Cosa cambia per gli IT security manager con l’avvento della NIS2?

di Marco Soffientini - Esperto di Privacy e Diritto delle Nuove Tecnologie e docente Ethos Academy

Il 01 Ottobre 2024 è stato pubblicato in GU n.230 il D.Lgs 04 Settembre 2024, n.138 che ha recepito la Direttiva UE 2022/2555 - NIS 2. I principali obblighi previsti dal decreto riguardano: registrazione e aggiornamento delle informazioni (art. 7); organi di amministrazione e direttivi (art. 23); obblighi in materia di misure di sicurezza informatica (art. 24); obblighi in materia di notifica di incidente (art. 25); per alcune tipologie di soggetti, obblighi in materia di banca dei dati di registrazione dei nomi di dominio (art. 29); categorizzazione delle attività e dei servizi (art. 30). Vediamoli.

Sebbene la NIS 2 attribuisca all’organo di amministrazione il compito di sovrintendere alla applicazione della normativa, non fornisce una definizione di “organo di amministrazione”. Tuttavia, esso può essere inteso come l’organo che sovrintende alla governance societaria. Il decreto legislativo 138/2024 precisa che a essere responsabile della corretta implementazione della normativa in questione è qualsiasi persona fisica che sia in qualche modo responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni o di esercitare un controllo sul soggetto stesso. I dati identificativi e di contatto di tali soggetti dovranno essere comunicati all’Agenzia per la Cybersicurezza Nazionale. 

Le precisazioni dell’ACN

Ai sensi dell’art. 4 della Determina n.0038565.26-11-2024 dell’ACN, si precisa che:

1. Il punto di contatto è una persona fisica designata dal soggetto NIS con il compito di curare l’attuazione delle disposizioni del decreto NIS per conto del soggetto stesso. In particolare, il punto di contatto accede al Portale ACN e ai Servizi NIS, effettua, per conto del soggetto, la registrazione di cui all’articolo 7 del decreto NIS, e interloquisce, per conto del soggetto NIS, con l’Autorità nazionale competente NIS. 

2. Le funzioni di punto di contatto possono essere svolte dal rappresentante legale del soggetto NIS, da uno dei procuratori generali del soggetto NIS o da un dipendente del soggetto NIS delegato dal rappresentante legale del soggetto medesimo. Laddove il punto di contatto, nell’espletamento delle proprie funzioni, si avvalga di personale esterno, restano comunque ferme le disposizioni di cui al comma 1. 

3. Qualora il soggetto sia parte di un gruppo di imprese, le funzioni di punto di contatto possono essere svolte da un dipendente di un’altra impresa del gruppo che rientra nell’ambito di applicazione del decreto NIS, delegato dal rappresentante legale del soggetto stesso. 

4. Qualora il soggetto NIS sia una pubblica amministrazione, le funzioni di punto di contatto possono essere svolte da un dipendente di un’altra PA che rientra nell’ambito di applicazione del decreto NIS, delegato dal rappresentante legale del soggetto stesso. 

5. Il punto di contatto riferisce direttamente al vertice gerarchico del soggetto NIS nonché agli organi di amministrazione e direttivi del soggetto medesimo ai fini di quanto previsto dal decreto NIS. 

6. Resta ferma, in ogni caso, la responsabilità degli organi di amministrazione e direttivi del soggetto NIS ai sensi dell’articolo 23 del decreto NIS e delle persone fisiche ai sensi dell’articolo 38 del medesimo decreto. 

7. La designazione del punto di contatto da parte dei soggetti di cui all’articolo 1, comma 1, della legge 28 giugno 2024, n. 90, che rientrano nell’ambito di applicazione del decreto NIS, può soddisfare l’obbligo di nomina e comunicazione del referente per la cybersicurezza di cui all’articolo 8, comma 2, della medesima legge.

Con l’introduzione di un dovere di sovrintendenza, è chiaro che l’obiettivo della normativa è far sì che i vertici delle aziende ritenute essenziali o importanti siano concretamente coinvolti nell’attuazione delle disposizioni della Direttiva NIS 2. 

Impatto sull’IT Security Manager

Si tratta di una normativa che richiede il rispetto di elevati standard di cybersecurity e pertanto è destinata a incidere sull’attività e responsabilità degli IT Security Manager sotto diversi profili.

Il Security Manager ha la responsabilità di garantire la sicurezza delle informazioni e dei sistemi IT all’interno di un’organizzazione e per questo è tenuto a sviluppare politiche di sicurezza conducendo valutazioni dei rischi per identificare minacce e vulnerabilità, ed applicare strategie di mitigazione. Inoltre, deve occuparsi dalla governance della sicurezza informatica alla gestione del rischio, fino alla formazione continua del personale.

A queste attività, con la NIS 2 si aggiungono specifici compiti come gestire gli incidenti con la notifica all’ACN (obbligatoria a partire da gennaio 2026) e garantire la sicurezza dell’intera catena di approvvigionamento, il che implica una gestione più attenta dei fornitori.

Riepilogando possiamo affermare che l’IT Security manager con NIS 2 dovrà confrontarsi con:

• Risk Assessment - si devono effettuare valutazioni dei rischi dettagliate;

• Rischi fisici e ambientali - vanno considerati rischi non digitali, come calamità naturali e guasti hardware, che possono impattare sulla sicurezza delle informazioni.

Da ultimo, come prevede il Regolamento di esecuzione del 17 ottobre 2024, vanno attuati almeno i seguenti punti: politiche di analisi dei rischi e di sicurezza dei sistemi informatici; gestione degli incidenti; continuità operativa - come la gestione del backup e il ripristino in caso di disastro; gestione delle crisi; sicurezza della catena di approvvigionamento - compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi; sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete - compresa la gestione e la divulgazione delle vulnerabilità; strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza; pratiche di igiene informatica di base e formazione in materia di cibersicurezza; politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura; sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi.