L’Italia è tra i primi Paesi dell’Unione Europea – in anticipo rispetto alla deadline del 18 ottobre 2024 – a recepire la Direttiva pubblicata ufficialmente il 27 dicembre 2022. Il provvedimento, volto a rafforzare le misure di protezione contro le minacce informatiche all’interno dell’UE, sostituisce la precedente Direttiva NIS, estendendone il campo di applicazione e introducendo obblighi più stringenti per le imprese e le pubbliche amministrazioni. Il progetto di legge italiano, il cui documento ufficiale non è ancora stato pubblicato, evidenzia un forte impegno del Paese verso la cybersecurity e la resilienza delle infrastrutture critiche, tanto a livello nazionale quanto europeo. Composta da 44 articoli, la bozza prevede misure specifiche e meccanismi di coordinamento essenziali per affrontare le minacce cibernetiche in modo efficace e sostenibile. Da un punto di vista operativo per i soggetti interessati (ovvero PA, aziende dei settori energy, ICT, trasporti, sanitario, e alimentare, produttori di macchinari e apparecchiature elettroniche), cosa cambia?
Verrà chiesto loro di registrarsi su una apposita piattaforma, in uno specifico periodo (gennaio-febbraio) di ogni anno. Saranno poi distinti i c.d. “soggetti essenziali” dai “soggetti importanti” in base alla natura dei servizi che forniscono e all’importanza che rivestono per il funzionamento della società e dell’economia. Tale distinzione permette una maggiore focalizzazione e una più efficiente allocazione delle risorse, sia in termini di prevenzione che di risposta agli incidenti informatici;
- La piattaforma sarà il principale mezzo di interazione tra i soggetti interessati e l’ACN (Agenzia di Cybersecurity Nazionale);
- Sarà poi richiesta una maggiore responsabilità aziendale, sia in termini di supervisione del management circa l’approvazione e la diffusione della formazione sulle procedure di sicurezza informatica dell’azienda e per affrontare i rischi informatici, sia in termini di continuità del business, attraverso la pianificazione di una strategia che consideri il ripristino del sistema, le procedure di emergenza e la creazione di un team di risposta alla crisi derivante da un incidente informatico.
Il decreto si sofferma inoltre sul ruolo delle autorità nazionali e sulla loro cooperazione sul territorio e con le autorità internazionali, enfatizzando una gestione delle crisi informatiche su vasta scala. È inoltre presentato un articolato sistema di misure esecutive, sanzionatorie e di cooperazione internazionale in ambito di sicurezza informatica: viene stabilito che l’Autorità nazionale competente NIS eserciti poteri esecutivi basati su monitoraggio, analisi e verifiche ispettive. L’Autorità potrà intimare l’esecuzione di audit sulla sicurezza, scansioni di sicurezza e altre misure correttive, nonché la comunicazione pubblica delle violazioni e degli incidenti rilevanti. Restiamo dunque in attesa della pubblicazione ufficiale del documento.