Cybersecurity nazionale: arriva il Decreto di adeguamento alle regole europee

Con DECRETO LEGISLATIVO 4 settembre 2024, n. 138 il Governo recepisce la direttiva (UE) 2022/2555 che contiene le misure per garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea.

Il Decreto in vigore dal 16 ottobre 2024, come abbiamo visto era previsto già nella Legge di Delegazione Europea 2023 per adeguare la normativa interna alla direttiva (UE) 2022/2555, volta ad aumentare la resilienza di soggetti pubblici e privati operanti nell’Unione Europea alle minacce nell’ambito cibernetico (vedi qui tutti i punti della Direttiva 2022/2555 recepita).

• Cosa prevede il Decreto e in che modo si intende assicurare la sicurezza cibernetica interna coerentemente con quanto previsto a livello europeo?

Il DECRETO LEGISLATIVO 4 settembre 2024, n. 138

Il DECRETO LEGISLATIVO 4 settembre 2024, n. 138 contiene 44 articoli e quattro allegati: nei sei Capi che lo compongono delinea diverse questioni afferenti alla cybersecurity fra le quali:

• Il Quadro nazionale di sicurezza informatica;
• Cooperazione a livello dell’Unione europea e internazionale;
• Obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente;
• Monitoraggio, vigilanza ed esecuzione.

Cybersecurity: le misure principali del D.Lgs. n.138/2024

Segnaliamo in particolare nel decreto

• Art.7 – L’obbligo dal 1° gennaio al 28 febbraio di ogni anno successivo all’entrata in vigore del Decreto di registrazione sulla piattaforma digitale dell’Autorità nazionale competente NIS ai fini dello svolgimento delle funzioni attribuite all’Agenzia per la cybersicurezza nazionale;
• Art.8 – il riferimento al trattamento dei dati personali conformemente al decreto legislativo 30 giugno 2003, n. 196 e al regolamento (UE) 2016/679;
• Art. 24 e 25 dettagliano rispettivamente gli obblighi in materia di misure di gestione dei rischi per la sicurezza informatica e le notifiche di incidente, oltre che volontaria (art.26)
• Art.29, le regole per la “Banca dei dati di registrazione dei nomi di dominio”;
• Art.33 – la norma di collegamento con la disciplina del D.Lgs. n.105/2019 per il “Coordinamento con la disciplina del perimetro di sicurezza nazionale cibernetica”;
• Art-34-39 sul ruolo di monitoraggio svolto dall’Autorità nazionale  competente  NIS  che  valuta  il rispetto da parte dei soggetti essenziali e dei  soggetti  importanti degli obblighi previsti dall’articolo 7 e  dal  capo  IV (artt. 23 e 33)

A chi si applica il Decreto sulla Cybersicurezza nazionale?

Il decreto ed i principi UE che esso porta con sé riguardano (art.3) i soggetti pubblici e privati delle tipologie di cui agli allegati

• Allegati I, II, soggetti che superano i massimali per le piccole imprese nei settori ritenuti, rispettivamente, altamente critici e critici
• Allegati III e IV: le categorie di pubbliche amministrazioni

Il decreto si applica anche, indipendentemente dalle dimensioni

• ai soggetti che sono identificati come soggetti critici ai sensi del decreto legislativo, che recepisce la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022;
• ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
• ai prestatori di servizi fiduciari;
• ai gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;
• ai fornitori di servizi di registrazione dei nomi di dominio;
•  alle pubbliche amministrazioni di cui all’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, ricomprese nelle categorie elencate nell’allegato III.

Si veda tutte le categorie nel dettaglio dell’articolo 3 del Decreto.

Come garantire un elevato livello di Cibersicurezza

Il D.Lgs. n.138/2024 prevede alcuni strumenti volti ad aumentare il livello elevato di sicurezza informatica del paese, ovvero:

• la Strategia nazionale di cybersicurezza;
• l’integrazione del quadro di gestione delle crisi informatiche, nel contesto dell’organizzazione nazionale per la gestione delle crisi che coinvolgono aspetti di cybersicurezza, di cui all’articolo 10 del decreto-legge 4 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;
• la conferma dell’Agenzia per la cybersicurezza nazionale quale Autorità competente NIS (Nucleo per la cybersicurezza) e punti di contatto unico e Gruppo di intervento nazionale per la sicurezza informatica in caso di incidente in ambito nazionale (CSIRT Italia); inoltre, l’Agenzia dovrebbe ricoprire funzioni di coordinatore delle Autorità nazionali di gestione delle crisi informatiche su vasta scala;
• l’individuazione di Autorità di settore NIS che collaborano con l’Agenzia per la cybersicurezza nazionale.

Obblighi in materia di misure di gestione dei rischi per la sicurezza informatica

Il Decreto richiede l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che i soggetti essenziali utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.

Queste misure dovranno

• assicurare un livello di sicurezza dei sistemi informativi e di rete adeguato ai rischi esistenti, tenuto conto delle conoscenze più aggiornate e dello stato dell’arte in materia e, ove applicabile, delle pertinenti norme nazionali, europee e internazionali, nonché dei costi di attuazione;
• essere proporzionate al grado di esposizione a rischi del soggetto, alle dimensioni del soggetto e alla probabilità che si verifichino incidenti, nonché alla loro gravità, compreso il loro impatto sociale ed economico.

Si fa riferimento ad un approccio multi-rischio, volto a proteggere i sistemi informativi e di rete nonché il loro ambiente fisico da incidenti.

Nel valutare quali misure di siano adeguate, i soggetti devono tenere conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro.

Inoltre devono tenere conto dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche effettuate dal Gruppo di cooperazione NIS.

Obblighi in materia di notifica di incidente

Nell’articolo 25 si riporta che i soggetti essenziali e impostanti a cui si applica il Regolamento dovranno notificare senza ingiustificato ritardo, al CSIRT Italia ogni incidente che abbia un impatto significativo sulla fornitura dei loro servizi, secondo le modalità e i termini di cui agli articoli 30, 31 e 32.

Le notifiche includono le informazioni che consentono al CSIRT Italia di determinare un eventuale impatto transfrontaliero dell’incidente, ma la notifica non espone il soggetto che la effettua a una maggiore responsabilità rispetto a quella derivante dall’incidente.

Quando un incidente è considerato “Significativo”?

In base al Decreto (art.25 comma 4) un incidente è considerato significativo se:

a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;

b) ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

Nell’articolo si fa riferimento ad una “pre-notifica” nel caso i soggetti essenziali o importanti vengano a conoscenza dell’incidente significativo che possa ritenersi il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero.

Ai fini della notifica dell’incidente, i soggetti devono trasmettere al CSIRT Italia, fra l’altro, anche una relazione finale entro un mese dalla trasmissione della notifica dell’incidente che descriva l’incidente ed il tipo di minaccia, la causa e l’impatto transforntaliero,

Qualora si sospetti che l’incidente significativo abbia carattere criminale, il CSIRT Italia fornisce al soggetto notificante anche orientamenti sulla segnalazione dell’incidente significativo, all’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione.