L’Italia si allinea alla Direttiva NIS 2: come cambia la Sicurezza Informatica Nazionale

La sicurezza informatica è al centro dell’agenda italiana con l’introduzione della Direttiva NIS 2, recepita attraverso lo schema di Decreto legislativo approvato dal Consiglio dei Ministri il 10 giugno 2024. Questo articolo esplora le principali novità della Direttiva NIS 2 e le sue implicazioni per la sicurezza informatica in Italia.

Cosa Prevede lo Schema di Decreto Italiano sulla Direttiva NIS 2

Il nuovo schema di Decreto ha l’obiettivo di migliorare la cybersicurezza nazionale e potenziare il coordinamento tra i Paesi dell’Unione Europea. Tra le principali misure introdotte:

• Strategia Nazionale di Cybersicurezza: Definisce gli obiettivi e le priorità per rafforzare la sicurezza informatica in Italia.
• Gestione delle Crisi Informatiche: Viene istituito un sistema di gestione delle crisi a livello nazionale.
• Agenzia per la Cybersicurezza Nazionale (ACN): L’ACN è confermata come l’autorità nazionale competente, con nuovi poteri specifici per l’attuazione della direttiva.
• Autorità di Settore NIS: Collaborano con l’ACN per gestire le operazioni legate alla sicurezza informatica.
• Identificazione dei Soggetti Critici: I criteri per identificare i soggetti pubblici e privati obbligati a rispettare gli standard di sicurezza informatica sono aggiornati, includendo soggetti “essenziali” e “importanti”.

Chi Sono i Soggetti Coinvolti

La Direttiva NIS 2 e il Decreto italiano stabiliscono obblighi specifici per diverse categorie:

• Soggetti essenziali e importanti: Classificati in base alla loro rilevanza per l’economia e la società, questi soggetti devono adottare rigide misure di sicurezza informatica.
• Organi di amministrazione e direttivi: Sono responsabili dell’implementazione delle misure di sicurezza.
• Fornitori di servizi di registrazione di domini: Devono garantire livelli adeguati di cybersicurezza.

Obblighi Principali per i Soggetti Coinvolti

I soggetti designati come essenziali o importanti devono adottare misure di gestione del rischio proporzionate.

Tra i principali obblighi:

• Notifica degli Incidenti: Gli incidenti rilevanti devono essere segnalati all’ACN entro 24 ore dalla scoperta, con aggiornamenti entro 72 ore e un rapporto finale entro un mese.
• Registrazione sulla Piattaforma ACN: I soggetti coinvolti devono fornire dettagli sulle loro attività e sistemi informatici.
• Uso di Prodotti Certificati: L’ACN può richiedere l’uso di prodotti e servizi con certificazioni di sicurezza.

Differenze tra Direttiva NIS 2 e Decreto Italiano

Sebbene la Direttiva NIS 2 fornisca un quadro uniforme per l’Unione Europea, lo schema di Decreto italiano introduce alcune variazioni:

• Criteri dimensionali: Il Decreto introduce ulteriori criteri, come l’importanza a livello nazionale o regionale dei soggetti.
• Norme Tecniche: Mentre la direttiva incoraggia l’uso di standard tecnici internazionali, il Decreto italiano include un elenco di tecnologie suggerite, ma non obbligatorie.
• Catena di Approvvigionamento: Il Decreto estende gli obblighi anche ai fornitori della catena di approvvigionamento di soggetti critici, ampliando così il numero di enti coinvolti.
• Sanzioni: Le violazioni della direttiva comportano sanzioni che devono essere proporzionate e dissuasive. In Italia, l’ACN ha l’autorità di definire i criteri per le sanzioni amministrative.

Cybersicurezza e Intelligence

Il Decreto prevede inoltre una stretta collaborazione con le attività di intelligence nazionale, con particolare attenzione alla gestione delle vulnerabilità informatiche attraverso una politica nazionale coordinata dall’ACN.

Conclusione: L’Impatto della Direttiva NIS 2 sulla Sicurezza Informatica Italiana

L’adozione della Direttiva NIS 2 da parte del legislatore italiano rappresenta un passo decisivo verso una maggiore resilienza alle minacce informatiche.

Le misure introdotte mirano a rafforzare la sicurezza informatica a livello nazionale, in linea con gli standard europei, promuovendo una collaborazione più stretta tra le autorità e i soggetti coinvolti.

____

Fonti

1) L’Italia si allinea alla NIS 2: cosa cambia per la sicurezza informatica, A. Bacchilega, V. Natale – https://www.agendadigitale.eu/sicurezza/litalia-si-allinea-alla-nis-2-ecco-le-nuove-norme-per-la-sicurezza-informatica/

2) Decreto attuativo NIS 2 in Italia: passo avanti nella cybersicurezza, L. Franchina, M. Versaci – https://www.cybersecurity360.it/outlook/decreto-attuativo-nis-2-in-italia-passo-avanti-nella-cybersicurezza/

3) Nis 2, cosa c’è nel decreto italiano: sanzioni, obblighi e incognite, A. Cataleta, C. Telmon – https://www.agendadigitale.eu/sicurezza/nis-2-ce-ce-nel-decreto-italiano-sanzioni-obblighi-e-incognite/