Direttiva NIS2 e Pubblica Amministrazione: a chi si applica e come adeguarsi

Il mondo della cybersecurity sta cambiando radicalmente.

Con l’entrata in vigore del Decreto Legislativo 138/2024 – che recepisce la Direttiva NIS2 – ci troviamo di fronte ad un cambiamento che non credo sia esagerato definire epocale per le pubbliche amministrazioni.

La NIS2 non è semplicemente un aggiornamento della precedente NIS1 del 2016, ma rappresenta un ampliamento significativo del suo ambito di applicazione con requisiti sempre più stringenti.

Ci tengo a chiarire subito un aspetto: il Decreto 138/2024 non sostituisce la Legge 90/2024.

Questo decreto infatti si affianca ad essa, creando un quadro normativo ancora più articolato per le PA.

Se la Legge 90/2024 aveva già anticipato alcune importanti novità in materia di sicurezza informatica per gli enti pubblici…

La direttiva NIS2 porta con sé una visione più ampia e strutturata, con un approccio europeo alla cybersicurezza che cambierà profondamente il modo di operare all’interno delle nostre amministrazioni.

NIS2: gli obiettivi della nuova direttiva

Gli obiettivi della NIS2 sono ambiziosi ed estremamente concreti:

• rafforzare la sicurezza delle reti e dei sistemi informativi dei paesi dell’Unione Europea, con un approccio uniforme che consenta di superare le frammentazioni nazionali
• estendere la protezione a molti più settori e soggetti, riconoscendo finalmente che la sicurezza digitale non possa essere limitata solo ad alcuni ambiti “critici”
• migliorare concretamente la cooperazione tra Stati membri, passando dalle parole ai fatti grazie a strumenti operativi come il Gruppo di Cooperazione NIS e il CSIRT Network
• imporre requisiti di sicurezza che vadano oltre la carta e possano così tradursi in azioni concrete, introducendo un approccio “multi-rischio” che consideri sia le minacce digitali che quelle fisiche
• fornire alle autorità nazionali poteri reali (non solo formali), per verificare la conformità e imporre sanzioni quando necessario

Ma la vera rivoluzione, a mio avviso, riguarda la responsabilizzazione dei vertici delle organizzazioni.

Da questo momento, infatti, non sarà più possibile accettare una delega totale al personale “tecnico”.

La cybersicurezza diventa a tutti gli effetti una responsabilità che coinvolge direttamente chi guida gli enti pubblici.

NIS2: differenze rispetto alla Direttiva NIS

Le differenze tra NIS2 e la precedente direttiva sono sostanziali e avranno un impatto concreto sulle pubbliche amministrazioni.

Mentre la NIS1 si concentrava principalmente su operatori di servizi essenziali e fornitori di servizi digitali in specifici settori, la NIS2 ha allargato il campo a molti più soggetti e settori, includendo pubbliche amministrazioni che inizialmente erano state escluse.

La direttiva NIS2 ha introdotto la distinzione tra soggetti “essenziali” e “importanti”, con obblighi calibrati in base a questa classificazione.

Questo è un approccio che ritengo molto più realistico rispetto al passato.

La NIS2 ha anche adottato una definizione di “incidente informatico” decisamente più ampia, includendo la compromissione della disponibilità, autenticità, integrità o riservatezza dei dati e dei servizi offerti.

Ora non ci limiteremo più a guardare solo ed esclusivamente alle minacce “digitali”, ma dovremo considerare anche altri eventi come ad esempio furti, incendi, interruzioni elettriche o delle telecomunicazioni, accessi fisici non autorizzati.

Questo approccio diventa fondamentale per garantire una sicurezza totale dei dati custoditi all’interno delle organizzazioni.

L’ACN gestirà una piattaforma digitale che censirà tutti i soggetti rientranti all’interno del perimetro di applicazione, creando così una mappa chiara delle responsabilità.

Responsabilità che, con la NIS2, verranno estese a più livelli, coinvolgendo direttamente gli organi di amministrazione e direttivi.

Ed infine le sanzioni, che saranno più severe e includeranno misure come l’incapacità temporanea a svolgere funzioni dirigenziali.

Un chiaro segnale che la sicurezza informatica non sarà più solo un optional.

Il Decreto 138/2024 identifica esplicitamente i soggetti attraverso gli allegati 3 e 4, che elencano le categorie di enti pubblici coinvolti.

