© Home

• Home Page
• Mission
• Cybersecurity
  • Perché?
  • Gli impatti possibili
  • Che cosa?
  • Come?
• Direttiva NIS 2
  • Approfondimento
  • Dalla NIS alla NIS 2
  • Disposizioni sui soggetti NIS 2
  • Altre disposizioni
  • FAQ
• Blog

LA MISSION

Abilitare il Management delle PMI ad estendere l'azione di direzione e controllo alla gestione del Cyber Risk

• Home Page
• Mission
• Cybersecurity
  • Perché?
  • Gli impatti possibili
  • Che cosa?
  • Come?
• Direttiva NIS 2
  • Approfondimento
  • Dalla NIS alla NIS 2
  • Disposizioni sui soggetti NIS 2
  • Altre disposizioni
  • FAQ
• Blog

ALTRE DISPOSIZIONI

Panoramica sugli articoli più significativi rimanenti

Oltre a stabilire Disposizioni sui soggetti NIS 2, che gli Stati membri devono provvedere a far rispettare, la direttiva ha per oggetto anche una serie di obblighi, che definiscono la governance della cybersecurity a livello nazionale e dell'Unione,  a cui devono adempiere gli stessi Stati, quali:

• adottare una strategia nazionale in materia di cybersecurity;
• designare o creare autorità nazionali competenti, "punti di contatto unici in materia di cybersecurity" (punti di contatto unici), autorità di gestione delle crisi informatiche e "team di risposta agli incidenti di sicurezza informatica" (CSIRT).

Nel seguito verrà presentata una panoramica degli articoli della direttiva in cui i suddetti obblighi sono trattati.

CAPO II - QUADRI NORMATIVI COORDINATI IN MATERIA DI CYBERSECURITY
(ARTT. 7 - 13)

Strategia nazionale per la cybersecurity (Art. 7)

Ogni Stato membro deve adottare una strategia nazionale per la cybersecurity, che indichi obiettivi e priorità, risorse necessarie per conseguirli, nonché adeguate policy, strumenti di governance e misure normative al fine di raggiungere e mantenere un livello elevato di cybersecurity. Tra i vari punti specifici elencati, si evidanziano in particolare:

• obiettivi e priorità di cybersecurity per i settori altamente critici e quelli critici;
• un piano, comprendente le misure necessarie, per aumentare il livello generale di consapevolezza dei cittadini in materia di cybersecurity;
• una policy relativa alla cybersecurity della supply chain per i prodotti e servizi ICT, utilizzati dalle entità soggette, per la fornitura dei loro servizi;
• una policy a sostegno della sicurezza della informazioni trasmesse attraverso la rete internet pubblica, inclusi i cavi di comunicazione sottomarini;
  
•  una policy che promuova lo sviluppo e integrazione di tecnologie avanzate per raggiungere un elevato livello di cybersecurity allo stato dell'arte;
  
• una policy per il rafforzamento dei livelli minimi di resilienza e di igiene informatica nelle PMI, in particolare quelle escluse dall'ambito di applicazione della direttiva, fornendo loro linee guida e assistenza facilmente accessibili e mirate alle esigenze specifiche.

Entro tre mesi dall'adozione, gli Stati membri devono notificare la propria strategia nazionale per la cybersecurity alla Commissione UE e devono impegnarsi a rivalutarla periodicamente, almeno ogni cinque anni. L'Agenzia dell'Unione Europea per la Cybersecurity (ENISA) può assistere gli Stati membri, su loro richiesta, nell'elaborazione, valutazione ed aggiornamento della strategia, onde allinearla ai requisiti e agli obblighi della direttiva NIS 2.

In Italia, il compito della predisposizione della strategia è stato affidato all'

Agenzia per la cybersicurezza nazionale

(

ACN

).  L'approvazione dell'attuale versione, relativa al quinquennio 2022-2025, è avvenuta da parte del

Comitato interministeriale per la cybersicurezza 

nel maggio 2022 e quindi prima di quella della direttiva NIS 2 (dicembre 2022). 

La

Strategia Nazionale di Cybersicurezza

 è consultabile sul sito dell'

ACN (

link

).

Autorità competenti e punti di contatto unici (Art. 8)

Ogni Stato membro designa o istituisce e notifica, senza indebiti ritardi, alla Commissione:

• una o più autorità competenti responsabili della cybersecurity e dei compiti di vigilanza di cui al capo VII (autorità competenti). Tali autorità controllano l'attuazione della direttiva a livello nazionale;
• un punto di contatto unico, che svolge una funzione di collegamento, per garantire la cooperazione transfrontaliera delle autorità del relativo Stato membro con le autorità pertinenti degli altri Stati membri e, ove opportuno, con la Commissione e l'ENISA, nonché per garantire la cooperazione intersettoriale con altre autorità competenti dello stesso Stato membro.

