TIM Enterprise per NIS2

I soggetti impattati dalla NIS2 dovranno notificare senza indebito ritardo al proprio CSIRT nazionale (Computer Security Incident Response Team) o, se opportuno, alla propria autorità competente eventuali incidenti “significati”.

Nel caso italiano, il CSIRT Italia è l’organo dell’Agenzia per la Cybersicurezza Nazionale (ACN) preposto principalmente ad attività di natura reattiva; costituisce l’interfaccia con i soggetti esterni ai quali, oltre a fornire supporto in caso di incidente informatico, indirizza i prodotti di allertamento preventivo sulle minacce e relative attività di mitigazione.

Inoltre, se opportuno, i soggetti interessati notificano senza indebito ritardo ai destinatari dei loro servizi gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi.

Il sito di segnalazione incidenti è già operativo poichè, per talune categorie di soggetti particolarmente critiche, l’obbligo è già vigente: Segnalazione evento - CSIRT Italia.

Dovrà essere notificato all’autorità ogni incidente “significativo”, cioè un incidente che ha: causato o è in grado di causare una grave perturbazione operativa dei servizi; perdite finanziarie per il soggetto interessato; si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

I soggetti interessati notificano secondo le seguenti modalità:

a. senza indebito ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell'incidente significativo, un preallarme che, se opportuno, indichi se l'incidente significativo è sospettato di essere il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero;
b. senza indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell'incidente significativo, una notifica dell'incidente che, se opportuno, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale dell'incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione;
c. su richiesta di un CSIRT o, se opportuno, di un'autorità competente, una relazione intermedia sui pertinenti aggiornamenti della situazione;
d. una relazione finale entro un mese dalla trasmissione della notifica dell'incidente di cui alla lettera b), che comprenda:
e. una descrizione dettagliata dell'incidente, comprensiva della sua gravità e del suo impatto;
f. il tipo di minaccia o la causa di fondo che ha probabilmente innescato l'incidente;
g. le misure di attenuazione adottate e in corso;
h. se opportuno, l'impatto transfrontaliero dell'incidente;
i. in caso di incidente in corso al momento della trasmissione della relazione finale di cui alla lettera d), gli Stati membri provvedono affinché i soggetti interessati forniscano una relazione sui progressi in quel momento e una relazione finale entro un mese dalla gestione dell'incidente.

Senza indebito ritardo e ove possibile entro 24 ore dal ricevimento del preallarme di cui alla lettera a), il CSIRT o l'autorità competente fornisce una risposta al soggetto notificante, comprendente un riscontro iniziale sull'incidente significativo e, su richiesta del soggetto, orientamenti o consulenza operativa sull'attuazione di possibili misure di attenuazione. Se il CSIRT non è il destinatario iniziale della notifica di cui al paragrafo 1, gli orientamenti sono forniti dall'autorità competente in cooperazione con il CSIRT. Su richiesta del soggetto interessato, il CSIRT fornisce ulteriore supporto tecnico. Qualora si sospetti che l'incidente significativo abbia carattere criminale, il CSIRT o l'autorità competente fornisce anche orientamenti sulla segnalazione dell'incidente significativo alle autorità di contrasto.

Si, anche in questo caso occorre divulgare. Le persone fisiche o giuridiche possano segnalare in forma anonima una vulnerabilità al CSIRT che agisce da intermediario di fiducia agevolando, se necessario, l'interazione tra la persona fisica o giuridica che segnala la vulnerabilità e il fabbricante o fornitore di servizi ICT o prodotti ICT potenzialmente vulnerabili, assicurando l'anonimato della persona fisica o giuridica segnalante.

I compiti del CSIRT designato come coordinatore comprendono:

• l'individuazione e il contatto dei soggetti interessati
• l'assistenza alle persone fisiche o giuridiche che segnalano una vulnerabilità
• la negoziazione dei tempi di divulgazione e la gestione delle vulnerabilità che interessano più soggetti.

La direttiva stabilisce un apparato sanzionatorio che i singoli Stati Membri sono chiamati a rendere effettivo, proporzionato e dissuasivo in fase di recepimento ed è prevista la proporzionalità delle sanzioni per i soggetti essenziali e importanti.

Le sanzioni amministrative pecuniarie previste sono le seguenti:

• le organizzazioni essenziali sono soggette a sanzioni “pari a un massimo di almeno 10.000.000 euro o a un massimo di almeno il 2 % del fatturato mondiale annuo.”
• le organizzazioni importanti sono soggette a sanzioni “pari a un massimo di almeno 7.000.000 euro o a un massimo di almeno l’1,4% del fatturato mondiale annuo.”

Ciò significa che l’Italia dovrà individuare un massimale per le sanzioni non inferiore a 10.000.000 o del 2% del fatturato per i soggetti essenziali e di 7.000.000 o dell’1,4% del fatturato per i soggetti importanti.

