La Direttiva (UE) 2022/2555, nota come Nis2 (Network and Information Security), è stata recentemente adottata con l'obiettivo di rafforzare la cybersecurity in tutta l'Unione Europea. La Nis2 introduce nuove regole e obblighi per diverse categorie di soggetti, con particolare attenzione ai settori critici per la società e l'economia.

L’applicazione della Nis2 è di competenza del reparto IT di concerto con le funzioni legal e Dpo, ne consegue che sarete probabilmente già stati informati in materia.

La presente circolare ha lo scopo di fornire, laddove ancora necessario, una guida chiara e schematica per aiutare i nostri clienti a determinare se rientrano nel campo di applicazione della Nis2 e, in caso affermativo, quali sono gli adempimenti necessari.

La Direttiva Nis2 si applica a due categorie principali di soggetti: Operatori Essenziali e Operatori Importanti.

In alcuni contesti aziendali e settori regolamentati dalla Nis2, il DPO ha un ruolo strategico nel supportare la gestione della sicurezza delle informazioni personali, in quanto molti sistemi informatici critici trattano dati personali.

Di contro alcuni approcci compatibili con la Nis2, e quindi in soddisfazione di criteri esposti dalle check list collegate alla Nis2, potrebbero contraddire i principi normativi del Gdpr rendendo l’Ente a norma della Nis2 ma non conforme con il Gdpr: laddove il soggetto che prende in carico l’interazione con ACN (Agenzia per la cybersicurezza nazionale) non sia il Dpo, in ogni caso si dovrà avere cura di includere in ogni azione, dettata dall’adozione della Nis2, il Data Protection Officer.

2. Schema dei Settori Soggetti alla Direttiva Nis2

Per una definizione precisa e completa vedasi il d.lgs. 138/2024

2.1 Operatori Essenziali

Questi soggetti operano in settori considerati critici per la società e l’economia.

Questi soggetti operano in settori che possono avere un funzionamento rilevante sulla sicurezza e sull'economia.

Definizione di "funzionamento": In questo contesto, "funzionamento" si riferisce alla capacità di un sistema o di un'organizzazione di svolgere le proprie attività in modo efficace e continuativo. Un servizio è considerato importante per il funzionamento della società e dell'economia se la sua interruzione o compromissione potrebbe causare disagi significativi o danni economici.

Principio di attrazione della Nis2: Il principio di attrazione stabilisce che la Direttiva Nis2 si applica non solo agli operatori essenziali e importanti, ma anche ai loro fornitori, se i servizi forniti sono critici per il funzionamento dell'operatore soggetto alla Nis2. In particolare, un fornitore può essere attratto nell'ambito di applicazione della Nis2 quando:

• Fornisce beni o servizi essenziali al funzionamento di un operatore essenziale o importante;
• Un'interruzione, compromissione o incidente nei servizi del fornitore potrebbe causare un impatto significativo sull'operatività dell'operatore.

Esempio operativo: Un'azienda che fornisce servizi di cloud computing a un ospedale (operatore essenziale) potrebbe essere soggetta alla Nis2, poiché una compromissione del cloud potrebbe interferire con i servizi critici del sistema sanitario.

3. Check-list Rapida per la Verifica dell'Inclusione nella Nis2

·       Fatturato annuo superiore a 10 milioni di euro.

• Vedi schemi soprastanti.

·       Identificazione dei servizi essenziali forniti dall'azienda

o   Redigere un elenco dei servizi, prodotti o funzioni che possono influenzare settori critici (energia, trasporti, sanità, ecc.).

o   Valutare l'importanza dei servizi per il funzionamento della società e dell'economia.

·       Analisi del grado di interdipendenza

o   Esaminare se i servizi aziendali sono interdipendenti con altre infrastrutture critiche o con aziende già soggette alla Nis2.

o   Considerare forniture essenziali come energia, acqua, servizi digitali o sanitari.

·       Valutazione delle conseguenze in caso di interruzione o compromissione

o   Stimare l'impatto operativo, economico e sociale derivante dall'interruzione o compromissione dei servizi aziendali.

o   Considerare la possibile propagazione dell'interruzione ad altre organizzazioni o settori.

·       Consultazione delle autorità di settore e dell'ACN

o   Contattare l'Autorità competente per ottenere un parere sulla criticità dei servizi aziendali.

o   Fornire una documentazione preliminare che includa l'elenco dei servizi essenziali, analisi del rischio e possibili impatti.

·       Raccolta e verifica delle evidenze

o   Documentare i risultati dell'analisi e prepararli per la valutazione da parte delle autorità.

o   Aggiornare la documentazione periodicamente per tenere conto di cambiamenti operativi o infrastrutturali.

Se hai risposto Sì a una qualsiasi delle domande sopra, l’azienda potrebbe essere inclusa nella Direttiva Nis2 e deve procedere con gli step successivi.

• Compilare una scheda tecnica contenente:
  • Numero di dipendenti.
  • Fatturato e bilancio degli ultimi tre anni.
  • Settore di attività principale e secondario.
  • Rilevanza delle infrastrutture aziendali.

Fase 2: Consultazione delle Autorità Competenti

• Registrarsi presso la piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN) attraverso il Responsabile eletto per la Cybersicurezza (ADS – DPO – CSO).
• Contattare l’Autorità di settore competente per il settore specifico in cui opera l’azienda.

• Attendere la notifica formale da parte dell’ACN o dell’Autorità di settore, che confermerà o meno l’inclusione nella Nis2 (marzo 2025).

5. Cosa Fare una Volta Confermata l’Inclusione nella Nis2

1. Nomina di un Responsabile della Cybersicurezza (ADS – Amministratore di Sistema – DPO Data Protection Officer – CSO Chief Security Officer)
   • Designare un responsabile interno o esterno che coordini l’implementazione delle misure di sicurezza.
   • Registrare il Responsabile della Cybersicurezza presso ACN (https://www.acn.gov.it/portale/nis ).
   • Iscrivere l’Ente nel database ACN.
   • Attendere risposta per conferma di inclusione o esclusione dalla Nis2.
2. Valutazione del Rischio
   • Condurre un’analisi dei rischi sui sistemi informatici e infrastrutturali critici.
   • Identificare vulnerabilità e minacce potenziali.
3. Implementazione delle Misure di Sicurezza
   • Applicare controlli tecnici e organizzativi previsti dalla Nis2, tra cui:
     • Sistemi di monitoraggio continuo.
     • Protezione delle reti.
     • Procedure di backup e recupero dati.
     • Misure di sicurezza fisica.
4. Piano di Continuità Operativa e Ripristino
   • Redigere un piano per garantire la continuità dei servizi essenziali anche in caso di attacco.
5. Formazione del Personale
   • Organizzare corsi di formazione periodici sulla gestione delle minacce informatiche.
6. Comunicazione e Reporting
   • Definire procedure per segnalare incidenti di sicurezza alle autorità competenti entro le tempistiche previste.
7. Audit Periodici
   • Effettuare verifiche periodiche per assicurare il mantenimento delle misure implementate.