alle eventuali ripercussioni operative sui servizi erogati.

Il processo si conclude con una relazione finale, da presentarsi entro un mese dall’incidente, che deve fornire un quadro completo ed esaustivo dell’evento, includendo:

• un’analisi dettagliata della tipologia di minaccia e delle cause dell’incidente;
• una valutazione completa dell’impatto effettivo, incluse le eventuali ripercussioni transfrontaliere;
• una descrizione delle misure di mitigazione adottate e della loro efficacia;
• le lezioni apprese e le azioni preventive pianificate per evitare il ripetersi di eventi analoghi.

Gestione degli incidenti e supply chain

Per quanto riguarda la gestione degli incidenti che coinvolgono la supply chain il soggetto colpito è tenuto non solo a notificare l’evento alle autorità competenti, ma anche ad informare tempestivamente i propri fornitori critici e i soggetti potenzialmente impattati, previa consultazione con il CSIRT Italia. Tale disposizione riflette la crescente consapevolezza dell’interconnessione dei sistemi informativi e della necessità di un approccio coordinato alla gestione degli incidenti.

Procedure per la gestione delle comunicazioni al pubblico

Per la gestione delle comunicazioni al pubblico relative agli incidenti significativi, l’ACN, previa consultazione con il soggetto interessato, può informare il pubblico dell’incidente qualora la sua conoscenza sia necessaria per evitare il verificarsi di ulteriori incidenti o per gestire un incidente in corso.
Tale previsione bilancia l’esigenza di trasparenza con la necessità di tutelare la riservatezza delle informazioni sensibili e la reputazione dei soggetti coinvolti.

LA REGISTRAZIONE SULLA PIATTAFORMA DELL’ACN

Il primo passo concreto nell’attuazione del D.Lgs. 138/2024 consiste nella registrazione sulla piattaforma digitale dell’Agenzia per la Cybersicurezza Nazionale.
A partire dal 1° dicembre 2024, i soggetti essenziali e importanti devono intraprendere questo percorso di identificazione formale, che si configura come prerequisito fondamentale per l’operatività dell’intero sistema di sicurezza cibernetica.

Il meccanismo di registrazione si sviluppa attraverso tre passaggi fondamentali che riflettono la natura sistematica dell’approccio normativo. In primo luogo, ogni organizzazione deve procedere alla nomina di un punto di contatto NIS2, figura chiave destinata a gestire le interazioni con l’ACN; questa designazione si accompagna alla predisposizione di una dichiarazione dettagliata che fotografa lo stato dell’arte delle strutture e dei processi aziendali rilevanti per la cybersicurezza. Il processo si completa con la formalizzazione del legame tra il referente designato e l’organizzazione, creando così un quadro di responsabilità chiaramente definito.

Il termine del 28 febbraio 2025 per il completamento della registrazione acquisisce particolare rilevanza alla luce delle implicazioni operative e delle potenziali conseguenze sanzionatorie. Il legislatore ha infatti previsto un regime sanzionatorio incisivo, che può arrivare fino allo 0,1% del fatturato annuo mondiale per i soggetti inadempienti, sottolineando così la centralità di questo adempimento nel nuovo quadro normativo.

Per agevolare il processo di registrazione, l’ACN ha implementato una serie di strumenti operativi accessibili attraverso il proprio Portale ACN: in particolare, gli operatori possono accedere a una sezione dedicata che include video tutorial dettagliati sulla procedura di registrazione, documentazione tecnica specifica e un sistema di FAQ costantemente aggiornato per rispondere alle principali criticità applicative. La piattaforma di registrazione, accessibile tramite autenticazione SPID o CIE, è stata strutturata per guidare gli operatori attraverso un processo sequenziale che prevede la compilazione di specifiche sezioni informative.

SISTEMA SANZIONATORIO

Il sistema sanzionatorio introdotto dal decreto si caratterizza per una significativa incisività e per una modulazione delle sanzioni basata sulla distinzione tra soggetti essenziali e importanti. Per i primi, le violazioni più gravi possono comportare sanzioni fino a 10 milioni di euro o fino al 2% del fatturato annuo mondiale, mentre per i soggetti importanti i limiti sono fissati rispettivamente a 7 milioni di euro o all’1,4% del fatturato. Tale differenziazione riflette un approccio proporzionale che tiene conto non solo della criticità del ruolo svolto dai diversi operatori, ma anche della loro capacità economica.
Di particolare interesse risulta la previsione di sanzioni accessorie, che possono giungere fino alla sospensione temporanea delle certificazioni o autorizzazioni relative ai servizi erogati, nonché all’interdizione temporanea dei componenti degli organi di amministrazione dall’esercizio di funzioni dirigenziali.

CRITICITÀ APPLICATIVE

L’implementazione del D.Lgs. 138/2024 pone significative sfide interpretative e operative, particolarmente in relazione al coordinamento con il preesistente quadro normativo in materia di cybersecurity. La sovrapposizione degli obblighi di notifica previsti da diverse normative rappresenta una delle principali complessità: un soggetto che ricade contemporaneamente nell’ambito di applicazione della NIS 2 e del Perimetro di Sicurezza Nazionale Cibernetica deve infatti gestire requisiti potenzialmente divergenti in termini di tempistiche e modalità di comunicazione. Analogamente critica risulta l’interazione con la normativa privacy, specialmente in relazione agli obblighi di notifica dei data breach previsti dal GDPR, che richiede un attento coordinamento delle comunicazioni verso il CSIRT Italia e il Garante Privacy.