Nell’allegato 3 troviamo:

• Le amministrazioni centrali dello Stato (ministeri, agenzie governative, autorità indipendenti)
• Le amministrazioni regionali (regioni e province autonome)
• Le amministrazioni locali, che includono città metropolitane, comuni con popolazione superiore a 100.000 abitanti, comuni capoluoghi di regione, e aziende sanitarie locali
• Altri soggetti pubblici, tra cui:
  • Enti di regolazione dell’attività economica
  • Enti produttori di servizi economici
  • Enti a struttura associativa
  • Enti produttori di servizi assistenziali, ricreativi e culturali
  • Enti e istituzioni di ricerca
  • Istituti zooprofilattici sperimentali

Nell’allegato 4 sono invece inclusi soggetti che potranno essere designati dall’ACN:

• Soggetti che forniscono servizi di trasporto pubblico locale
• Istituti di istruzione che svolgono attività di ricerca
• Soggetti che svolgono attività di interesse culturale
• Società in house, società partecipate e società a controllo pubblico

Voglio sottolineare un aspetto importante: questo elenco potrebbe espandersi nei prossimi mesi attraverso ulteriori decreti del Presidente del Consiglio dei Ministri.

C’è una distinzione fondamentale da comprendere: i soggetti indicati all’interno dell’allegato 3 sono immediatamente soggetti agli obblighi della NIS2, mentre quelli dell’allegato 4 lo saranno solo dopo un’esplicita designazione da parte dell’ACN.

Confrontando il perimetro soggettivo della NIS2 con quello della Legge 90/2024, diventa chiaro come la NIS2 abbia un campo d’applicazione più ampio, includendo categorie di enti pubblici non contemplate in precedenza.

Gli obblighi previsti dalla NIS2 per le Pubbliche Amministrazioni

Gli adempimenti richiesti dalla NIS2 alle pubbliche amministrazioni si articolano in tre macro-aree principali.

Vediamole insieme nel dettaglio:

Notifica degli incidenti informatici

Le PA devono notificare al CSIRT Italia ogni incidente significativo, rispettando tempistiche precise:

• entro 24 ore da quando si viene a conoscenza dell’incidente, bisogna effettuare una prima segnalazione
• entro 72 ore, è necessario inviare una notifica completa con tutti gli elementi informativi disponibili

La recente Determinazione ACN 164179 ha fornito maggiori dettagli sugli “incidenti significativi di base” che devono essere notificati.

Questi variano leggermente tra soggetti importanti ed essenziali:

Per i soggetti “importanti” (Allegato 3), sono stati definiti 3 tipi di incidenti significativi:

• Perdita di riservatezza verso l’esterno di dati digitali di proprietà o sotto il controllo del soggetto
• Perdita di integrità con impatto esterno di dati di proprietà o sotto il controllo del soggetto
• Violazione dei livelli di servizio attesi dei servizi e delle attività del soggetto

I soggetti “essenziali” (Allegato 4) hanno un ulteriore tipo di incidente da notificare:

• Accesso, non autorizzato o con abuso dei privilegi concessi, a dati digitali di proprietà o sotto il controllo del soggetto

La Determinazione ha anche definito i tempi di adozione di questo obbligo: 9 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS.

Registrazione nella piattaforma ACN e aggiornamento delle informazioni

Dal 1° gennaio al 28 febbraio di ogni anno, i soggetti NIS devono registrarsi o aggiornare la propria registrazione sulla piattaforma digitale dell’ACN.

La Determinazione ACN 136117 ha dettagliato il funzionamento della piattaforma e le informazioni richieste.

In particolare:

• La registrazione deve includere: ragione sociale, indirizzo e recapiti aggiornati, designazione di un punto di contatto, e i pertinenti settori/sottosettori di appartenenza
• Il punto di contatto è la persona fisica designata dal soggetto NIS con il compito di curare l’attuazione delle disposizioni del decreto NIS. Può essere:
  • Il rappresentante legale del soggetto
  • Un procuratore generale censito sul registro delle imprese
  • Un dipendente del soggetto delegato dal rappresentante legale

Un aspetto importante è che il punto di contatto deve riferire direttamente al vertice gerarchico del soggetto NIS e agli organi di amministrazione e direttivi.

La Determinazione prevede inoltre che dal 15 aprile al 31 maggio 2025, gli utenti debbano aggiornare, tramite il Servizio NIS/Aggiornamento annuale, le informazioni per conto del soggetto per cui operano.

E quindi:

• Dati anagrafici e di contatto del soggetto NIS e degli utenti
• Elenco dei componenti degli organi di amministrazione e direttivi
• Elenco dei servizi offerti nell’UE
• Spazio di indirizzamento IP pubblico e nomi di dominio
• Elenco degli accordi di condivisione delle informazioni

Una novità introdotta dalla Determinazione riguarda il fatto che i soggetti devono anche designare un “sostituto punto di contatto”: una persona fisica distinta dal punto di contatto, che lo supporti nell’esercizio delle proprie funzioni.

