NIS2: primi step attuativi e check-list di verifica

È noto che dal 16 ottobre 2024 è in vigore la nuova normativa Network and Information Security (NIS2). Tale normativa prevede obblighi e adempimenti in capo ai soggetti interessati, per garantire l’aumento del livello di sicurezza informatica del Paese.

Cosa devono fare le aziende?

Andiamo per step.

1° Step - In via preliminare, sarebbe necessario procedere alla verifica dell’ambito di applicazione, in base agli artt. 3 e 6 del Dlgs. n. 138/2024 (decreto Nis) e agli allegati I-IV al medesimo, mirata ad appurare se l’Ente o l’azienda rientrano tra i soggetti ai quali si applica la normativa in questione.

Può essere utile, a tal fine, consultare il documento FAQ-1.5_Dettagli-Ambiti-di-applicazione, pubblicato sul sito ACN (www.acn.gov.it).

In caso di verifica positiva, circa l’applicabilità della NIS 2, sarebbe opportuno approvare una delibera, nella quale si dia atto della operata verifica di applicabilità, con le relative considerazioni e conclusioni.

2° Step - Andrebbe quindi costituito un Team Nis 2, con individuazione di un referente interno al Team e del soggetto delegato a punto di contatto, per le comunicazioni con le autorità competenti.

3° Step - Andrebbero poi approvate, dagli organi di amministrazione, le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica, previste dall’art. 23, comma 1, lett. a), D.Lgs. n. 138/2024.

4° Step - Andrebbe effettuata un’autovalutazione iniziale, tramite somministrazione di check list di verifica degli adempimenti e obblighi previsti dagli artt. 23, 24 e 25 del D.Lgs. n. 138/2024, che potrebbe avere il contenuto che segue.

Check-list di verifica

Gli organi di amministrazione e gli organi direttivi hanno:

•  approvato le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica adottate ai sensi dell’articolo 24?
•  verificato l’implementazione degli obblighi di cui al capo IV del D.Lgs. n. 138/2024 e di cui all’articolo 7?

Gli organi di amministrazione e gli organi direttivi:

• hanno seguito una formazione in materia di sicurezza informatica?
• hanno promosso un’offerta di formazione coerente ai loro dipendenti, per favorire l’acquisizione di conoscenze e competenze sufficienti al fine di individuare i rischi e valutare le pratiche di gestione dei rischi per la sicurezza informatica e il loro impatto sulle attività del soggetto e sui servizi offerti?
• Gli organi di amministrazione e gli organi diretti vi sono informati su base periodica e se opportuno, tempestivamente, degli incidenti e delle notifiche di cui agli articoli 25 e 26?
• Sono stati adottate misure tecniche, operative e organizzative adeguate e proporzionate, alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che vengono utilizzati nelle attività o nella fornitura dei servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei servizi?

Tali misure:

• Assicurano un livello di sicurezza dei sistemi informativi e di rete adeguato ai rischi esistenti, tenuto con to delle conoscenze più aggiornate e dello stato dell’ar te in materia e, ove applicabile, delle pertinenti norme nazionali, europee e internazionali?
• Sono proporzionate al grado di esposizione a rischi del soggetto, alle dimensioni del soggetto e alla probabilità che si verifichino incidenti, nonché alla loro gravità, compreso il loro impatto sociale ed economico?
• Sono state adottate misure basate su un approccio multirischio, volto a proteggere i sistemi informativi e di rete nonché il loro ambiente fisico da incidenti?

Tali misure comprendono almeno i seguenti elementi?

• Politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete;
• Gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche di cui agli articoli 25 e 26;
• Continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro, ove applicabile, e gestione delle crisi;
• Sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
• Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità;
• Politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica;
• Pratiche di igiene di base e di formazione in mate ria di sicurezza informatica;
• Politiche e procedure relative all’uso della crittografia e, ove opportuno, della cifratura;
• Sicurezza e affidabilità del personale, politiche di controllo dell’accesso e gestione dei beni e degli assetti;
• Uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno;
• Si è tenuta in considerazione la vulnerabilità specifica per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi?

5° Step - I soggetti pubblici e privati, a cui si applica il decreto NIS, dal 1° dicembre 2024 e fino al 28 febbraio 2025 devono registrarsi sulla piattaforma digitale esa disponibile dall’ACN.

La mancata registrazione costituisce violazione sanzionabile, con una sanzione amministrativa pecuniaria fino allo 0,1% del fatturato annuo del soggetto tenuto a tale incombenza.

La registrazione è disciplinata dall’art. 7 del decreto NIS e i relativi termini sono previsti dalla determinazione ACN n. 38565 del 26.11.2024.

Adempimento preliminare alla registrazione è costituito dalla designazione del punto di contatto, che in linea generale può essere costituito da un dipendente delegato dal legale rappresentante del soggetto tenuto alla registrazione.

Con tali primi step operativi può avviarsi il percorso di compliance al decreto NIS.

Articolo di Marco Pagliara, Avvocato, DPO e Privacy Officer certificato TÜV Italia, Delegato Federprivacy nella provincia di Foggia.