In Italia, il Decreto Legge n. 82 del 14 giugno 2021 (convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109), nell'istituire l'

ACN

, le ha anche attribuito il ruolo di

unica autorità competente

 per la cybersecurity e quindi anche quello di

punto di contatto unico 

per l'Italia

, superando il precedente regime che prevedeva diverse autorità competenti NIS (settoriali).

Quadri nazionali di gestione delle crisi informatiche  (Art. 9)

Ogni Stato membro:

• designa o istituisce una o più "autorità competenti responsabili della gestione degli incidenti e delle crisi di cybersecurity su vasta scala" (autorità di gestione delle crisi informatiche). Se uno Stato membro designa o istituisce più di un'autorità di gestione delle crisi informatiche, esso indica chiaramente quale tra esse deve fungere da autorità di coordinamento;
• adotta un piano nazionale di risposta agli incidenti e alle crisi di cybersecurity su vasta scala, in cui sono stabiliti gli obiettivi e le modalità della gestione di tali incidenti e crisi informatiche, includendo per lo meno i punti espressamente specificati in questo articolo della direttiva;
• notifica alla Commissione, entro tre mesi dalla designazione, l'identità delle suddette autorità e sottopone alla stessa Commissione e alla rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe) le informazioni richieste in merito ai suddetti piani nazionali, entro tre mesi dalla loro approvazione.

CSIRT, requisiti, capacità e compiti, divulgazione di vulnerabilità, cooperazione nazionale (Artt. 10 - 13)

Ogni Stato membro designa o istituisce uno o più "team di risposta agli incidenti di sicurezza informatica" (CSIRT) e provvede affinché ognuno di essi disponga di risorse adeguate per soddisfare i requisiti e svolgere efficacemente i compiti specificati dalla direttiva. È possibile designare o istituire i CSIRT all'interno di un'autorità competente.

I CSIRT  designati devono occuparsi almeno dei settori altamente critici e critici (sottosettori e tipi di soggetto) individuati dalla direttiva. Gli Stati membri provvedono affinché i loro CSIRT o, se del caso, le loro autorità competenti, ricevano le notifiche degli incidenti significativi, nonché degli incidenti, delle minacce informatiche e dei quasi incidenti (near miss), informandone il punto di contatto unico, così da attivare, ove necessario, i previsti meccanismi di cooperazione a livello sia nazionale sia internazionale. 

In generale, i CSIRT  monitorano e analizzano le minacce informatiche, le vulnerabilità e gli incidenti a livello nazionale, emettendo corrispondenti preallarmi, allerte e bollettini e divulgando informazioni ai soggetti essenziali e importanti interessati, nonché alle autorità competenti e ad altri stakeholder coinvolti. Possono inoltre offrire assistenza ai soggetti essenziali e importanti (monitoraggio dei loro sistemi informatici e di rete, risposta agli incidenti, scansioni proattive per rilevare vulnerabilità).

Ogni Stato membro designa uno dei propri CSIRT come coordinatore ai fini della divulgazione coordinata delle vulnerabilità, che agisce da intermediario di fiducia agevolando, se necessario, l'interazione tra la persona fisica o giuridica che segnala la vulnerabilità e il fabbricante o fornitore di servizi o prodotti ICT potenzialmente vulnerabili, su richiesta di una delle parti.  Se la vulnerabilità segnalata è suscettibile di avere un impatto significativo su soggetti in più di uno Stato membro, viene attivata la cooperazione a livello della rete di CSIRT dell'Unione. L'ENISA elabora e mantiene, previa consultazione del gruppo di cooperazione, una banca dati europea delle vulnerabilità.

Al fine di garantire l'efficace adempimento dei compiti e degli obblighi di

autorità competent

i

,

punti di contatto unici

e

CSIRT

, gli Stati membri,  provvedono affinché vi sia un'adeguata cooperazione tra i suddetti organismi e le autorità di contrasto, le autorità di protezione dei dati (Garante Privacy  per l'Italia), le autorità nazionali che si occupano di sicurezza dell'aviazione civile, gli organismi di vigilanza sui fornitori di servizi fiduciari, le autorità competenti a norma del regolamento (UE) 2022/2554 (DORA), le autorità nazionali di regolamentazione sulle comunicazioni elettroniche, le autorità competenti a norma della direttiva (UE) 2022/2557 (CER, sui soggetti critici), nonché le autorità competenti ai sensi di altri atti giuridici settoriali dell'Unione.

