A inizio ottobre è stato pubblicato il decreto italiano di recepimento della direttiva NIS2, Dlgs 138/2024, che definisce con chiarezza gli step che tutte le aziende dovranno seguire per essere a norma rispetto alle tematiche di cybersicurezza.
1- INDICAZIONE DEI SOGGETTI COINVOLTI
Gli allegati 1e 2 identificano i settori merceologici critici e altamente critici che rientrano nel campo di applicazione della direttiva.
Nel primo Allegato dei servizi altamente critici rientrano: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestore dei servizi TIC, spazio
Nel secondo Allegato dei servizi critici rientrano: servizi postali e di corriere; gestione dei rifiuti; fabbricazione-produzione-distribuzione di sostanze chimiche; produzione-trasformazione-distribuzione di alimenti; fabbricazione di dispositivi medici; fabbricazione di computer e apparecchi elettronici; fabbricazione di apparecchiature elettriche; fabbricazione di autoveicoli e rimorchi; fornitori di servizi digitali (mercati online, motori di ricerca, piattaforme di social network, servizi di registrazione dei nomi di dominio) ; ricerca.
Rientrano infine nell’ambito di applicazione ulteriori tipologie di aziende che risultano fornitori chiave di soggetti importanti o essenziali o che erogano determinati servizi informatici ( gestori di registri dei nomi di dominio, reti pubbliche di comunicazione elettronica, ecc) .
Le medie e grandi imprese rientranti in questi settori merceologici dovranno registrarsi , tra il 1 gennaio e il 28 febbraio, su una piattaforma digitale messa a disposizione dell’Autorità Nazionale Competente (ACN), indicando ragione sociale, indirizzo e contatti, punto di contatto, e settore di riferimento.
Entro il 31 marzo di ogni anno l’ACN redigerà l’elenco dei soggetti essenziali e importanti e comunicherà alle aziende registrate la loro appartenenza o meno a questo elenco.
Coloro che son stati identificati quali aziende essenziali o importanti dovranno , tra il 15 aprile e il 31 maggio, aggiornare le informazioni in piattaforma riportando: gli indirizzi IP pubblici e i nomi di dominio; l’elenco degli stati membri dove operano; i responsabili e loro contatti; il sostituto del punto di contatto.
2. PROPORZIONALITA’ E GRADUALITA’
L’ACN adotterà misure che tengono conto del livello di rischio e delle dimensioni dei soggetti coinvolti. Si attende quindi l’emanazione di linee guida dettagliate per settore e tipologia aziendale che permettano alle aziende di adeguarsi a richieste concrete e ragionevoli. Oltre alle indicazioni specifiche, si ricorda che gli obblighi generali derivanti dall’applicazione della NIS2 sono :
- la registrazione in piattaforma e l’aggiornamento delle informazioni;
- gli organi di amministrazione e direttivi: sono individuate precise responsabilità in capo agli organi di amministrazione del soggetto, i quali approvano e sovraintendono all’implementazione delle misure oltre a essere responsabili delle eventuali violazioni ;
- gli obblighi in materia di misure di sicurezza informatica : politiche di analisi dei rischi dei sistemi informativi; gestione degli incidenti; continuità operativa; sicurezza della catena di fornitura; sicurezza dell’acquisizione, sviluppo e manutenzione dei sistemi IT e di rete, comprese la gestione e divulgazione delle vulnerabilità; politiche per valutare l’efficacia delle misure di gestione dei rischi; politiche di crittografia e cifratura; sicurezza e affidabilità del personale; autenticazione a più fattori;
- gli obblighi in materia di notifica di incidente : i soggetti essenziali e i soggetti importanti devono notificare, senza ingiustificato ritardo (24 ore), al CSIRT Italia ogni incidente che ha un impatto significativo sulla fornitura dei loro servizi.
- per alcune tipologie di soggetti, gli obblighi in materia di banca dei dati di registrazione dei nomi di dominio: mantenimento , in un’apposita banca dati , di dati accurati e completi di registrazione dei nomi di dominio
- la categorizzazione delle attività e dei servizi , in base al livello di rischio e di impatto dovuto ad eventuali attacchi
Il termine per l’adempimento degli obblighi di base sommariamente indicati qui sopra è stabilito trascorsi nove mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti essenziali o importanti che sarà inviata da ACN.
Lascia un commento