Nell’ultimo Consiglio dei ministri arriva l’ok al recepimento in Italia della direttiva (UE) 2022/2555, cosiddetta NIS 2, in materia di cybersicurezza: ecco quali sono le novità contenute nello schema di decreto legislativo.
Questo nuovo testo mira a elevare il livello di cybersicurezza in tutta l’Unione Europea, modificando e sostituendo le precedenti fonti normative quali:
- regolamento (UE) n. 910/2014
- direttiva (UE) 2018/1972
- e direttiva (UE) 2016/1148, conosciuta come NIS (Network and Information Security).
- Anche l’Italia adotta la direttiva NIS 2 sulla Cybersicurezza
- Principali Novità della Direttiva NIS2
- Implementazione negli stati comunitari
- Implicazioni per la Pubblica amministrazione e i suoi fornitori
- Sanzioni per la mancata segnalazione di incidenti al CSIRT
- Esclusione dall’ambito di applicazione
- Cosa potrebbe cambiare per le nostre Pa con l’arrivo in Italia della Direttiva NIS 2 sulla cybersicurezza?
Anche l’Italia adotta la direttiva NIS 2 sulla Cybersicurezza
Pertanto il Consiglio dei ministri, su proposta su proposta del Presidente Giorgia Meloni, e del Ministro per gli Affari Europei, il Sud, le Politiche di Coesione e il Pnrr, Raffaele Fitto, ha approvato un decreto legislativo relativo al recepimento di questa direttiva nel nostro paese.
Contestualizziamo e scopriamo quali saranno le novità nel nostro paese.
Principali Novità della Direttiva NIS2
La direttiva NIS2 introduce una serie di cambiamenti significativi per rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi nell’UE. Le innovazioni principali includono:
- ampliamento del campo di applicazione: viene estesa la gamma di soggetti coperti dalla normativa, distinguendo tra “soggetti essenziali” e “soggetti importanti” basandosi su criteri dimensionali.
- requisiti di sicurezza: sono razionalizzati i requisiti minimi di sicurezza e le procedure di notifica obbligatoria degli incidenti.
- approccio multirischio: viene adottato un approccio che considera vari tipi di rischi, migliorando la gestione delle vulnerabilità.
- coordinamento nazionale: regolamenta la divulgazione coordinata delle vulnerabilità (CVD) e attribuisce specifiche funzioni di coordinamento ai Computer Security Incident Response Teams (CSIRT) nazionali.
- cooperazione internazionale: implementa misure per sostenere la gestione coordinata degli incidenti e delle crisi di cybersicurezza su larga scala, introducendo il Gruppo di Cooperazione NIS2.
Implementazione negli stati comunitari
Ogni Stato membro dell’UE deve dunque adottare una strategia nazionale per mantenere un elevato livello di cibersicurezza nei settori critici. Questo include:
- un quadro di governance che definisca chiaramente ruoli e responsabilità
- politiche per la sicurezza delle catene di approvvigionamento e gestione delle vulnerabilità
- programmi di istruzione e formazione sulla cybersicurezza
- misure per aumentare la consapevolezza in materia di cybersicurezza tra i cittadini.
Implicazioni per la Pubblica amministrazione e i suoi fornitori
La direttiva NIS2 riconosce l’importanza cruciale dei fornitori della Pubblica amministrazione (Pa) nella sicurezza delle reti e dei sistemi informativi. Pertanto, il decreto legislativo italiano prevede l’imposizione di obblighi specifici per questi fornitori, tenendo conto degli impatti sociali ed economici che gli incidenti di cybersicurezza possono causare.
Impatti sociali ed economici
La sicurezza informatica dei fornitori è essenziale perché un incidente può avere ripercussioni significative non solo sulle operazioni della PA, ma anche sulla società in generale. Ad esempio, un attacco informatico che colpisce un fornitore di servizi sanitari può interrompere l’accesso ai dati medici, causando gravi problemi per i pazienti e il sistema sanitario nel suo complesso.
Obblighi di sicurezza
Per mitigare questi rischi, tutti i vari fornitori e sub-fornitori di servizi dovrebbero adeguare le proprie policy agli standard di sicurezza informatica internazionale.
Questo include l’implementazione di misure tecniche e organizzative adeguate per prevenire, rilevare e rispondere agli incidenti di sicurezza informatica. Tali misure possono comprendere la crittografia dei dati, la formazione del personale sulla sicurezza informatica e la realizzazione di audit di sicurezza periodici.
Ricordiamo che per prevenire problematiche di questo tipo potrebbe bastare anche una semplice operazione di controllo e vigilanza.
