Introduzione

Ormai da anni la comunità Europea si sta ritagliando sempre più un ruolo di rilievo nello scenario globale in materia di

sicurezza dei dati e delle informazioni, definendo i confini geografici e normativi nei rapporti con tutti i paesi terzi per

l’erogazione dei servizi destinati all’ Europa ed ai suoi interessati, ed erogati dagli operatori interni. Ma non solo, l’Europa

sta lavorando molto anche per innalzare il livello generale della sicurezza informatica dei paesi membri, sia dei soggetti

pubblici che privati. Dopo il Regolamento UE 2016/679 Regolamento Privacy ed è stata la volta della Direttiva NIS1 Dir.

2016/1148 e da lì in poi un’escalation di atti e pubblicazioni, come il Regolamento Cybersecurity Act, per approdare alla

Direttiva NIS2 Dir. 2022/2555.

L’approccio generale definito è quello di una regia di coordinamento europea (CSIRT Network) per la gestione degli

incidenti di cybersicurezza relativi ai servizi essenziali e non essenziali, che si verificano all’interno dei paesi membri.

L’Italia in questo ha recepito tali direttive istituendo il CSIRT e ponendo questo team all’interno dell’ACN.

Nel corso degli anni fino alla prossima pubblicazione del decreto di recepimento della NIS2, sono stati emanati una serie

di DPCM e DL per definire ruoli, tempi, modalità, e le definizioni per l’applicazione della Direttiva NIS1 ed il Cybersecurity

ACT, già orientati alla NIS2.

La nuova NIS2 porta con sé in dote l’obbligo e la volontarietà della notifica degli incidenti al CSIRT, in questa guida ci

preoccupiamo proprio di questo aspetto e di fare un focus esteso sulle modalità di notifica cercando di dare con i giusti

modi le informazioni necessarie per comprendere la classificazione dei soggetti destinatari della NIS2 e quindi alla

notifica, un cenno al quadro normativo e la sponda agli standard normativi che predispongono i soggetti pubblici e

privati all’erogazione dei servizi oggetto delle misure di cybersicurezza della NIS2, necessari per l’erogazione di tali servizi

agli operatori pubblici e privati ed agli utilizzatori finali.

In tutto ciò è opportuno ricordare che la NIS2 si applica oltre che alle organizzazioni classificate come “Soggetti

essenziali”, anche alla catena di approvvigionamento come definito all’art. 21/2 lett. d) della Direttiva NIS2.

Glossario e definizioni

ACN, Agenzia per la cybersicurezza nazionale;

CSIRT, Computer Security Incident Response Team, Istituito con D.Lgs 65/2018 in attuazione alla Direttiva

2016/1148 Direttiva NIS1;

PSNC, Perimetro di Sicurezza Nazionale Cibernetica

OSE, Operatori di servizi Essenziali

FSD, Fornitori di servizi Digitali

TELCO, Operatori di servizi di telecomunicazione