Dalla NIS1 alla NIS2, per approdare alla Legge 90/2024
Guida pratica alla notifica degli incidenti
Introduzione
Ormai da anni la comunità Europea si sta ritagliando sempre più un ruolo di rilievo nello scenario globale in materia di
sicurezza dei dati e delle informazioni, definendo i confini geografici e normativi nei rapporti con tutti i paesi terzi per
l’erogazione dei servizi destinati all’ Europa ed ai suoi interessati, ed erogati dagli operatori interni. Ma non solo, l’Europa
sta lavorando molto anche per innalzare il livello generale della sicurezza informatica dei paesi membri, sia dei soggetti
pubblici che privati. Dopo il Regolamento UE 2016/679 Regolamento Privacy ed è stata la volta della Direttiva NIS1 Dir.
2016/1148 e da lì in poi un’escalation di atti e pubblicazioni, come il Regolamento Cybersecurity Act, per approdare alla
Direttiva NIS2 Dir. 2022/2555.
L’approccio generale definito è quello di una regia di coordinamento europea (CSIRT Network) per la gestione degli
incidenti di cybersicurezza relativi ai servizi essenziali e non essenziali, che si verificano all’interno dei paesi membri.
L’Italia in questo ha recepito tali direttive istituendo il CSIRT e ponendo questo team all’interno dell’ACN.
Nel corso degli anni fino alla prossima pubblicazione del decreto di recepimento della NIS2, sono stati emanati una serie
di DPCM e DL per definire ruoli, tempi, modalità, e le definizioni per l’applicazione della Direttiva NIS1 ed il Cybersecurity
ACT, già orientati alla NIS2.
La nuova NIS2 porta con sé in dote l’obbligo e la volontarietà della notifica degli incidenti al CSIRT, in questa guida ci
preoccupiamo proprio di questo aspetto e di fare un focus esteso sulle modalità di notifica cercando di dare con i giusti
modi le informazioni necessarie per comprendere la classificazione dei soggetti destinatari della NIS2 e quindi alla
notifica, un cenno al quadro normativo e la sponda agli standard normativi che predispongono i soggetti pubblici e
privati all’erogazione dei servizi oggetto delle misure di cybersicurezza della NIS2, necessari per l’erogazione di tali servizi
agli operatori pubblici e privati ed agli utilizzatori finali.
In tutto ciò è opportuno ricordare che la NIS2 si applica oltre che alle organizzazioni classificate come “Soggetti
essenziali”, anche alla catena di approvvigionamento come definito all’art. 21/2 lett. d) della Direttiva NIS2.
Glossario e definizioni
ACN, Agenzia per la cybersicurezza nazionale;
CSIRT, Computer Security Incident Response Team, Istituito con D.Lgs 65/2018 in attuazione alla Direttiva
2016/1148 Direttiva NIS1;
PSNC, Perimetro di Sicurezza Nazionale Cibernetica
OSE, Operatori di servizi Essenziali
FSD, Fornitori di servizi Digitali
TELCO, Operatori di servizi di telecomunicazione