Latest News

La direttiva NIS2 e il suo recepimento in Italia: un nuovo capitolo per la sicurezza informatica

Introduzione

Negli ultimi decenni, l’espansione rapida e massiccia delle tecnologie digitali ha rivoluzionato il modo in cui viviamo, lavoriamo e comunichiamo: se da un lato la digitalizzazione ha apportato enormi benefici dall’altro ha aperto nuove vulnerabilità, creando una “superficie di attacco” sempre più ampia e complessa.

Di fronte a un panorama di minacce informatiche in continua evoluzione, l’Unione Europea ha adeguato il proprio quadro normativo per proteggere cittadini, imprese e istituzioni.

In tale contesto si inserisce la direttiva NIS2 vero e proprio fulcro della strategia europea di cyber resilienza e di contrasto agli attacchi informatici.

Contesto storico e all’evoluzione delle minacce informatiche

La crescita esponenziale delle tecnologie digitali

La rivoluzione digitale ha trasformato radicalmente ogni aspetto della nostra società. Dagli strumenti di comunicazione fino ai processi aziendali, la digitalizzazione ha migliorato l’efficienza e la produttività, ma ha anche la società a a nuove forme di rischio: con l’aumento della connettività e dell’interdipendenza tra sistemi e reti, la “superficie di attacco” da un lato si è infatti notevolmente ampliata, consentendo ad hacker e attori malintenzionati di sfruttare vulnerabilità prima inimmaginabili e dall’altro lato la nostra dipendenza nei confronti del digitale ha fatto sì che una interruzione dei sistemi possa causare enormi danni sia alle imprese che ai cittadini.

Dalle prime minacce ai ransomware moderni

La storia delle minacce informatiche ha avuto inizio ben prima dell’era dei social network e degli smartphones: il primo caso di attacco informatico massivo viene fatto risalire al 1989, quando 20.000 floppy disks, contenenti il malware “pc cyborg”, vennero distribuiti ai partecipanti alla conferenza mondiale sull’aids, cifrando le informazioni dei sistemi informatici delle vittime per ottenere un riscatto.

Negli anni successivi, la tipologia di attacchi si è evoluta rapidamente, con una crescita esponenziale dei ransomware (attacchi informatici, che prevedono la cifratura dei dati e la richiesta di un riscatto per il ripristino): l’agenzia dell’unione europea per la cibersicurezza (ENISA) ha evidenziato nel suo ultimo report[1] come i ransomware rappresentino oggi una delle principali preoccupazioni per la sicurezza digitale, affiancati da malware, attacchi di social engineering, denial of service e compromissione delle catene di approvvigionamento.

Dall’origine della direttiva NIS alla NIS2: un quadro normativo in evoluzione

La direttiva NIS 1: il punto di partenza

Nel 2016, l’Unione Europea ha adottato la Direttiva 2016/1148 sulla sicurezza delle reti e dei sistemi informativi (c.d. NIS 1) ponendo le prime basi per un approccio coordinato alla sicurezza informatica tra gli stati membri:  la direttiva aveva lo scopo di armonizzare le norme applicabili a una vasta gamma di operatori, sia pubblici che privati, garantendo che infrastrutture essenziali – quali il settore energetico, i trasporti, la sanità e le telecomunicazioni – adottassero misure adeguate per prevenire e gestire gli incidenti informatici.

Con il passare degli anni e l’evoluzione del panorama delle minacce, la direttiva NIS 1 è risultata inadeguata per una serie di motivi:

  1. il rapido aumento della digitalizzazione: la crescente interconnessione e l’espansione di tecnologie e servizi digitali hanno notevolmente ampliato la superficie d’attacco, superando le capacità protettive della normativa originaria;
  2. il limitato ambito di applicazione: La NIS1 si concentrava solo su alcuni settori critici (come energia, trasporti, sanità, banche, ecc.), escludendo altre aree altrettanto fondamentali per il funzionamento del mercato interno;
  3. l’eccessiva discrezionalità nazionale nel recepimento della direttiva: la direttiva concedeva troppa libertà agli Stati membri nell’identificare gli operatori di servizi essenziali e nell’adottare standard di sicurezza. Ciò ha generato differenze marcate tra paesi, compromettendo una risposta coordinata alle minacce cibernetiche;
  4. l’inadeguatezza dei processi di segnalazione delle minacce: le procedure di notifica e la gestione degli incidenti non erano abbastanza stringenti e tempestive per contrastare minacce in rapido mutamento.

Per questi motivi, l’Unione Europea ha rivisitato e rafforzato il quadro normativo, con la adozione della direttiva (UE) 2022/2555 (c.d. NIS2).