In Italia, il DPCM 8 agosto 2019, in attuazione della legge di recepimento della Direttiva NIS, ha istituito il CSIRT Italia (www.csirt.gov.it), assorbendo in esso le funzioni dei pre-esistenti CERT-PA e CERT Nazionale. Con la successiva istituzione dell'ACN nel corso del 2021, il CSIRT Italia è entrato a far parte della organizzazione di quest'ultima agenzia. 

CAPO III - COOPERAZIONE A LIVELLO DELL'UNIONE E INTERNAZIONALE
(ARTT. 14 - 19)

Gruppo di cooperazione (Art. 14)

Come già previsto dalla direttiva NIS, al fine di sostenere e agevolare la cooperazione strategica e lo scambio di informazioni tra gli Stati membri, nonché di rafforzare la fiducia, è istituito un gruppo di cooperazione, composto da rappresentanti degli Stati, della Commissione e dell'ENISA, i cui compiti sono dettagliati dalla nuova direttiva. Ove necessario, il gruppo di cooperazione si interfaccia con la rete di CSIRT per le questioni di natura più tecnica.

Rete di CSIRT (Art. 15)

Al fine di contribuire allo sviluppo della fiducia e di promuovere una cooperazione operativa rapida ed efficace fra gli Stati membri, è istituita una rete dei CSIRT nazionali. La rete di CSIRT è composta da rappresentanti dei CSIRT, del CERT-UE (la squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie dell'Unione), della Commissione (in qualità di osservatore) e dell'ENISA, che ne assicura il segretariato. La direttiva dettaglia i compiti di tale rete.

Rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe) (Art. 16)

EU-CyCLONe è istituita al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di cibersicurezza su vasta scala e di garantire il regolare scambio di informazioni pertinenti tra gli Stati membri e le istituzioni, gli organi e le agenzie dell'Unione. Tale rete è composta da rappresentanti delle autorità di gestione delle crisi informatiche degli Stati membri e, ove opportuno e nelle forme necessarie, della Commissione.  EU-CyCLONe coopera con la rete di CSIRT  e l'ENISA ne assicura il segretariato. La direttiva dettaglia i compiti di EU-CyCLONe.

Cooperazione internazionale, relazione sullo stato della cybersecurity nell'UE, revisione tra pari (Artt. 17 - 19)

Ove opportuno, l'Unione può concludere accordi internazionali, con paesi terzi o organizzazioni internazionali, che consentano e organizzino la loro partecipazione ad attività particolari del gruppo di cooperazione, della rete di CSIRT e di EU-CyCLONe.

L'ENISA, in collaborazione con la Commissione e con il gruppo di cooperazione, pubblica una relazione biennale sullo stato della cybersecurity nell'Unione e la presenta al Parlamento europeo. I contenuti di tale relazione sono dettagliati nella direttiva e comunque includono

 raccomandazioni strategiche specifiche, finalizzate a porre rimedio alle carenze e ad aumentare il livello di cybersecurity nell'Unione, e una sintesi delle conclusioni di ENISA sugli incidenti e le minacce informatiche verificatisi nel periodo riportato.

Le revisioni tra pari mirano a valutare la postura di cybersecurity di uno Stato membro e, quindi, a migliorarne le capacità e le politiche necessarie per l'attuazione della direttiva.  La partecipazione è volontaria e le revisioni sono condotte da esperti di cybersecurity; la Commissione e l'ENISA partecipano in qualità di osservatori.
Entro il 17 gennaio 2025, il gruppo di cooperazione stabilirà la metodologia e gli aspetti organizzativi delle revisioni, con l'assistenza della Commissione e dell'ENISA nonché, se del caso, della rete di CSIRT .

CAPO V - GIURISDIZIONE E REGISTRAZIONE
(ARTT. 26 - 28)

Giurisdizione e territorialità (Art. 26)

Le organizzazioni soggette sono di norma considerate sotto la giurisdizione dello Stato membro nel quale sono stabilite. Le eccezioni a questa regola, dettagliate nella direttiva, riguardano essenzialmente i fornitori di servizi ICT gestiti e gli altri fornitori di infrastrutture e servizi digitali. Inoltre, qualora un tale soggetto non sia stabilito nell'Unione ma offra in essa servizi, dovrà designare un rappresentante, altrimenti qualsiasi Stato membro in cui esso fornisce servizi potrà avviare un'azione legale nei suoi confronti, in caso di violazioni degli obblighi della direttiva. Anche gli Stati membri che hanno ricevuto una richiesta di assistenza reciproca in relazione a un soggetto appartenente a una delle suddette tipologie di fornitori possono, entro i limiti della richiesta, adottare misure di vigilanza e di esecuzione adeguate nei suoi confronti.

