Innovazione

Cybersecurity, il NIS2 è stato recepito. L’iter e le norme per le aziende

02
Settembre 2024
Di Giampiero Cinelli

Il governo italiano attraverso un decreto legislativo ha recepito la Direttiva europea NIS2, riguardante la cybersicurezza. Il primo passaggio concreto si vedrà il 18 ottobre, quando sarà attiva la piattaforma realizzata dall’agenzia per la cybersicurezza nazionale (ACN). Le aziende che si ritengono coinvolte dalla norma dovranno auto-registrarsi nella piattaforma a partire dal primo gennaio 2025 fino al 28 febbraio 2025. Il termine di scadenza si anticipa al 17 gennaio 2025 per i fornitori di domini, cloud computing e data center. I soggetti subentranti dovrebbero essere circa 50mila secondo le stime.

Il cronoprogramma
Entro il 31 marzo 2025 la stessa Agenzia risponderà ai soggetti essenziali e ai soggetti importanti circa la conformità alla Direttiva. L’Acn stabilirà le categorie di rilevanza nonché il processo, le modalità e i criteri per l’elencazione, caratterizzazione e categorizzazione delle attività e dei servizi da registrare sulla piattaforma. La lista sarà completata entro il 31 marzo 2025, quando la Direttiva NIS2 potrà considerarsi esecutiva. I nominativi saranno resi noti all’Unione Europea entro il 17 aprile 2025.

Tra i soggetti tenuti a rispettare le norme sulla sicurezza digitale vi sono vari tipi di attività, tra quelle essenziali rientrano le postali e dei corrieri, quelle di gestione dei rifiuti, di fabbricazione di dispositivi medici, di computer e prodotti di elettronica e ottica, oppure, ancora, quelli legali alla grande distribuzione alimentare.

Le segnalazioni
Gli addetti saranno tenuti, attraverso procedure e strumenti tecnici, a minimizzare i rischi di attacchi informatici e fughe di dati. Per migliorare le capacità difensive il NIS2 prescrive una formazione specifica e periodica che anche le aziende sono obbligate a fornire ai loro dipendenti. Inoltre, i soggetti essenziali e importanti saranno obbligati a notificare all’Agenzia per la Cybersicurezza Nazionale – in particolare al CSIRT Italia – , senza indebito ritardo, eventuali incidenti che abbiano un impatto significativo sulla fornitura dei loro servizi. La notifica di eventuali attacchi deve essere effettuata massimo entro 72 ore, ma preceduta da una pre-notifica entro 24 ore, la quale indichi se l’incidente sia frutto di atti deliberati e dagli effetti potenzialmente transfrontalieri.

Le sanzioni in caso di iter deficitario saranno così articolate: per i soggetti essenziali, escluse le pubbliche amministrazioni, fino a un massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, se tale importo è superiore. Per i soggetti importanti, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 7.000.000 o dell’1,4% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, se tale importo è superiore. Per le pubbliche amministrazioni con sanzioni amministrative pecuniarie da euro 25.000 a euro 125.000.

Da segnalare che l’Italia, recependo la Direttiva, ha inserito tra i settori sensibili alla sicurezza informatica anche la cultura, non solo per il valore strategico che può avere, ma anche perché oggi le manifestazioni culturali di cui il grande pubblico fruisce (anche banalmente i concerti) possono essere un veicolo di massicci furti di dati personali.

Il parere di AssoSoftware
Sulla questione del NI2 è intervenuta AssoSoftware, l’Associazione di Confindustria che riunisce, rappresenta e tutela gli interessi delle aziende dell’IT che realizzano oltre il 90% del software applicativo-gestionale per imprese, intermediari e Pubblica Amministrazione. Oggi nel settore sono impiegate 137.000 persone per un fatturato di 56,3 miliardi di euro. Il settore cresce e sulla cybersicurezza, secondo l’Associazione, si deve progredire, perfezionando l’efficacia degli interventi. Ma va anche incrementata la formazione aziendale, considerando che oggi meno della metà delle aziende di software organizza almeno una sessione di formazione all’anno. Va quindi supportata economicamente la formazione all’interno delle imprese e vanno premiati quelli che investono in tal senso. AssoSoftware ha istituito un Gruppo di Lavoro sulla Cybersecurity e organizza periodicamente corsi di formazione per le imprese associate.

Le proposte
Più nel dettaglio, tra le proposte, c’è l’estensione a livello nazionale di un codice di condotta, «in collaborazione con il Garante Privacy, dedicato ai Produttori di Software, per far sì che “by design” i software siano compliant alla normativa GDPR. Parte integrante del Codice di Condotta sono le misure di sicurezza che devono essere rispettate sia in fase di sviluppo che di erogazione dei servizi di assistenza e manutenzione. Tali misure sono le medesime previste dalle norme sulla sicurezza (vedi ISO 27001) e alla base della strategia per la Cybersicurezza». L’Associazione, infine, ha affermato nella sua nota che, «considerata l’importanza dei produttori di software nella corretta attuazione delle misure sulla cybersecurity, si ritiene fondamentale la presenza di AssoSoftware al Tavolo per l’attuazione della disciplina NIS, previsto dall’articolo 12 dello Schema di decreto legislativo».

Articoli Correlati