NIS 2: scade il 28 febbraio il censimento su ACN

Le organizzazioni pubbliche e private obbligate al censimento si possono registrare on line, entro il 28 febbraio 2025, sul portale di ACN – Agenzia per la Cybersicurezza Nazionale – a questo link.

Entrata in vigore e registrazione delle imprese sul portale ACN

Il 16 ottobre 2024 è entrata in vigore la nuova normativa europea Network and Information Security (NIS 2) , recepita in Italia con il Decreto Legislativo n. 138 del 4 settembre 2024.

L’Agenzia per la Cybersicurezza Nazionale (ACN) è stata designata come Autorità competente per l’attuazione e il monitoraggio della direttiva NIS. Tra i nuovi obblighi, vi è la registrazione obbligatoria sul portale servizi ACN, prevista per tutte le imprese a cui si applica la normativa. Le aziende possono registrarsi sul portale dell’ACN dal 1° dicembre 2024 al 28 febbraio 2025, a questo link.

La registrazione, prevista dall’articolo 7 del decreto, è regolata nei dettagli da termini, modalità e procedimenti definiti nella Determinazione n. 38565/2024. Prima di procedere, il soggetto obbligato deve nominare un punto di contatto, generalmente un dipendente formalmente nominato dal rappresentante legale dell’organizzazione.

Il processo di registrazione prevede il censimento del punto di contatto, la sua associazione al soggetto obbligato e infine, la compilazione della dichiarazione NIS 2. La mancata registrazione comporta una sanzione amministrativa.

La direttiva NIS 2 intende dare una risposta alla fragilità del sistema di cybersicurezza europeo continuamente assoggettato a attacchi informatici che apportano un notevole danno economico e reputazionale ai detentori di banche dati.
La nuova direttiva mira a diffondere una cultura della sicurezza che coinvolge tutti gli aspetti dell’organizzazione pubblica e privata, dalle tecnologie adottate alla formazione continua del personale.

L’autorità NIS ACN può disporre nei confronti delle persone fisiche responsabili di soggetti essenziali o importanti che non adempiono alle prescrizioni, l’applicazione della sanzione amministrativa accessoria della incapacità a svolgere funzioni dirigenziali all’interno del medesimo soggetto.

Le aziende che non si adeguano alla direttiva NIS 2 rischiano sanzioni pecuniarie che possono arrivare fino a 10 milioni di euro o il 2% del fatturato globale annuo dell’azienda, come stabilito dall’articolo 21 e dall’articolo 23.

Actainfo può supportare le organizzazioni pubbliche e private nel passaggio agli obblighi della NIS2. Trovate informazioni dettagliate qui https://www.actainfo.it/cybersecurity/

Le novità di NIS 2

La nuova direttiva dell’Unione Europea NIS 2 non è una semplice revisione della precedente.
L’adozione volontaria della direttiva NIS originale viene abolita de NIS 2 obbligatoria per determinate entità.
L’UE prevede sanzioni finanziarie, simili a quelle previste dal GDPR n. 2016/679 per la protezione dei dati personali. I requisiti della NIS 2 includono controlli tecnici più rigorosi per garantire la sicurezza delle operazioni ed estendono lo scopo della direttiva oltre l’ambiente IT interno di enti e aziende.

Tra i maggiori cambiamenti si evidenzia la sostituzione del complesso processo di identificazione nelle mani degli Stati Membri (Art 5 NIS 1) con un sistema di auto identificazione basato su settori e dimensioni delle entità pubblica o private.
In questo senso, l’articolo 2 della nuova direttiva NIS 2 specifica l’applicazione delle nuove regole a tutte le entità che rientrano nella definizione di media impresa, o che superano i massimali per le medie imprese e che forniscono i loro servizi o svolgono le loro attività all’interno dell’Unione.

NIS 2, inoltre, individua alcune tipologie di entità per cui la dimensione non è rilevante, rendendole comunque soggette alla direttiva.

Un’altra novità è la sostituzione delle categorie di NIS 1, ossia operatori di servizi essenziali (OES) e fornitori di servizi digitali (DSP), con le nuove categorie di “entità essenziali” e “entità importanti”.

Le entità soggette alla NIS 2 dovranno fornire informazioni specifiche alle autorità competenti riguardo l’elenco degli Stati membri di soggetti essenziali e importanti, nonché la registrazione presso l’Agenzia dell’Unione europea per la cybersicurezza (ENISA). Gli Stati membri possono adottare processi nazionali che richiedono ai soggetti di registrarsi al fine di stabilire e aggiornare l’elenco.

NIS 2: per chi è obbligatoria

NIS 2 si rivolge a entità essenziali e entità importanti. Le imprese sono considerate essenziali se operano in uno dei settori ad alta criticità elencati nell’Allegato 1 e hanno più di 250 dipendenti o un fatturato annuo superiore a 50 milioni di Euro.
Settori ad Alta Criticità (Allegato 1)

• Energia: Elettricità, petrolio, gas, idrogeno, riscaldamento e raffreddamento
• Trasporti: Strada, ferrovia, aria e acqua
• Bancario: Banche, borse, istituzioni finanziarie
• Sanità: Ospedali, laboratori, centri di ricerca, farmacie e dispositivi medici
• Acqua: Acque reflue e acqua potabile
• Infrastruttura digitale: Data center, cloud computing, fornitori DNS ecc.
• Servizi ICT: Servizi gestiti e servizi di sicurezza gestiti
• Pubblica amministrazione: Entità governative centrali e regionali
• Spazio: Operatori di infrastrutture terrestri