La NIS2: un nuovo standard per una cybersecurity rafforzata

Al fine di aumentare la resilienza delle infrastrutture critiche e migliorare la capacità degli enti di rispondere in modo efficace agli incidenti informatici la Direttiva NIS2 da un lato amplia l’ambito di applicazione della normativa includendo nuovi settori e tipologie di soggetti e dall’altro lato introduce requisiti più stringenti in termini di misure tecniche, organizzative e operative.

 

Le principali novità introdotte dalla NIS2

Ampliamento del campo di applicazione

Una delle maggiori novità della NIS2 è il notevole ampliamento del numero di soggetti obbligati a conformarsi alla normativa: la direttiva distingue tra settori “altamente critici” e “settori critici”, ricomprendendovi non solo le grandi imprese ma anche altre organizzazioni non piccole che operano in settori strategici quali le acque reflue, la gestione dei rifiuti, la fabbricazione dei veicoli, le attività industriali, i servizi postali e di distribuzione di alimenti…

Il riparto fra i settori permette di graduare gli obblighi in maniera proporzionale, avendo riguardo alla criticità del servizio offerto ed al potenziale impatto di un eventuale attacco.

 

Requisiti tecnici e organizzativi rafforzati

La NIS2 impone, ai soggetti ad essa sottoposti, di implementare misure tecniche, operative e organizzative che vanno ben oltre gli standard della precedente direttiva; tra le misure richieste si evidenziano:

 

politiche di analisi dei rischi e sicurezza informatica: ogni ente deve adottare procedure strutturate per l’analisi e la gestione dei rischi, aggiornando costantemente le proprie strategie di difesa.

gestione degli incidenti e notifiche: è previsto un sistema articolato di notifiche che impone la trasmissione, al csirt italia, di una pre-notifica entro 24 ore dall’individuazione di un incidente significativo e di una notifica completa entro 72 ore nonché una relazione finale entro un mese.

continuità operativa e gestione delle crisi: le organizzazioni devono predisporre piani di backup, strategie di disaster recovery e misure per garantire la continuità operativa.

sicurezza della catena di approvvigionamento: viene enfatizzata l’importanza di monitorare e gestire i rischi lungo l’intera catena di fornitura, includendo fornitori e partner esterni.

 

La categorizzazione delle attività e dei servizi

Un ulteriore aspetto innovativo riguarda l’obbligo per i soggetti NIS di categorizzare le proprie attività e servizi: essi devono effettuare, annualmente, un’analisi dettagliata delle proprie operazioni e delle infrastrutture che erogano servizi prendendo in considerazione fattori quali criticità, impatto sul mercato, dipendenza dalle infrastrutture digitali e interconnessioni con altre attività.

Si tratta di un processo finalizzato a valutare il livello di criticità ed il rischio associato a ciascuna attività, che permette di aggiornare le misure di sicurezza in modo proporzionato alle minacce emergenti.

 

Il principio di proporzionalità e gradualità

La NIS2 si fonda sul principio di proporzionalità e gradualità degli obblighi, il quale si epicità in tre direttrici fondamentali:

  1. distinzione tra soggetti essenziali e importanti: basandosi sui criteri di criticità del settore e sull’importanza strategica delle attività svolte, la normativa differenzia tra soggetti essenziali e soggetti importanti, assegnando obblighi commisurati al rischio;
  2. criterio dimensionale: le piccole e microimprese non rientrano nell’ambito di applicazione della NIS salvo non vi sia una identificazione normativa (c.d. criterio della size-cap);
  • criterio della criticità degli assets che compongono l’infrastruttura ICT del soggetto: la categorizzazione delle attività e dei servizi, summenzionata, permette ai soggetti NIS di adottare misure proporzionate al rischio delle loro attività.

Il recepimento della NIS2 in italia: il quadro normativo nazionale

L’adattamento del sistema giuridico italiano

Il recepimento della direttiva NIS2 in Italia è una sfida complessa che richiede un adeguamento normativo e organizzativo su più livelli.

Il decreto legislativo 138/2024, ha recepito la direttiva NIS2 in Italia ed individuato i “soggetti essenziali” specificando nel dettaglio le categorie di imprese e infrastrutture ritenute strategiche per il paese, tra cui rientrano:

  • le grandi imprese nei settori ad alta criticità: aziende che operano in settori che dove l’interruzione del servizio può comportare ripercussioni su vasta scala. Tali settori sono indicati nell’allegato I del DL 138/2024 e ricomprendono tra gli altri l’energia, i trasporti, le comunicazioni e la sanità
  • pubbliche amministrazioni centrali: enti pubblici, indicati nella lettera a) dell’allegato III del DL 138/2024.

