WEBINAR / 1 ottobre
DORA e servizi ICT di terze parti


La gestione dei rapporti contrattuali e dei processi

ZOOM MEETING

Offerte per iscrizioni entro il 6/09

SCOPRI I DETTAGLI

WEBINAR / 1 ottobre
DORA e servizi ICT di terze parti
SCOPRI I DETTAGLI
Login
Contatti
Categorie tematiche
Categorie tematiche
Link veloci
Link veloci
DB Business
DB Business
Chi siamo
Chi siamo
Contatti
Login
www.dirittobancario.it
Flash News
IT

Direttiva NIS2: lo schema di decreto legislativo di recepimento

27 Agosto 2024
Di cosa si parla in questo articolo
Cybersecurity Direttiva NIS NIS2
Condividi

E’ stato presentato alla Camera, per l’avvio dell’iter di approvazione parlamentare, lo schema di decreto legislativo di attuazione della Direttiva (UE) n. 2555/2022 (c.d. Direttiva NIS2), il cui recepimento è previsto entro il prossimo 17 ottobre 2024.

Lo schema di decreto, strutturato in sei capi, prevede l’abrogazione del D. Lgs. 65/2018 – che aveva recepito la prima direttiva in materia, ovvero la Direttiva (UE) 2016/1148 (c.d. NIS) – salvo un parziale regime transitorio previsto dallo schema:

  1. Capo I: disposizioni generali che, all’art. 5, recepiscono anche il Capo V (Giurisdizione e registrazione) della direttiva NIS2
  2. Capo II: quadro nazionale  di sicurezza informatica che, all’art. 17, recepisce anche il Capo VI (Condivisione delle informazioni) della direttiva NIS2
  3. Capo III: cooperazione a livello dell’Unione europea e internazionale che, all’art. 18  recepisce anche parte dei due articoli che compongono il Capo VIII (Atti delegati e atti di esecuzione) della direttiva NIS2
  4. Capo IV: obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente che, all’art.  27 (Uso di schemi di certificazione della cybersicurezza), recepisce parte dei due articoli che compongono il Capo VIII (Atti delegati e atti di esecuzione) della direttiva NIS2
  5. Capo V: supervisione, che recepisce e razionalizza le disposizioni contenute al capo VII (Vigilanza ed esecuzione) della direttiva NIS2
  6. Capo VI: disposizioni finali e transitorie, che recepisce il Capo IX (Disposizioni Finali) della direttiva NIS2.

Direttiva NIS2: i soggetti obbligati

La Direttiva NIS2 include:

  • le PA centrali (lasciando discrezionalità agli Stati membri di inserire le PA locali in base ad una valutazione sul rischio di impatti significativi su attività sociali o economiche critiche in caso di perturbazione)
  • le piccole e micro-imprese operanti in settori chiave
  • indipendentemente dalle dimensioni, i fornitori di servizi di comunicazione elettroniche pubbliche e di reti di comunicazione elettronica accessibili al pubblico
  • tutti i soggetti che superano i massimali comunitari per le piccole imprese, ovvero oltre 50 dipendenti e un fatturato annuo superiore a 10 milioni di euro o un totale di bilancio annuo superiore a 43 milioni di euro.

Restano esclusi i soggetti operanti nella sicurezza nazionale, pubblica sicurezza e difesa, il Parlamento, l’Autorità Giudiziaria e la Banca Centrale.

L’ambito applicativo della Direttiva NIS2 nel disegno di legge

Lo schema di recepimento della NIS2 individua l’ambito di applicazione del decreto con riferimento all’attività esercitata, rientrandovi:

  1. i soggetti, pubblici o privati, dei settori “altamente critici” (di cui all’Allegato I) e “critici” (di cui all’Allegato II), nonché dei relativi sottosettori e delle tipologie di soggetti, purché superino i massimali dimensionali previsti; quanto all’applicazione del criterio dimensionale ai gruppi di imprese, lo schema dà rilevanza, ai fini dell’esclusione, all’indipendenza del soggetto in termini di sistemi informativi e di rete, nonché in termini di servizi che fornisce (mentre i relativi criteri di determinazione saranno individuati dalla normativa secondaria)
  2. le categorie di PA e le ulteriori tipologie di soggetto di cui, rispettivamente, agli Allegati III e IV.