Inoltre, la non conformità di un’organizzazione essenziale può comportare la sospensione o il divieto temporaneo a qualsiasi persona che svolga funzioni dirigenziali (come amministratore delegato o rappresentante legale) di svolgere le suddette funzioni.

Infine, la Direttiva prevede che gli Stati membri possano poter stabilire sanzioni penali in caso di violazione delle norme nazionali di recepimento.

Gli Enti Locali non sono soggetti NIS in base alla Direttiva. Sarà lo stato italiano che dovrà decidere se e come includerli. Sul punto si è pronunciato il Parlamento dopo un lungo confronto con il Governo, invitando il Governo stesso a includere gli enti locali ma solo a valle di una specifica previsione finanziaria che dia loro le risorse per coprire le maggiori spese derivanti dall’inclusione.

Gli enti della pubblica amministrazione regionale e centrali sono soggetti alla vigilanza da parte dii ACN, che le misure di esecuzione in caso di inadempimento e violazione. Tuttavia, per quanto riguarda questi enti, la Direttiva lascia impregiudicato il diritto nazionale in materia di responsabilità dei dipendenti pubblici e dei funzionari eletti o nominati.

La Direttiva dispone che gli Stati Membri conferiscano priorità ai compiti di vigilanza alle autorità competenti – nel caso italiano il CSIRT Italia – al fine di monitorare efficacemente l’adozione delle misure necessarie a garantire il rispetto della presente direttiva. Le priorità si fondano su un approccio basato sul rischio e le metodologie di vigilanza sono stabilite dallo CSIRT che, nell'esercizio dei rispettivi compiti di vigilanza abbiano il potere di sottoporre tali soggetti come minimo a:

a. ispezioni in loco e vigilanza a distanza, compresi controlli casuali, effettuati da professionisti formati;
b. audit sulla sicurezza periodici e mirati effettuati da un organismo indipendente o da un'autorità competente;
c. audit ad hoc, ivi incluso in casi giustificati da un incidente significativo o da una violazione della presente direttiva da parte del soggetto essenziale;
d. scansioni di sicurezza basate su criteri di valutazione dei rischi obiettivi, non discriminatori, equi e trasparenti, se necessario in cooperazione con il soggetto interessato;
e. richieste di informazioni necessarie a valutare le misure di gestione dei rischi cyber adottate dal soggetto interessato, comprese le politiche di cybersecurity documentate, nonché il rispetto dell'obbligo di trasmettere informazioni alle autorità competenti;
f. richieste di accesso a dati, documenti e altre informazioni necessari allo svolgimento dei compiti di vigilanza;
g. richieste di dati che dimostrino l'attuazione di politiche di cybersecurity, quali i risultati di audit sulla sicurezza effettuati da un controllore qualificato e i relativi elementi di prova.

Inoltre, la Direttiva prevede che se autorità preposte ricevono elementi di prova, indicazioni o informazioni secondo cui un soggetto importante non rispetta presumibilmente la presente direttiva, in particolare dagli articoli 21 e 23 della medesima, gli Stati membri provvedono affinché le autorità competenti intervengano, se necessario, mediante misure di vigilanza ex post.

Per l’Italia i controlli saranno effettuati da un nucleo apposito costituito presso l’ACN, alla cui guida è stato posto un ufficiale della GDF. Inoltre, l’ACN ha stipulato accordi con i vari Law enforcers per ottenere un meccanismo di segnalazione incrociata tra denuncia alle autorità che andrà segnalata ad ACN e segnalazione al CSIRT che sarà segnalata alle autorità di polizia per la verifica di fattispecie di reato eventuali.

Poiché NIS2 è una Direttiva dell'UE, gli Stati membri devono trasporla nella legislazione nazionale applicabile entro il 17 ottobre 2024. NIS2 sarà applicata a partire dal 18 ottobre 2024, anche se gli Stati Membri hanno tempo fino al 17 aprile 2025 per finalizzare l'elenco delle organizzazioni che devono conformarsi.

Il recepimento nazionale della Direttiva NIS2 è stato fissato al 18 ottobre 2024. Questo significa che entro tale data, gli Stati membri dell’Unione Europea dovranno adattare le proprie normative alla nuova Direttiva per garantire un elevato livello di cybersecurity.

La bozza del testo, su cui dovranno pronunciarsi le commissioni competenti di Camera e Senato, è atteso per il mese di giugno.

Prima del recepimento della Direttiva da parte degli Stati Membri, non sono previsti obblighi da adempiere. Tuttavia, dal momento che il recepimento può comportare un ampliamento della platea di soggetti e settori coinvolti, misure aggiuntive, un inasprimento delle sanzioni ma non una riduzione di quanto già disposto in sede europea, le organizzazioni hanno l’opportunità di iniziare fin da subito a “famigliarizzare” con la NIS2 e iniziare per tempo a pianificare il percorso di adeguamento da intraprendere.

Rimangono fermi gli obblighi disposti da altre normative come ad esempio la Direttiva NIS1, il Perimetro di Sicurezza Nazionale Cibernetica o dal DDL Cybersecurity attualmente in corso di approvazione parlamentare, che anticipa taluni contenuti del decreto di recepimento della NIS2 (es. Segnalazione al CSIRT per talune categorie particolarmente critiche).