 

La notifica di incidente

Un aspetto fondamentale del recepimento della NIS2 in Italia riguarda la stretta collaborazione tra le autorità competenti – in particolare l’Agenzia per la Cybersicurezza in veste di CSIRT Italia – ed i soggetti obbligati a notificare gli incidenti.

Questa sinergia è essenziale per:

monitorare in tempo reale gli attacchi: attraverso la raccolta e l’analisi dei dati relativi agli incidenti informatici, le autorità possono mappare il panorama delle minacce e intervenire in modo tempestivo.

favorire il rapporto di reciprocità: la condivisione delle informazioni tra il settore pubblico e quello privato consente di migliorare la risposta agli attacchi, fornendo supporto tecnico e operativo ai soggetti colpiti.

 

Le misure di conformità e gli adempimenti

Il recepimento della NIS2 ha previsto una serie di adempimenti per garantire che i soggetti interessati adottino le misure necessarie per proteggere i propri sistemi.

Tra i principali adempimenti si segnalano:

  • l’implementazione di sistemi di monitoraggio e difesa: le aziende devono investire in soluzioni tecnologiche in grado di rilevare anomalie e prevenire attacchi informatici, integrando sistemi di autenticazione avanzata e crittografia;
  • la predisposizione di piani di emergenza: ogni ente deve sviluppare un piano operativo per gestire incidenti di sicurezza, includendo procedure di backup e di disaster recovery;
  • la formazione del personale: un efficace sistema di sicurezza informatica passa attraverso la formazione continua del personale, sensibilizzando i dipendenti sui rischi informatici e sulle tecniche di difesa;
  • la redazione di report e la notifica degli incidenti: il quadro normativo prevede una serie di obblighi in termini di comunicazione degli incidenti; in particolare, la pre-notifica deve essere effettuata entro 24 ore, dall’avvenuta conoscenza dell’incidente e la notifica completa entro 72 ore. Il soggetto NIS dovrà altresì predisporre e trasmettere una relazione finale allo CSIRT, entro un mese dall’incidente, contenente una descrizione dettagliata dell’incidente; il tipo di minaccia o la causa originale che ha probabilmente innescato l’incidente; le misure di attenuazione adottate e in corso.

 

La Vigilanza sulla cybersicurezza in Italia.

 

L’Agenzia per la Cybersicurezza

L’Agenzia per la Cybersicurezza Nazionale (ACN) assume un ruolo di primo piano dal punto di vista normativo nel quadro della Direttiva NIS2.

Il D.L. 138/2024 la ha infatti indicata come Autorità nazionale competente NIS e punto di contatto unico, attribuendole il compito di garantire l’applicazione uniforme e l’adeguato livello di sicurezza informatica su tutto il territorio nazionale, fungendo da punto di riferimento per il monitoraggio, la certificazione e la vigilanza delle misure adottate dai soggetti obbligati.

Più nello specifico l’Agenzia si occupa di:

  • definire le misure tecniche e organizzative minime:l’agenzia pubblica specifiche tecniche che i soggetti “essenziali” e “importanti” devono adottare per garantire un livello elevato di sicurezza informatica;
  • monitorare la compliance e vigilare sull’operato degli enti: ACN è responsabile di verificare se le organizzazioni registrate alla piattaforma digitale (appositamente istituita per raccogliere dati e autovalutazioni sullo stato di sicurezza informatica) rispettino gli obblighi normativi previsti dal Decreto. A tal fine le sono attribuiti poteri ispettivi, correttivi e sanzionatori.

 

Lo CSIRT Italia

Seppur formalmente parte dell’Agenzia per la Cybersicurezza, merita di essere esaminato a parte il Computer Security Incident Response Team (CSIRT) Italia, il quale svolge un ruolo cruciale nell’applicazione della normativa NIS2 per quanto riguarda la fase reattiva alle minacce informatiche. In particolare, esso è incaricato del:

  • ricevimento e della analisi delle notifiche di incidente: attraverso un sistema centralizzato, lo CSIRT raccoglie informazioni sugli attacchi informatici, permettendo una visione complessiva del fenomeno a livello nazionale;
  • del coordinamento delle risposte agli incidenti: in caso di attacchi rilevanti, lo CSIRT interviene per supportare le organizzazioni colpite e coordinare le misure di risposta, riducendone il potenziale impatto;
  • della diffusione best practices e linee guida: il team fornisce supporto tecnico e consulenza per favorire l’adozione di strategie di difesa efficaci, contribuendo alla formazione e sensibilizzazione degli operatori.