Gestione del rischio per la sicurezza informatica

La Determinazione ACN 164179, insieme ai suoi allegati, ha finalmente chiarito quali siano le “misure di sicurezza di base” che i soggetti NIS devono adottare.

Queste misure sono organizzate in sei funzioni principali:

• Governo (GOVERN): Include politiche di cybersicurezza, ruoli e responsabilità, gestione del rischio e della catena di approvvigionamento. Ad esempio:
  • Definizione di una politica per la gestione del rischio di cybersecurity
  • Stabilire ruoli e responsabilità chiari
  • Gestire i rischi della catena di approvvigionamento
• Identificazione (IDENTIFY): Comprende la gestione degli asset, la valutazione del rischio e il miglioramento. Ad esempio:
  • Mantenere inventari aggiornati di hardware, software e servizi
  • Eseguire valutazioni del rischio
  • Definire piani di continuità operativa e di ripristino
• Protezione (PROTECT): Include gestione delle identità, autenticazione, controllo degli accessi, consapevolezza e formazione, sicurezza dei dati e delle piattaforme. Ad esempio:
  • Implementare l’autenticazione multifattore
  • Formare il personale sui temi della cybersicurezza
  • Proteggere i dati in transito e a riposo
  • Mantenere aggiornato il software
• Rilevamento (DETECT): Riguarda il monitoraggio continuo delle reti, dei servizi e degli asset. Ad esempio:
  • Monitorare le reti per individuare eventi avversi
  • Implementare strumenti per rilevare codice malevolo
• Risposta (RESPOND): Include la gestione degli incidenti e la comunicazione. Ad esempio:
  • Definire un piano di risposta agli incidenti
  • Stabilire procedure per comunicare gli incidenti agli stakeholder
• Ripristino (RECOVER): Riguarda l’esecuzione del piano di ripristino dagli incidenti. Ad esempio:
  • Definire procedure di ripristino
  • Comunicare le attività di ripristino agli stakeholder

La Determinazione ha anche stabilito il termine per l’adozione delle misure di sicurezza di base: 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS.

I principali benefici della NIS2 per le PA

L’implementazione della NIS2, nonostante richieda un impegno significativo, porta con sé diversi vantaggi (concreti) per le pubbliche amministrazioni.

Il Rapporto Clusit di marzo 2025 parla chiaro: con 431 attacchi indirizzati verso le PA nel 2024, l’incremento rispetto all’anno precedente è stato del 90%.

La NIS2 fornisce finalmente un framework strutturato per rafforzare le difese delle nostre organizzazioni.

La normativa ci spinge finalmente verso un cambio di paradigma fondamentale, passando da un approccio reattivo ad uno preventivo nella gestione della sicurezza informatica.

Sarai d’accordo con me sul fatto che prevenire costi meno che curare.

Migliorando la sicurezza dei sistemi informatici, le Pubbliche Amministrazioni saranno in grado di garantire anche la riservatezza e l’integrità dei dati personali gestiscono quotidianamente.

L’adozione di procedure comuni a livello europeo renderà sicuramente più semplice la cooperazione tra enti e l’implementazione di best practice consolidate.

Sono convinto che la responsabilità attribuita agli organi direttivi aumenterà la consapevolezza dell’importanza della (cyber)sicurezza a tutti i livelli dell’organizzazione.

L’attenzione alla sicurezza della catena di approvvigionamento contribuirà a creare un ecosistema digitale sicuro, con fornitori anch’essi più attenti a questi aspetti.

Le amministrazioni potranno beneficiare del supporto e delle linee guida fornite dall’ACN, facilitando così l’implementazione di misure sempre più efficaci.

Ti invito quindi a vedere la direttiva NIS2 non come ad un semplice obbligo normativo, ma come una reale opportunità per modernizzare e rendere più sicure le infrastrutture digitali del tuo ente.

Questo porterà ad una maggiore efficienza e, non meno importante, alla crescita della fiducia dei cittadini verso i servizi pubblici.

