Cybersecurity nazionale: il Decreto di adeguamento alle regole europee

È stato pubblicato in G.U. n. 230 del 1/10/2024 il D.Lgs. n. 138/2024 con il quale si recepisce la direttiva (UE) 2022/2555, concernente le misure per garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea.

Il tema della cybersicurezza risulta decisivo anche in connessione con lo sviluppo dell’intelligenza artificiale, poiché i data set su cui i sistemi di IA poggiano richiedono elevati livelli di integrità e protezione. A livello di Unione europea la materia della sicurezza cibernetica è stata inizialmente regolata dalla direttiva UE) 2016/1148 del 6 luglio 2016 che reca misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (c.d. direttiva NIS – Network and Information Security) al fine di conseguire un “livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea. La direttiva è stata recepita nell’ordinamento italiano con il decreto legislativo n. 65 del 18 maggio 2018 (c.d. decreto legislativo NIS). Le norme introdotte nel 2016 sono state aggiornate dalla direttiva (UE) 2022/2555 del 14 dicembre 2022 (c.d. direttiva NIS 2) che sostituisce il quadro di riferimento in materia, al fine di tener conto di una crescente digitalizzazione del mercato interno e di un panorama in evoluzione delle minacce alla cybersicurezza.

Per quanto riguarda le principali novità, la direttiva NIS 2 amplia il campo di applicazione, da un lato, includendovi anche la pubblica amministrazione centrale (lasciando discrezionalità agli Stati membri di inserire gli enti locali in base all’assetto istituzionale), le piccole e microimprese (solo se operano in settori chiave per la società) e, indipendentemente dalle dimensioni, fornitori di servizi di comunicazione elettroniche pubbliche e di reti di comunicazione elettronica accessibili al pubblico, e dall’altro lato, aumentando significativamente i settori di applicazione.

Al fine di aumentare il livello di sicurezza informatica del Paese, il D.Lgs. n.138/2024 prevede alcuni strumenti quali:

  • la definizione di una strategia nazionale di cybersicurezza;
  • l’integrazione del quadro di gestione delle crisi informatiche, nel contesto dell’organizzazione nazionale per la gestione delle crisi che coinvolgono aspetti di cybersicurezza, di cui all’articolo 10 del decreto-legge 4 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;
  • la conferma dell’Agenzia per la cybersicurezza nazionale quale Autorità competente NIS (Nucleo per la cybersicurezza) e punti di contatto unico e Gruppo di intervento nazionale per la sicurezza informatica in caso di incidente in ambito nazionale (CSIRT Italia); inoltre, l’Agenzia dovrebbe ricoprire funzioni di coordinatore delle Autorità nazionali di gestione delle crisi informatiche su vasta scala;
  • l’individuazione di Autorità di settore NIS che collaborano con l’Agenzia per la cybersicurezza nazionale.

Rientrano nel campo di applicazione del decreto le seguenti amministrazioni locali:

  • le Città metropolitane;
  • i Comuni con popolazione superiore a 100.000 abitanti;
  • i Comuni capoluoghi di regione;
  • le Aziende sanitarie locali.

Il provvedimento prevede una serie di obblighi al fine di gestire i rischi per la sicurezza informatica. In particolare, prevede l’obbligo di adottare misure tecniche, operative e organizzative adeguate e proporzionate alla gestione
dei rischi, specificandone le caratteristiche e gli elementi essenziali. Si stabilisce che, per valutare l’adeguatezza delle misure di sicurezza nella catena di approvvigionamento, i soggetti interessati considerino le vulnerabilità specifiche di ogni fornitore e la qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei fornitori, incluse le loro procedure di sviluppo sicuro. Devono anche tenere conto dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche effettuate dal Gruppo di cooperazione NIS.

 

La redazione PERK SOLUTION