Le implicazioni della NIS2 per il tessuto economico e istituzionale italiano

Un sistema di sicurezza integrato e resiliente

L’introduzione della NIS2 rappresenta un punto di svolta per la cybersecurity in Italia: la direttiva non si limita a imporre obblighi normativi, ma promuove un approccio olistico alla sicurezza informatica, integrando aspetti tecnologici, organizzativi e culturali.

Questo nuovo assetto è destinato a:

  • incrementare la resilienza delle infrastrutture critiche: le misure adottate sono finalizzate a rendere i sistemi informativi più robusti, in grado di resistere ad attacchi sempre più sofisticati e persistenti.
  • favorire l’innovazione in materia di cybersecurity: il recepimento della nis2 stimola investimenti in tecnologie avanzate e soluzioni innovative, rafforzando il settore della sicurezza informatica in Italia.
  • creare un ecosistema di collaborazione: il coinvolgimento sia degli enti pubblici che delle aziende private in un dialogo continuo permette di condividere esperienze, conoscenze e best practice, migliorando complessivamente il livello di sicurezza nazionale.

Dal recepimento della NIS2 possono inoltre aprirsi rilevanti opportunità per il tessuto economico e istituzionale italiano: da un lato un ambiente normativo chiaro e rigoroso può contribuire a rafforzare la fiducia degli investitori, e favorire l’ingresso di capitali nel settore della cybersecurity; dall’altro lato una maggiore uniformità della normativa europea può migliorare l’integrazione del mercato unico digitale con ricadute positive per tutti gli operatori.

Il recepimento della NIS2 non è tuttavia esente da sfide, tra cui:

  • l’adeguatezza delle risorse: molte organizzazioni, specialmente quelle di dimensioni medie, potrebbero incontrare difficoltà nell’allocazione delle risorse necessarie per l’implementazione delle misure richieste;
  • la necessità di aggiornare costantemente le misure di sicurezza: dal momento che il panorama delle minacce informatiche è in continuo mutamento è necessario che misure di sicurezza siano costantemente riviste e aggiornate per rimanere efficaci.
  • la necessità di diffondere una cultura della cybersicurezza: è necessario che non solo gli operatori del settore ma più in generale tutti i cittadini acquisiscano consapevolezza dei rischi digitali, adottino comportamenti responsabili online e sviluppino le competenze necessarie per proteggere i propri dati e dispositivi.

Esemplificativo di questa tensione fra costi e benefici, nell’attuazione della NIS2 è il caso delle medie imprese: se da un lato, le risorse limitate e la complessità tecnica possono costituire un ostacolo all’adozione di sistemi avanzati di sicurezza dall’altro lato l’obbligo normativo spinge queste realtà a innovare, investendo in soluzioni di cybersecurity che, nel medio-lungo termine, possono rafforzare la competitività e proteggere il valore aziendale.

 

Conclusioni

La NIS2 rappresenta una svolta epocale per la cybersecurity, segnando il passaggio a un modello normativo integrato e proattivo.

A ben vedere, infatti l’adozione della NIS2 è molto più che un adeguamento normativo: è un invito a ripensare e a rinnovare l’intero ecosistema digitale, ponendo al centro la sicurezza e la cyber resilienza.

Le sfide sono molteplici, ma le opportunità offerte dalla nuova direttiva possono costituire un vantaggio competitivo per il nostro paese, favorendo lo sviluppo di una cybereconomia robusta e all’avanguardia.

Per sfruttare appieno i benefici della nuova normativa, è però fondamentale che imprese e pubbliche amministrazioni:

  • investano in formazione e sensibilizzazione: la sicurezza informatica è una responsabilità condivisa; investire nella formazione del personale e nella creazione di una cultura della cybersecurity è essenziale per ridurre il rischio umano;
  • adottino un approccio proattivo alla gestione dei rischi: non basta reagire agli incidenti, ma è necessario anticipare le minacce attraverso analisi dei rischi continue e l’implementazione di soluzioni innovative;
  • collaborino e condividano le informazioni: canali di comunicazione efficaci con il CSIRT e con altri enti può fare la differenza nella gestione tempestiva degli incidenti;
  • pianifichino e testino regolarmente i piani di emergenza: la preparazione è la chiave per garantire la continuità operativa; simulazioni e test periodici permettono di individuare eventuali criticità e di migliorare i processi di risposta.

 

Nel recepire la NIS2, l’Italia si è allineata agli standard europei, rafforzando le infrastrutture critiche, promuovendo l’innovazione e incentivando una cultura della sicurezza condivisa tra pubblico e privato. L’impegno nella formazione, l’adozione di tecnologie avanzate e la cooperazione tra enti sono gli elementi chiave per tradurre le disposizioni normative in una reale protezione contro le minacce informatiche.

 

[1]  ENISA, Threath Landscape 2024, https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024

 

Tags :

News