Grazie alle recenti Determinazioni ACN, abbiamo ora un quadro ancora più chiaro delle tempistiche:

• Entro il 17 gennaio 2025: i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri di nomi di dominio, i fornitori di cloud computing e i data center dovranno completare la registrazione sulla piattaforma digitale dell’ACN.
• Entro il 28 febbraio 2025: tutti gli altri soggetti essenziali e importanti identificati dal decreto dovranno completare la registrazione o l’aggiornamento delle informazioni sulla piattaforma digitale.
• Entro il 31 marzo 2025: l’ACN redigerà l’elenco dei soggetti essenziali e importanti sulla base delle registrazioni effettuate.
• Dal 15 aprile al 31 maggio 2025: i soggetti che hanno ricevuto la comunicazione di inserimento nell’elenco dovranno fornire ulteriori informazioni tramite il Servizio NIS/Aggiornamento annuale, come dettagliato nella Determinazione ACN 136117. In particolare, dovranno:
  • verificare e aggiornare i dati anagrafici e di contatto del soggetto NIS
  • fornire l’elenco dei componenti degli organi di amministrazione e direttivi
  • indicare lo spazio di indirizzamento IP pubblico e i nomi di dominio
  • comunicare l’elenco degli accordi di condivisione delle informazioni
• Entro 9 mesi dalla comunicazione di inserimento nell’elenco: decorre l’obbligo di notifica degli incidenti significativi di base descritti negli allegati 3 e 4 della Determinazione ACN 164179.
• Dal 1° gennaio 2026: sarà obbligatorio comunicare l’elenco delle attività e dei servizi, comprensivo della loro caratterizzazione e categorizzazione.
• Entro 18 mesi dalla comunicazione di inserimento nell’elenco: i soggetti essenziali e importanti dovranno adottare le misure di sicurezza di base definite negli allegati 1 e 2 della Determinazione ACN 164179.

Per quanto riguarda le sanzioni, il regime previsto dalla NIS2 è decisamente severo.

Le violazioni degli obblighi di gestione del rischio, notifica degli incidenti e registrazione possono comportare sanzioni amministrative pecuniarie che, per le pubbliche amministrazioni, variano:

• Da 10.000 a 50.000 euro per i soggetti essenziali
• Ridotte di un terzo per i soggetti importanti

In caso di mancata registrazione, comunicazione o aggiornamento delle informazioni sulla piattaforma ACN, sono previste sanzioni che possono arrivare fino allo 0,1% del fatturato annuo globale per i soggetti essenziali e fino allo 0,07% per i soggetti importanti.

Ma la grande novità riguarda le responsabilità personali.

Se l’ente non adempie nei termini alle diffide dell’ACN, quest’ultima può disporre nei confronti delle persone fisiche con ruoli dirigenziali l’applicazione della sanzione amministrativa accessoria dell’incapacità temporanea a svolgere funzioni dirigenziali all’interno dell’organizzazione.

Inoltre, per i dipendenti pubblici, la violazione degli obblighi può costituire causa di responsabilità dirigenziale, disciplinare e amministrativo-contabile.

Con questa struttura sanzionatoria il legislatore ha voluto mandare un messaggio chiaro e forte sull’importanza della NIS2, rendendo essenziale un approccio tempestivo e strutturato all’adeguamento normativo.

Affrontare l’adeguamento alla NIS2 richiede un approccio metodico e strutturato, soprattutto alla luce delle recenti Determinazioni ACN 136117 e 164179.

Ecco 10 passaggi fondamentali che ti suggerisco di seguire.

Verificare l’applicabilità della normativa

Il primo passo è determinare se il tuo ente rientri o meno nel perimetro della NIS2, analizzando scrupolosamente gli allegati 3 e 4 del Decreto Legislativo 138/2024.

In caso di dubbio, il mio consiglio è quello di procedere comunque con la registrazione sulla piattaforma ACN e attendere una risposta ufficiale sull’inclusione (o meno) all’interno del perimetro.

Definire la governance della cybersicurezza

Prima ancora di effettuare la registrazione, è fondamentale però:

• Definire un modello organizzativo che identifichi ruoli e responsabilità in materia di cybersicurezza, in linea con le misure di sicurezza di base definite negli allegati della Determinazione ACN 164179
• Individuare il “punto di contatto” NIS2 e il suo sostituto, come previsto dalla Determinazione ACN 136117
• Formalizzare queste nomine attraverso provvedimenti amministrativi espressi (non limitandosi quindi a semplici deleghe)

Ti ricordo che – così come specificato all’interno della Determinazione ACN 136117 – il punto di contatto deve essere il rappresentante legale, un procuratore generale, oppure un dipendente appositamente delegato.

Per le pubbliche amministrazioni, questa figura può anche essere un dipendente di un’altra PA che rientra nell’ambito di applicazione del decreto NIS, previa autorizzazione di quest’ultima.

Un aspetto importante da considerare è che la designazione del punto di contatto per i soggetti che rientrano anche nell’ambito della Legge 90/2024 può soddisfare l’obbligo di nomina e comunicazione del referente per la cybersicurezza previsto dall’articolo 8, comma 2, della medesima legge.