Altri Settori Critici (Allegato 2)

• Posta e corrieri: Spedizione di posta e pacchi
• Gestione dei rifiuti: Raccolta, trattamento e riciclaggio dei rifiuti
• Prodotti chimici: Produzione e distribuzione di prodotti chimici
• Alimentare: Produzione, lavorazione e distribuzione di generi alimentari
• Manifatturiero: Produttori di dispositivi medici, macchinari, veicoli e dispositivi elettrici/elettronici
• Servizi digitali: Motori di ricerca, mercati online e reti sociali
• Ricerca: Organizzazioni di ricerca

Le aziende che non sono considerate essenziali, ma appartengono comunque a uno dei settori elencati nell’Allegato 1 o nell’Allegato 2 e hanno più di 50 dipendenti o un fatturato annuo superiore a 10 milioni di Euro sono considerate entità importanti. In altre parole, la distinzione tra entità essenziali e importanti è la seguente:

• Entità essenziali: Grandi aziende (>250 dipendenti) in un settore dell’Allegato 1.
• Entità importanti: Aziende di medie dimensioni (>50 dipendenti) dell’Allegato 1 e aziende grandi e medie dell’Allegato 2.

Le aziende con meno di 50 dipendenti possono comunque essere soggette alla NIS 2 se sono l’unico fornitore di un servizio essenziale all’interno di uno Stato membro o se l’interruzione del loro servizio avrebbe un impatto significativo sulla sicurezza pubblica, sulla sicurezza o sulla salute. Inoltre, le pubbliche amministrazioni e alcuni servizi digitali rientrano nella NIS 2 indipendentemente dalle loro dimensioni. Fa eccezione la pubblica amministrazione che svolge attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa, del contrasto, compresa la prevenzione, le indagini, l’accertamento e il perseguimento dei reati.

Per approfondire quali sono i soggetti assoggettati alle disposizioni di NIS 2, accedere alle seguenti FAQ pubblicate su ACN.

Requisiti e obblighi per le aziende

La Direttiva NIS 2 introduce nuovi requisiti e obblighi per le organizzazioni in quattro aree principali.

1. Gestione del Rischio: le organizzazioni devono adottare misure per minimizzare i rischi informatici. Queste misure includono, ad esempio: la gestione degli incidenti, una maggiore sicurezza della catena di approvvigionamento, una migliore sicurezza di rete, un controllo degli accessi più efficace e la crittografia.
2. Responsabilità Aziendale: NIS 2 richiede che la direzione aziendale supervisioni, approvi e sia formata e responsabile delle misure di cybersicurezza e affronti i rischi informatici. Le violazioni possono comportare sanzioni per la direzione e un potenziale divieto temporaneo di ricoprire ruoli dirigenziali.
3. Obblighi di Segnalazione: Le entità essenziali e importanti devono disporre di processi per la segnalazione tempestiva di incidenti di sicurezza con impatto significativo sulla fornitura del loro servizio o sui destinatari. La NIS2 stabilisce scadenze specifiche per le notifiche: le aziende hanno 24 ore per presentare un allarme preventivo al CSIRT o all’autorità nazionale competente. La notifica ufficiale, inoltre, deve pervenire entro 72 ore dal verificarsi dell’incidente informatico.
4. Business Continuity: le aziende devono pianificare come intendono garantire la continuità aziendale in caso di gravi incidenti informatici. Questo piano dovrebbe includere considerazioni sul recupero dei sistemi, procedure di emergenza e la creazione di un team di risposta alle crisi.

Le Misure Minime di NIS 2

Oltre alle quattro aree generali di requisiti, la NIS 2 impone alle entità essenziali e importanti di implementare misure di sicurezza di base per affrontare specifiche forme di minacce informatiche probabili. Queste includono:

• Definire e includere requisiti di sicurezza per i prodotti e servizi ICT, compresi certificazioni di cybersicurezza, cifratura e utilizzo di prodotti open source.
• Promuovere e facilitare la divulgazione coordinata delle vulnerabilità.
• Supportare la disponibilità, l’integrità e la riservatezza del nucleo pubblico della rete internet aperta, compresa la cybersicurezza dei cavi di comunicazione sottomarini.
• Promuovere lo sviluppo e l’integrazione di tecnologie avanzate per implementare misure di avanguardia nella gestione dei rischi di cybersicurezza.
• Promuovere attività di formazione, sensibilizzazione, sviluppo di competenze e iniziative di ricerca e sviluppo in materia di cybersicurezza, inclusi, ad esempio, orientamenti sulle buone pratiche e sui controlli concernenti l’igiene informatica destinati ai cittadini, ai portatori di interessi e ai soggetti.
• Sostenere istituti accademici e di ricerca nello sviluppo e nella diffusione di strumenti di cybersicurezza e infrastrutture di rete sicure.
• Creare procedure e strumenti adeguati per facilitare la condivisione volontaria di informazioni sulla cybersicurezza tra le entità, nel rispetto delle normative dell’Unione.
• Rafforzare la cyber resilienza e l’igiene informatica delle PMI, in particolare quelle escluse dall’ambito di applicazione della direttiva, fornendo orientamenti e supporto facilmente accessibili.
• Promuovere una protezione informatica attiva per affrontare le minacce in tempo reale.

Puoi trovare il testo completo del decreto legislativo a questo link. (link esterno)