Skip to content

Dalla NIS1 alla NIS2, per approdare alla Legge 90/2024

Guida pratica alla notifica degli incidenti

Introduzione

Ormai da anni la comunità Europea si sta ritagliando sempre più un ruolo di rilievo nello scenario globale in materia di sicurezza dei dati e delle informazioni, definendo i confini geografici e normativi nei rapporti con tutti i paesi terzi per l’erogazione dei servizi destinati all’ Europa ed ai suoi interessati, ed erogati dagli operatori interni. Ma non solo, l’Europa sta lavorando molto anche per innalzare il livello generale della sicurezza informatica dei paesi membri, sia dei soggetti pubblici che privati. Dopo il Regolamento UE 2016/679 Regolamento Privacy ed è stata la volta della Direttiva NIS1 Dir.

2016/1148 e da lì in poi un’escalation di atti e pubblicazioni, come il Regolamento Cybersecurity Act, per approdare alla Direttiva NIS2 Dir. 2022/2555.

L’approccio generale definito è quello di una regia di coordinamento europea (CSIRT Network) per la gestione degli incidenti di cybersicurezza relativi ai servizi essenziali e non essenziali, che si verificano all’interno dei paesi membri.

L’Italia in questo ha recepito tali direttive istituendo il CSIRT e ponendo questo team all’interno dell’ACN.

Nel corso degli anni fino alla prossima pubblicazione del decreto di recepimento della NIS2, sono stati emanati una serie di DPCM e DL per definire ruoli, tempi, modalità, e le definizioni per l’applicazione della Direttiva NIS1 ed il Cybersecurity ACT, già orientati alla NIS2.

La nuova NIS2 porta con sé in dote l’obbligo e la volontarietà della notifica degli incidenti al CSIRT, in questa guida ci preoccupiamo proprio di questo aspetto e di fare un focus esteso sulle modalità di notifica cercando di dare con i giusti modi le informazioni necessarie per comprendere la classificazione dei soggetti destinatari della NIS2 e quindi alla notifica, un cenno al quadro normativo e la sponda agli standard normativi che predispongono i soggetti pubblici e privati all’erogazione dei servizi oggetto delle misure di cybersicurezza della NIS2, necessari per l’erogazione di tali servizi agli operatori pubblici e privati ed agli utilizzatori finali.

In tutto ciò è opportuno ricordare che la NIS2 si applica oltre che alle organizzazioni classificate come “Soggetti essenziali”, anche alla catena di approvvigionamento come definito all’art. 21/2 lett. d) della Direttiva NIS2.

Glossario e definizioni

ACN, Agenzia per la cybersicurezza nazionale;

CSIRT, Computer Security Incident Response Team, Istituito con D.Lgs 65/2018 in attuazione alla Direttiva 2016/1148 Direttiva NIS1;

PSNC, Perimetro di Sicurezza Nazionale Cibernetica

OSE, Operatori di servizi Essenziali

FSD, Fornitori di servizi Digitali

TELCO, Operatori di servizi di telecomunicazione

×