Completare il censimento e l’associazione sul Portale ACN

Come dettagliato nella Determinazione ACN 136117, il processo di registrazione prevede 3 fasi:

• il censimento degli utenti, che si autenticano tramite SPID e forniscono le informazioni anagrafiche richieste
• l’associazione dell’utenza del punto di contatto al soggetto NIS, che include l’indicazione del ruolo e, se necessario, il caricamento della delega
• l’associazione di eventuali altri utenti (sostituto punto di contatto, segreteria, operatori)

È importante notare che l’associazione dell’utenza del punto di contatto richiede la convalida da parte del soggetto NIS, tramite una procedura telematica inviata al domicilio digitale dell’ente.

Registrarsi sulla piattaforma ACN

Completate la registrazione entro il 28 febbraio 2025, utilizzando il Servizio NIS/Registrazione e fornendo tutte le informazioni richieste, tra cui:

• informazioni sull’organizzazione (relazioni societarie, codici ATECO, normative applicabili)
• dimensionamento (fatturato, bilancio, personale)
• tipologie di soggetto riconducibili agli allegati del decreto NIS

Prepararsi all’aggiornamento annuale delle informazioni

Dal 15 aprile al 31 maggio 2025, dovrai utilizzare il Servizio NIS/Aggiornamento annuale per fornire ulteriori informazioni dettagliate (come specificato nell’articolo 15 della Determinazione ACN 136117).

È importante iniziare a raccogliere alcune informazioni in anticipo, tra cui:

• lo spazio di indirizzamento IP pubblico e i nomi di dominio
• l’elenco dei componenti degli organi di amministrazione e direttivi
• l’elenco degli accordi di condivisione delle informazioni

Implementare le misure di sicurezza “di base”

Entro 18 mesi dalla comunicazione di inserimento nell’elenco, il tuo ente dovrà adottare le misure di sicurezza di base definite negli allegati 1 e 2 della Determinazione ACN 164179.

Queste misure sono organizzate secondo il Framework Nazionale per la Cybersecurity e coprono sei funzioni principali: Governo, Identificazione, Protezione, Rilevamento, Risposta e Ripristino.

Per facilitare questo processo, ti consiglio di creare un piano di adeguamento che:

• mappi i requisiti specifici applicabili al vostro ente
• definisca le priorità di implementazione
• assegni responsabilità chiare per ciascuna misura
• stabilisca tempistiche realistiche per l’adozione

Predisporre procedure per la notifica degli incidenti

Entro 9 mesi dalla comunicazione di inserimento nell’elenco, il tuo ente dovrà essere a notificare gli incidenti significativi di base (come definiti negli allegati 3 e 4 della Determinazione ACN 164179).

A tal fine, è importante:

• definire processi chiari per identificare gli incidenti significativi
• stabilire procedure per raccogliere le informazioni necessarie per la notifica
• assicurarsi di poter rispettare le tempistiche di 24 e 72 ore
• implementare sistemi per documentare tutte le azioni intraprese durante e dopo l’incidente

Formare il personale e testare le procedure

In linea con le misure di sicurezza di base, diventa poi fondamentale:

• sensibilizzare tutto il personale sui rischi cyber
• formare specificamente il personale con ruoli specializzati
• educare i dirigenti sulle loro responsabilità
• testare regolarmente le procedure di risposta agli incidenti

Gestire la supply chain

Le misure di sicurezza di base includono specifici requisiti per la gestione del rischio di cybersicurezza della catena di approvvigionamento.

Ti consiglio di:

• mantenere un inventario aggiornato dei fornitori critici
• inserire requisiti di sicurezza nei contratti
• verificare periodicamente la conformità dei fornitori
• valutare il rischio associato alle forniture

Monitorare periodicamente gli aggiornamenti normativi

Il quadro normativo della NIS2 è ancora in evoluzione, con ulteriori determinazioni ACN attese nei prossimi mesi.

È fondamentale quindi:

• monitorare regolarmente il sito dell’ACN per nuovi aggiornamenti
• partecipare a webinar e eventi formativi sulla NIS2
• collaborare con altre PA per condividere esperienze e best practice
• valutare la possibilità di affidarsi ad esperti del settore per interpretare le nuove disposizioni

Le nuove Determinazioni ACN hanno finalmente fornito un quadro chiaro delle azioni da intraprendere, con requisiti specifici e tempistiche definite.

Un approccio sistematico e proattivo non solo permetterà al tuo ente (e a te) di evitare sanzioni, ma contribuirà a proteggere efficacemente le infrastrutture, i servizi e i dati di cui siete in possesso.

Non perderti gli aggiornamenti e le novità più importanti!