Per quanto riguarda la supply chain, il decreto richiede ai soggetti destinatari di implementare misure adeguate per il controllo dei fornitori critici, ma l’effettiva attuazione di tale obbligo si scontra con difficoltà pratiche significative, particolarmente nella gestione dei fornitori extra-UE e nell’implementazione di sistemi di monitoraggio efficaci. A ciò si aggiungono le nuove sfide in relazione alla qualificazione e certificazione dei fornitori di servizi cloud e di altri servizi digitali critici, per i quali si attende la definizione di standard tecnici dettagliati attraverso successivi atti implementativi.

PIANIFICAZIONE ATTIVITÀ DI ADEGUAMENTO

All’interno del quadro descritto, emergono alcune priorità d’azione che gli operatori dovrebbero considerare nella pianificazione delle attività di adeguamento.
Come prima cosa, risulta essenziale avviare tempestivamente una analisi strutturata che consideri non solo gli aspetti tecnici della compliance, ma anche gli impatti organizzativi e procedurali.

La gap analysys

Tale analisi dovrebbe concentrarsi in particolare su:

• revisione dei processi di gestione degli incidenti, con particolare attenzione alle procedure di escalation e alle tempistiche di notifica previste dal decreto;
• adeguamento dei sistemi di registrazione e monitoraggio per garantire la capacità di rilevare e documentare gli incidenti secondo i parametri richiesti;
• implementazione di procedure di valutazione del rischio per i fornitori che integrino i nuovi requisiti di sicurezza.

Definizione di ruoli e responsabilità organizzative

Dal punto di vista organizzativo, è necessario procedere alla definizione di ruoli e responsabilità chiari in materia di cybersecurity, con particolare riferimento alle figure chiave coinvolte nel processo di notifica degli incidenti.
Questo implica:

• la nomina di referenti specifici per i rapporti con l’ACN e il CSIRT Italia;
• la costituzione di team multidisciplinari che includano competenze tecniche, legali e di business continuity;
• l’implementazione di programmi di formazione continua per il personale coinvolto nella gestione degli incidenti.

Aggiornamento del proprio framework procedurale

Gli operatori dovranno coinvolti dovranno inoltre procedere all’aggiornamento del proprio framework procedurale, sviluppando o revisionando:

• le policy di incident management per includere le nuove tempistiche e modalità di notifica;
• i template per la documentazione degli incidenti allineati ai requisiti informativi previsti dal decreto;
• le procedure di comunicazione interna ed esterna in caso di incidente significativo;
• i contratti con i fornitori critici per includere clausole specifiche relative agli obblighi di sicurezza e cooperazione.

CALENDARIO ADEMPIMENTI

Il Decreto Legislativo n. 138/2024 stabilisce due fasi operative principali per i soggetti coinvolti: una fase di adeguamento iniziale per garantire la conformità ai nuovi requisiti e un regime di adempimenti annuali ricorrenti per il mantenimento della compliance.

Tempi di adeguamento iniziale (2024-2026)

• Entro il 28 febbraio 2025:
  • Completamento della registrazione iniziale sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale;
  • designazione del punto di contatto NIS 2, con trasmissione delle informazioni richieste (stato di sicurezza aziendale, ruoli di responsabilità, ecc.).
• Entro gennaio 2026:
  • avvio degli obblighi di notifica degli incidenti, con implementazione di sistemi strutturati per il rilevamento, l’analisi e la comunicazione degli eventi di sicurezza;
  • revisione delle procedure interne per garantire l’allineamento alle tempistiche e ai requisiti di notifica.
• Entro ottobre 2026:
  • implementazione delle misure di sicurezza tecniche e organizzative definite dal decreto, inclusi sistemi di logging, monitoraggio e gestione degli incidenti;
  • integrazione dei requisiti relativi alla supply chain, con particolare attenzione ai fornitori critici.

Adempimenti annuali ricorrenti (a partire dal 2027)

• aggiornamenti annuali (15 aprile – 31 maggio): presentazione degli aggiornamenti relativi a:
  • (i) politiche di sicurezza e incident management;
  • (ii) misure tecniche adottate per garantire la conformità continua.

• registrazione annuale (1 gennaio – 28 febbraio): aggiornamento delle informazioni sulla piattaforma ACN, incluse:
  • (i) dichiarazioni sulle modifiche intervenute nella struttura organizzativa o nei processi di sicurezza;
  • (ii) designazione o conferma del punto di contatto NIS 2.

• elenco annuale (entro il 31 marzo): invio dell’elenco aggiornato dei fornitori critici e delle eventuali modifiche intervenute nella supply chain.

Data: 21 Gennaio 2025
Categorie: Sostenibilità
Autore: Helinext
Letture articolo: 93