La direttiva non fornisce raccomandazioni su metodologie, linee guida o tecnologie. È facoltà degli Stati Membri e alle Autorità competenti di entrare nel merito.

Prima del recepimento della Direttiva da parte degli Stati Membri, non sono previsti obblighi. Le soluzioni cloud di TIM attemperano già i requisiti di ACN e sono catalogati sul sito dell’Autorità. Clicca qui per più info.

Un soggetto NIS deve garantire che la sua filiera di approvvigionamento sia cyber-sicura. Sostanzialmente ogni soggetto NIS deve svolgere verso i suoi fornitori il ruolo che ACN svolge verso i soggetti NIS, garantendo che i requisiti NIS siano rispettati dalla catena di approvvigionamento.

Ogni organizzazione deve interrogarsi sulla propria supply chain ed in particolare identificare quelle linee di fornitura che, se fossero compromesse, comporterebbero una interruzione della produzione di beni o dell’erogazione di servizi. A quei fornitori, i soggetti NIS dovranno chiedere di adeguarsi ai requisiti NIS2 a prescindere da settore e dimensionamento. Di questa azione dovranno dare conto ad ACN in fase di eventuale visita ispettiva.

È possibile che vi siano norme più di dettaglio. In ogni caso possiamo già dire che il principio è che il fornitore di un soggetto NIS è a sua volta un soggetto NIS. Cambia il controllore. Nel caso del fornitore a vigilare deve essere il soggetto NIS acquirente.

La NIS2 affronta i limiti della Direttiva NIS iniziale stabilita nel 2016 con requisiti più rigorosi, un'ampia portata di entità e settori differenti che devono conformarsi e sanzioni più severe per la non conformità così da raggiungere una maggiore armonizzazione tra gli Stati Membri in materia di cybersecurity. Le principali novità introdotte dalla NIS2 rispetto alla precedente Direttiva sono le seguenti:

• Copre una gamma più ampia di settori e servizi ritenuti vitali per le principali attività sociali ed economiche del mercato interno includendo anche i subappaltatori e i fornitori;
• Fornisce un elenco più dettagliato di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi (la NIS1 si limitava a stabilire le misure minime di gestione e prevenzione delle minacce demandando agli Stati Membri il compito di dettagliare gli obblighi conseguenti);
• Impone requisiti di reportistica sugli incidenti più rigorosi;
• Prevede, in caso di incidente significativo, l’obbligo di notifica senza indebito ritardo al CSIRT o alle autorità competenti, e, se opportuno, ai destinatari dei loro servizi;
• Fornisce una definizione più dettagliata di incidente significativo;
• Stabilisce un apparato sanzionatorio simile al GDPR.

Non formalmente. Chiaramente seguire quel testo è un buon viatico perché tutte le misure tecniche sono prese da li.

Non c’è collegamento.

È prevista la nomina di un responsabile per la cybersecurity.

Lo fa attraverso l’EDIH (European Digital Innovation Hub) “Nest” NEST – Network for European Security & Trust, deputato specificatamente alla gestione dei finanziamenti per la Pubblica Amministrazione su iniziative di cybersecurity. NEST non è costituito dagli stessi partner del Centro di Competenza, nessuno dei partner del Centro di Competenza è socio del centro.

Certo. Anzi, è proprio con TIM Enterprise che la Pubblica Amministrazione può trovare un valido partner per queste iniziative, essendo TIM socio del Centro Cyber 4.0.

Vedi la risposta alla domanda "Cyber 4.0 si rivolge anche alle PA?".

Non necessariamente, la vendita può avvenire sia da parte del Cyber 4.0 in base ad un listino costruito sulla base delle offerte dei servizi dei propri soci, sia da fornitori esterni che il Cyber 4.0 ha selezionato sulla base delle competenze e dei servizi che sono in grado di erogare. Il Centro di Competenza può avere diversi fornitori, ma si appoggia sui soci/fornitori per la stragrande maggioranza delle forniture.

No, anche gli altri soci di Cyber 4.0, ma TIM Enterprise è l’unico Telco Operator ammesso al Competence Center.

Come si può comunicare con Cyber 4.0 per avere una valutazione preliminare sulla possibilità di accedere ai numerosi bandi presenti sul sito e su quale percorso sia più adatto per l’impresa?

L’Account di TIM Enterprise procederà alla gestione dell’invio di una richiesta a cyber@cyber40.it per richiedere informazioni sul progetto/azienda/procedure specifiche.

L’impresa servita deve essere iscritta ad una camera di commercio in Italia, anche se la proprietà è estera.

Ho necessità di sapere qual è il canale principale per l'adeguamento alla NIS2 per la P.A.?

Quando saranno disponibili i fondi NEST, il Centro di Competenza potrà erogare supporto consulenziale alla PA per l’adeguamento alla NIS2.