La direttiva NIS2 (Network Information Security) rappresenta un aggiornamento importante delle normative europee in materia di cybersecurity, con l’obiettivo di rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi nell’UE. Questo aggiornamento si è reso necessario a causa delle difformità applicative tra i diversi Stati membri rispetto alla precedente direttiva NIS, nonché delle crescenti minacce informatiche transfrontaliere che mettono a rischio le catene produttive globali. Questo, unito alla ripresa post-pandemica che ha ben evidenziato le carenze delle nostre filiere produttive e le difficoltà nel resistere ai crescenti attacchi informatici, ha portato alla necessità di un quadro normativo più esteso, sia a livello soggettivo che oggettivo.
La direttiva NIS2 introduce infatti un quadro normativo più ampio, che coinvolge un numero maggiore di soggetti e procedure, con l’obiettivo di garantire una risposta più efficace agli attacchi informatici interni e transfrontalieri. È importante sottolineare che la direttiva rappresenta un un set minimo e necessario di strumenti obbligatori che lascia poi agli Stati membri la possibilità di individuare altri soggetti critici da includere, finanche se sono sotto il limite dimensionale delle medie imprese. C’è stato un ampliamento dei settori rispetto alla precedente direttiva, passando da una decina di settori a diciotto. Tra questi rientrano: pubblica amministrazione, spazio, energia, telecomunicazioni, infrastrutture e servizi digitali, trasporti, tecnologia e ricerca, salute, ambiente, servizi postali, fabbricazione e alimentare. In generale, potremmo dire che dove c’è un mercato a rete, il rischio che un problema di sicurezza si estenda a terzi è molto elevato.
L’Italia ha recepito la Direttiva (UE) 2022/2555 con il decreto legislativo 4 settembre 2024, n. 138 (cd. decreto NIS), pubblicato sulla Gazzetta Ufficiale il 1° ottobre 2024, entrato in vigore il 16 ottobre 2024. Molto prima, è stata istituita un’Agenzia per la Cybersicurezza Nazionale (cd. ACN) come ente di riferimento per la materia NIS. Questa agenzia ha il compito di garantire una rapida applicazione nazionale della normativa e di indirizzare i soggetti coinvolti con poteri di vigilanza e sanzioni molto importanti. Vale la pena qui ricordare che possono essere applicate anche revoche di autorizzazioni o di certificazioni nei processi di verifica in cui è coinvolta l’ACN. Si tratta di strumenti dissuasivi potenzialmente molto efficaci per chi non ottempera a queste norme e non si adegua. Diciamo quindi che la normativa è ben assistita da sanzioni anche se lo scopo – ovviamente – non è quello di infliggere penalità di vario tipo, ma creare un diffuso senso di urgenza e di necessità nel tentativo congiunto di aumentare i livelli di cybersicurezza del Paese.
Per questo, l’autorità per la cybersicurezza ha creato anche un corposo pacchetto informativo con un sito internet dedicato, che contiene FAQ e materiale di supporto per facilitare la comprensione degli adempimenti NIS2. In questo modo, tutti possono acquisire gli elementi necessari di conoscenza attraverso il materiale di supporto, con una lettura attenta degli atti normativi di recepimento e le varie determinazioni dell’ACN.
Il governo italiano da parte sua, ha da tempo avviato un fitto calendario di attività, coinvolgendo con tavoli tecnici cd. “settoriali”, i soggetti già obbligati dalla precedente direttiva NIS ed informando settore per settore i nuovi enti assoggettati che entro il 28 febbraio di ogni anno, a partire da quest’anno, dovranno iscriversi ed aggiornare i dati nella piattaforma a loro dedicata messa a disposizione dall’ACN e, conseguentemente, comunicare informazioni tra cui la ragione sociale, l’indirizzo e i recapiti aggiornati, e la designazione di un punto di contatto.
La prima scadenza si appresta dunque al termine e sarà il primo banco di prova delle procedure in corso. Ma siamo solo all’inizio (cd. censimento). Le aziende dovranno effettuare un’analisi del rischio, valutare gli incidenti rilevanti e formare il personale per una migliore comprensione e risposta alle minacce cyber. In questo modo, i soggetti NIS dovranno implementare misure di sicurezza con un approccio multi-rischio e proporzionale. Le aziende saranno anche tenute a segnalare gli incidenti significativi entro tempi molto stretti, in modo da poter favorire – tra le altre cose – anche la condivisione di informazioni tra enti coinvolti (essenziali e importanti) e la collaborazione interistituzionale tra le autorità nazionali e quelle europee tra cui l’ENISA e EU-CyCLONe per la gestione coordinata di incidenti e crisi informatiche su larga scala.
È chiaro che la NIS2 non deve essere vista come un limite per le aziende, anche se innegabilmente per molti è un centro di costo per l’adeguamento estremamente rilevante, ma come un’opportunità per integrare la cybersecurity nel DNA aziendale. Si tratta di adottare un approccio che potremmo definire di “cybersecurity by design”, anche se ad alcuni non piace il richiamo all’impianto normativo della protezione dei dati personali, sembra invece evidente che in molti casi la struttura logica per l’adeguamento è molto assimilabile. Ora, guardando all’oggetto dell’attività e al bene tutelato, ovvero la cybersicurezza e la business continuity, le aziende dovranno garantire la solidità delle filiere, la qualità dei servizi e così guadagnarsi la fiducia dei clienti e del mercato. La sfida è stata lanciata: il tessuto produttivo del Paese l’avrà saputa cogliere appieno? E la PA? Lo scopriremo a breve.