La Direttiva NIS 2 europea per la protezione delle infrastrutture critiche trova applicazione con il recepimento degli Stati membri e le norme ad essa collegate, come PSNC e CER. Vediamo le più rilevanti linee guida italiane da conoscere.

Tempo di lettura: 5 minuti Difficoltà: Advanced
17 Settembre 2024
17 Settembre 2024
Tempo di lettura: 5 minuti Difficoltà: Advanced
Topic

La Direttiva NIS 2 europea per la protezione delle infrastrutture critiche trova applicazione con il recepimento degli Stati membri e le norme ad essa collegate, come PSNC e CER. Vediamo le più rilevanti linee guida italiane da conoscere.

Strategia nazionale di cybersicurezza

Il recepimento della Direttiva NIS 2 trova fondamento nell’integrazione del quadro di gestione delle crisi informatiche nel contesto dell’organizzazione nazionale per la gestione degli incidenti cyber, con ACN (Agenzia per Cybersecurity Nazionale) come autorità e punto di contatto per i soggetti NIS, sottostanti all’obbligo di segnalazione delle vulnerabilità.

La fase di prima applicazione della Direttiva NIS 2 in Italia è fissata al 31 dicembre 2025
Richiedi una consulenza preliminare al recepimento italiano arrow

Connessione con le norme italiane

In prima istanza, è necessario esaminare il Perimetro di Sicurezza Nazionale Cibernetico (PSNC).
Se la direttiva NIS riguarda la sicurezza informatica delle reti dei sistemi informativi nell’Unione, il PSNC tratta la sicurezza informatica delle reti, dei sistemi e dei servizi che possono avere un impatto sulla sicurezza nazionale.


L’Art. 33 di NIS 2 specifica il coordinamento con PSNC in questo modo:

  • PSNC risulta equivalente alla NIS 2 per la gestione del rischio e il sistema di notifica alle autorità, sebbene
  • Ai soggetti nel PSNC non si applica NIS 2



Il Decreto Legislativo 105/2019 istituisce infatti il PSNC con l’obiettivo di “tutelare la sicurezza dello Stato e garantire un elevato livello di sicurezza cibernetica da cui dipende l’esercizio di una funzione essenziale o l’erogazione di un servizio essenziale dello Stato”.


Ciò significa che il PSNC è da intendersi come una legge di sicurezza nazionale, o meglio, al centro del PSNC vi è la sicurezza delle reti, dei sistemi informativi e dei servizi informatici (cosiddetti “beni ICT”), dal cui funzionamento dipende l’esercizio di funzioni e servizi essenziali dello Stato. Per preservare questa sicurezza, la legge impone determinati obblighi.


I soggetti PSNC sono individuati dalle amministrazioni competenti per i settori di attività di cui all’articolo 3 del DPCM 131/2020, in riferimento a ciascun settore di attività, se soddisfano i seguenti criteri:

  • essere un’amministrazione pubblica, un ente, o un operatore pubblico o privato aventi una sede nel territorio nazionale
  • esercitare una funzione essenziale dello Stato o erogare un servizio essenziale nei settori identificati, ossia governativo, interno, difesa, spazio e aerospazio, energia, telecomunicazioni, economia e finanza, trasporti, servizi digitali, tecnologie critiche, enti previdenziali/lavoro
  • esercitare tali funzioni/servizi in modalità dipendenti dall’utilizzo di reti, sistemi informativi e servizi informatici



Un soggetto esercita una funzione essenziale dello Stato quando svolge compiti diretti per la continuità dell’azione di Governo e degli Organi costituzionali.
Un soggetto presta quindi un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, quando pone in essere attività strumentali all’esercizio di funzioni essenziali dello Stato, attività necessarie per l’esercizio e il godimento dei diritti fondamentali, attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica, attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale.


Ai sensi del Decreto Legislativo 105/2019, le misure di sicurezza per i beni ICT sono stabilite relativamente ai seguenti ambiti:

  • struttura organizzativa preposta alla gestione della sicurezza
  • politiche di sicurezza e alla gestione del rischio
  • mitigazione e gestione degli incidenti e alla loro prevenzione
  • protezione fisica e logica e dei dati
  • integrità delle reti e dei sistemi informativi
  • gestione operativa, ivi compresa la continuità del servizio, monitoraggio, test e controllo, formazione e consapevolezza, affidamento di forniture di beni, sistemi e servizi ICT


Sapevi che esistono standard internazionali di aiuto per l’applicazione delle misure NIS 2?
Leggi l'articolo arrow

Collegamento con la Direttiva CER

La Direttiva UE 2022/2557 tratta in dettaglio il tema della resilienza delle infrastrutture critiche.
La nuova direttiva CER, che sostituisce la precedente direttiva sulle infrastrutture critiche europee del 2008, si pone l’obiettivo di rafforzare la sicurezza delle infrastrutture critiche a una serie di minacce, tra cui rischi naturali, attacchi terroristici, minacce interne o sabotaggio.


Gli Stati membri dovranno adottare una strategia nazionale ed effettuare valutazioni periodiche dei rischi per individuare i soggetti considerati critici o vitali per la società e per l’economia.
L’obiettivo della norma si concretizza nell’accrescere la capacità di prevenzione, resistenza, reazione e risposta (resilienza, nel lessico di oggi) rispetto ad incidenti perturbatori della fornitura di servizi essenziali.


La Direttiva CER individua molteplici settori oggetto della sua disciplina:

  • energia (energia elettrica, teleriscaldamento e tele raffreddamento, petrolio, gas, idrogeno)
  • trasporti (aereo, ferroviario, acqua, strada, pubblico)
  • settore bancario
  • infrastrutture dei mercati finanziari
  • acqua potabile
  • acque reflue
  • infrastrutture digitali
  • enti della pubblica amministrazione
  • spazio
  • produzione, trasformazione e distribuzione di alimenti



In parallelo con NIS 2, CER si preoccupa di proteggere le infrastrutture diverse da quelle informatiche dei soggetti critici.
Il fatto importante è che un soggetto CER diventa anche soggetto essenziale NIS 2, tuttavia con scadenze CER spostate di circa un anno rispetto alla NIS 2.


La direttiva CER impone obblighi volti a:

  • fare adottare agli Stati membri una strategia nazionale per la resilienza dei soggetti critici
  • valutazione del rischio da parte di ciascun Stato membro
  • rendere obbligatoria l’individuazione come soggetti critici, da parte di ciascuno Stato membro
  • fare adottare ai soggetti critici misure tecniche, di sicurezza ed organizzative volte a rafforzarne la resilienza
  • obbligare i soggetti critici a procedere alla notifica senza indebito ritardo (e comunque entro 24 ore) all’autorità competente
  • individuare i soggetti critici di particolare rilevanza a livello europeo
  • definire procedure comuni di cooperazione
  • prevedere l’irrogazione di sanzioni efficaci, proporzionate e dissuasive in caso di violazione delle disposizioni nazionali prescritte



    • L’iter previsto attribuisce alla Presidenza del Consiglio dei Ministri la direzione e la responsabilità generale nell’adozione della strategia nazionale, ma, in conclusione, saranno i soggetti a svolgere la valutazione dei rischi entro 9 mesi dalla notifica, individuando le proprie infrastrutture critiche e applicando le misure previste dalla valutazione dei rischi propria e dello Stato (entro 10 mesi dalla notifica).

    Vuoi dare concretezza alla protezione delle infrastrutture critiche?
    Contattaci arrow
    Torna all'elenco degli articoli
Send this to a friend