Al fine di condividere informazioni sulle entità che offrono servizi digitali anche in Stati membri diversi da quello sotto la cui giurisdizione ricadono, l'ENISA crea e mantiene un registro dei suddetti fornitori di servizi ICT gestiti e dei fornitori di infrastrutture e servizi digitali, inclusi i fornitori di servizi di registrazione dei nomi di dominio, sulla base delle informazioni da essi ricevute, entro il 17 gennaio 2025, tramite i punti di contatto unici degli Stati membri. Su richiesta, ENISA consente alle diverse autorità competenti di accedere a tale registro, assicurando nel contempo la tutela della riservatezza delle informazioni, se del caso.

Per contribuire alla sicurezza, alla stabilità e alla resilienza del DNS, gli Stati membri impongono ai registri dei nomi TLD e ai soggetti che forniscono servizi di registrazione dei nomi di dominio di raccogliere e mantenere dati di registrazione accurati e completi in un'apposita banca dati con la dovuta diligenza, conformemente al diritto dell'Unione in materia di protezione dei dati per quanto riguarda i dati personali. La direttiva specifica quali informazioni possono essere rese disponibili e le modalità di accesso.

CAPO VIII - ATTI DELEGATI E ATTI DI ESECUZIONE
(ARTT. 38 - 39)

Esercizio della delega, Procedure del comitato (Artt. 38, 39)

Vengono stabiliti i termini entro cui e le modalità con le quali, in base all'art. 24, la Commissione può adottare atti delegati relativamente all'obbligo di utilizzo da parte dei soggetti NIS 2 di prodotti, servizi e processi ICT certificati a norma delCybersecurity Act (regolamento UE 2019/881). La stessa procedura d'esame deve essere seguita, nel caso, per gli atti di esecuzione previsti in merito a:

• le modalità di funzionamento del gruppo di cooperazione (art. 14);
• i requisiti tecnici e metodologici per le previste misure di gestione dei rischi di cybersecurity, con riferimento ai fornitori di servizi ICT gestiti e ai fornitori di infrastrutture e servizi digitali ed, eventualmente, altri soggetti essenziali ed importanti, compresi eventuali requisiti settoriali (art. 21);
• eventuali specifiche ulteriori relative a: le informazioni che devono essere fornite in base agli obblighi di notifica o i casi in cui gli incidenti debbano essere considerati significativi (art. 23).

La Commissione è assistita da un comitato, le cui procedure sono specificate.

CAPO IX - DISPOSIZIONI FINALI
(ARTT. 40 - 46)

Riesame, Recepimento, Modifiche, Abrogazione (Artt. 40 - 44)

Entro il 17 ottobre 2027 e successivamente ogni 36 mesi, la Commissione riesamina il funzionamento della direttiva e presenta una relazione in proposito al Parlamento europeo e al Consiglio. La relazione è corredata, se necessario, di una proposta legislativa.

Entro il 17 ottobre 2024, gli Stati membri adottano e pubblicano le misure necessarie per conformarsi alla direttiva. Essi comunicano immediatamente alla Commissione il testo di tali disposizioni e applicano tali disposizioni a decorrere dal 18 ottobre 2024.

Con effetto a decorrere dal 18 ottobre 2024 è abrogata 

direttiva (UE) 2016/1148

 (

NIS

) e sono modificati di conseguenza il regolamento (UE) n. 910/2014 (eIDAS) e la direttiva (UE) 2018/1972 (Codice europeo delle comunicazioni elettroniche).

In Italia, per quanto riguarda il processo di recepimento della direttiva, il Consiglio dei Ministri, in data 7 agosto 2024, ha approvato, in esame definitivo, il testo del decreto legislativo di attuazione, che tiene conto dei pareri espressi dalle competenti Commissioni parlamentari e, ove previsto, dalla Conferenza unificata e dal Garante per la protezione dei dati personali. Se ne attende la pubblicazione in Gazzetta Ufficiale entro il 17 ottobre 2024.

• Ritorna alla pagina iniziale di approfondimento sulla NIS 2

© Home