Indipendentemente dalle dimensioni dell’impresa, rientrano comunque nell’ambito di applicazione dello schema di decreto anche:

  • i soggetti che sono identificati come critici ai sensi della normativa di recepimento della Direttiva (UE) 2022/2557 (Critical Entities Resilienced “CER”)
  • i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico
  • i prestatori di servizi fiduciari
  • i gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di sistema dei nomi di dominio, nonché i fornitori di servizi di registrazione dei nomi di dominio
  • le PA, di cui all’art. 1, comma 3, della L. 196/ 2009, ricomprese nell’Allegato III
  • i soggetti delle tipologie di cui agli Allegato IV e V come individuati dall’ACN
  • i soggetti già identificati come operatori di servizi essenziali ai sensi della NIS
  • i soggetti identificati dall’ACN (Agenzia per la cybersicurezza nazionale), su proposta delle Autorità di settore, qualora:
    • sia l’unico fornitore nazionale di un servizio essenziale per il mantenimento di attività sociali o economiche fondamentali
    • la perturbazione di un servizio reso dal fornitore potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica
    • la perturbazione di un servizio reso dal fornitore potrebbe comportare un rischio sistemico significativo 
    • il fornitore risulti critico per la sua particolare importanza a livello nazionale o regionale per un particolare settore o tipo di servizio o per altri settori indipendenti in Italia
    • il fornitore risulti critico quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti
    • l’impresa sia collegata ad un soggetto essenziale o importante, se tuttavia soddisfa almeno uno dei seguenti criteri:
      • adotta decisioni o esercita un’influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica del soggetto importante o essenziale
      • detiene o gestisce sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale
      • effettua operazioni di sicurezza informatica del soggetto importante o essenziale
      • fornisce servizi ICT o di sicurezza al soggetto importante o essenziale.

La definizione di soggetti essenziali ed importanti e le misure tecniche richieste

Lo schema di decreto di recepimento della NIS2 considera essenziali:

  • i soggetti di cui all’Allegato I che superino i massimali per le medie imprese
  • i soggetti identificati come soggetti critici ai sensi del decreto legislativo di recepimento della Direttiva CER
  • i fornitori di reti pubbliche di comunicazione elettronica e i fornitori di servizi di comunicazione elettronica accessibili al pubblico che si considerano medie imprese
  • i prestatori di servizi fiduciari qualificati
  • i gestori di registri dei nomi di dominio di primo livello, nonché i prestatori di servizi di sistema dei nomi di dominio
  • le PA centrali di cui all’Allegato III, comma 1, lettera a)
  • i soggetti individuati come critici dall’ACN.

Tutti gli altri soggetti destinatari del disegno di legge non definiti soggetti essenziali, sono da considerarsi soggetti importanti.

I soggetti essenziali e importanti, secondo lo schema di d.d.l., dovranno adottare misure tecniche, operative e organizzative adeguate e proporzionate, secondo le modalità e i termini di cui al decreto, alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.

Tali misure, ai sensi dell’art. 24 del d.d.l., devono assicurare un livello di sicurezza dei sistemi informativi e di rete adeguato ai rischi esistenti.

In particolare, le misure tecniche richieste comprendono:

  • politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete
  • la gestione degli incidenti
  • politiche di continuità operativa, ivi inclusa la gestione di backup,il ripristino in caso di disastro e gestione delle crisi
  • politiche di sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi
  • pratiche di igiene di base e di formazione in materia di sicurezza informatica
  • uso della crittografia
  • sicurezza e affidabilità del personale, politiche di controllo dell’accesso e gestione dei beni e degli assetti
  • uso di soluzioni di autenticazione a più fattori o continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza.

Obblighi proporzionati e graduali per imprese e PA

L’Agenzia per la Cybersicurezza Nazionale dovrà stabilire obblighi proporzionati:

  • al grado di esposizione dei soggetti ai rischi
  • alle dimensioni dei soggetti ed alla probabilità che si verifichino incidenti
  • alla loro gravità (come l’impatto sociale ed economico).

Ciò, al fine di definire termini, modalità e tempi graduali di implementazione degli obblighi.

A tal fine, ai sensi dell’art. 31 del d.d.l., potrà emanare a tal fine linee guida vincolanti per l’attuazione di tali obblighi in capo a imprese e PA.

Di cosa si parla in questo articolo
Cybersecurity Direttiva NIS NIS2
Allegati

WEBINAR / 1 ottobre
DORA e servizi ICT di terze parti


La gestione dei rapporti contrattuali e dei processi

ZOOM MEETING

Offerte per iscrizioni entro il 6/09

SCOPRI I DETTAGLI

WEBINAR / 26 settembre
Operazioni di pagamento non autorizzate: nuove aspettative di vigilanza


Comunicazione Banca d’Italia 17 giugno 2024

ZOOM MEETING

Offerte per iscrizioni entro il 3/09

SCOPRI I DETTAGLI
Iscriviti alla nostra Newsletter
ISCRIVITI