Occorre in sintesi assicurarsi che le politiche legate ai protocolli di sicurezza informatica risultino applicate da tutti.
Sanzioni per la mancata segnalazione di incidenti al CSIRT
La direttiva prevede un apparato sanzionatorio più severo e armonizzato a livello europeo, con multe che possono arrivare fino a 10 milioni di euro. Questo approccio mira a garantire una maggiore uniformità e deterrenza in tutta l’UE.
Una componente chiave della direttiva NIS2 è la segnalazione tempestiva degli incidenti di sicurezza ai Computer Security Incident Response Teams (CSIRT) nazionali. Tuttavia, per le pubbliche amministrazioni, le sanzioni per la mancata segnalazione si applicano solo in caso di reiterazione, riflettendo una comprensione delle difficoltà organizzative che queste entità affrontano.
CSIRT nazionali
Questi team sono responsabili del monitoraggio delle minacce alla sicurezza informatica e della gestione delle risposte agli incidenti a livello nazionale. Una segnalazione tempestiva degli incidenti consente ai CSIRT di coordinare una risposta efficace, mitigando l’impatto dell’incidente e prevenendo la diffusione delle minacce.
Difficoltà organizzative della Pa
Le pubbliche amministrazioni spesso devono fare i conti con risorse limitate e strutture organizzative complesse. La direttiva riconosce che queste limitazioni possono ostacolare la capacità di segnalare prontamente gli incidenti. Pertanto, le sanzioni sono applicate con maggiore tolleranza rispetto ad altri settori, penalizzando solo le mancanze ripetute e non occasionali.
Reiterazione delle inadempienze
La previsione di sanzioni solo in caso di reiterazione mira a incentivare un miglioramento continuo nella gestione della sicurezza informatica senza punire eccessivamente per errori isolati. Questo approccio graduale consente alla PA di adattarsi e migliorare le proprie capacità di risposta agli incidenti nel tempo, riducendo il rischio di penalizzazioni immediate che potrebbero aggravare ulteriormente le difficoltà operative.
Esclusione dall’ambito di applicazione
La nuova direttiva esclude dal suo ambito di applicazione soggetti operanti nei settori della sicurezza nazionale, pubblica sicurezza, difesa, contrasto dei reati, Parlamenti e banche centrali. Gli organi costituzionali e di rilievo costituzionale sono esenti dalle disposizioni relative alla vigilanza e alle sanzioni.
Cosa potrebbe cambiare per le nostre Pa con l’arrivo in Italia della Direttiva NIS 2 sulla cybersicurezza?
La direttiva NIS2 stabilisce un quadro rigoroso ma flessibile per migliorare la sicurezza informatica nella pubblica amministrazione e nei suoi fornitori. Riconoscendo le sfide specifiche del settore pubblico, la normativa bilancia l’esigenza di sicurezza con la realtà delle capacità operative, promuovendo un approccio progressivo alla conformità.
Questo garantisce che, nel lungo periodo, le pubbliche amministrazioni possano rafforzare le loro difese informatiche senza essere sopraffatte da sanzioni immediate, contribuendo a una maggiore resilienza complessiva della cybersicurezza nell’Unione Europea.
Tuttavia, l’adeguamento ai nuovi requisiti pone sfide significative per le amministrazioni italiane.
Le principali difficoltà includono:
- mancanza di risorse e competenze: le Pa spesso soffrono di una carenza di risorse finanziarie e umane dedicate alla cybersicurezza. Ciò rende difficile l’implementazione delle misure di sicurezza adeguate e la gestione efficace degli incidenti informatici.
- frammentazione del panorama IT: le PA spesso hanno sistemi IT frammentati e obsoleti, con molteplici fornitori e piattaforme. Questo rende difficile la gestione centralizzata della sicurezza e l’applicazione coerente delle misure di sicurezza.
- carenza di cultura della sicurezza informatica: la cultura della sicurezza informatica non è ancora sufficientemente diffusa all’interno delle PA. Questo può portare a una scarsa consapevolezza dei rischi informatici e a comportamenti negligenti che aumentano la vulnerabilità agli attacchi.
Per superare le sfide e cogliere le opportunità offerte dalla NIS 2, è necessario un impegno congiunto da parte di tutti gli attori coinvolti. Le Pa devono investire in risorse e competenze per la cybersicurezza, promuovere una cultura della sicurezza informatica e collaborare con il settore privato e con il governo per sviluppare soluzioni efficaci.
Fonte: articolo di redazione lentepubblica.it