rapporto Clusit 2023<\/strong><\/a>. Il 40% di quel 60% \u00e9 avvenuto nel periodo tra settembre 2022 e dicembre 2023. L’impatto economico e sociale di questi attacchi si \u00e9 notevolmente aggravato: l\u201980% degli attacchi rilevati nel 2022 ha avuto un impatto grave o molto grave, manca il dato del 2023, ma se pensiamo agli attacchi che hanno coinvolto varie ASL a livello nazionale, paralizzandone l’attivit\u00e0 per settimane, costringendo i cittadini a rinviare analisi od interventi anche importanti, non \u00e9 realistico aspettarsi uno scenario futuro in miglioramento..<\/p>\nCHI SONO I SOGGETTI INTERESSATI<\/strong><\/p>\nLa nuova norma abbandona la distinzione tra Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD) e introduce quella tra Soggetti Essenziali e Soggetti Importanti. Ricadono in queste categorie tutti i soggetti che operano nei\u00a0Settori ad Alta Criticit\u00e0 e negli Altri Settori Critici ,<\/strong>che vengono individuati negli allegati 1 e 2 alla Direttiva. Entrano a far parte dei soggetti sottoposti alla normativa le Pubbliche Amministrazioni e sar\u00e0 onere degli Stati membri\u00a0definire l’elenco dei soggetti essenziali e importanti entro il 17 aprile 2025<\/strong>, elenco che dovr\u00e0 essere aggiornato almeno ogni due anni per garantire uniformit\u00e0 nell\u2019applicazione della Direttiva NIS 2.<\/p>\nLascio al lettore che ne abbia voglia l’onere di consultare l’intero elenco, perch\u00e9 in questo articolo mi preme evidenziare pi\u00f9 in generale quali sono sono i settori ad alta criticit\u00e0 coinvolti e i soggetti che vi operano. In primis tutto il\u00a0settore energetico<\/strong>\u00a0(gas, petrolio, luce, acqua) , quello dei\u00a0trasporti<\/strong>\u00a0(anche le aziende che si occupano di trasporto su strada “esclusi<\/strong>\u00a0i\u00a0soggetti pubblici<\/strong>\u00a0per i quali la gestione del traffico o la gestione di sistemi di trasporto intelligenti costituiscono soltanto una parte\u00a0non essenziale<\/strong>\u00a0della loro attivit\u00e0 generale” e\u00a0compresi<\/strong>\u00a0i “gestori di sistemi di trasporto intelligenti quali definiti all\u2019articolo 4, punto 1), della direttiva 2010\/40\/UE del Parlamento europeo e del Consiglio”), il\u00a0settore bancario e finanziario<\/strong>, il settore\u00a0sanitario\u00a0<\/strong>,\u00a0aerospaziale\u00a0<\/strong>ed infine quello della\u00a0pubblica amministrazione<\/strong>\u00a0. Se il lettore \u00e9 interessato a conoscere in modo pi\u00f9 specifico quali siano i soggetti coinvolti pu\u00f2 scrivermi in privato ed io sar\u00f2 ben lieto di rispondere .<\/p>\nParticolarmente importante \u00e9 il\u00a0settore delle infrastrutture digitali<\/strong>. I motivi sono facilmente intuibili ed in ragione della loro rilevanza la norma indica puntualmente i soggetti economici coinvolti : fornitori di punti di interscambio internet, fornitori di servizi DNS ( con esclusione degli operatori dei server dei nomi radice ), registri dei nomi di dominio di primo livello (TLD), fornitori di servizi di cloud computing, fornitori di servizi di data center, i content delivery network, cio\u00e8 fornitori di reti di distribuzione di contenuti, tutti i fornitori di servizi fiduciari, ad esempio quelli di validazione legale, fornitori di reti pubbliche di comunicazione, fornitori di servizi di comunicazione elettronica accessibili al pubblico.<\/p>\nDella categoria\u00a0“Altri settori critici”<\/strong>\u00a0fanno parte soggetti di ogni genere, dai corrieri, alle industrie chimiche, al settore manifatturiero (c’\u00e9 tutto il mondo automotive e la produzione di dispostivi elettronici , hi tech e non) per arrivare a quelle alimentari. Forse, FORSE, sono escluse solo le realt\u00e0 che operano nel tessile. Anche nell’ambito di questa categoria, il legislatore comunitario ha riservato particolare attenzione ai\u00a0“fornitori di servizi digitali”<\/strong>\u00a0ossia quelli di mercati online, di motori di ricerca online, di servizi di social network.<\/p>\nE’ di tutta evidenza che il numero dei soggetti coinvolti dalla nuova normativa rispetto alla Direttiva vigente \u00e8 notevolmente cresciuto. Per individuare gli enti soggetti alla NIS2 \u00e9 possibile utilizzare un criterio, di natura\u00a0oggettiva,<\/strong>\u00a0che ha come riferimento le loro dimensioni;\u00a0tutti coloro che operano<\/strong>\u00a0nei comparti economici che ho indicato prima e che hanno pi\u00f9 di 50 dipendenti\u00a0o<\/strong>\u00a0un fatturato annuo maggiore di 10 milioni di euro\u00a0o<\/strong>\u00a0un totale di bilancio annuo fino a 43 milioni di euro o superiore. Dalla lettura della norma ricaviamo che il criterio di identificazione del soggetto sottoposto alla norma \u00e9 di tipo alternativo, per cui \u00e9 sufficiente che uno dei requisiti previsti sia soddisfatto per far entrare a far parte dei soggetti interessati dalla norma.<\/p>\nNe esiste un altro , a mio parere, che possiamo definire\u00a0qualitativo<\/strong>\u00a0o di\u00a0opportunit\u00e0<\/strong>\u00a0o di\u00a0prudenza\u00a0<\/strong>in base al quale se un ente opera in uno dei settori individuati, ad esempio gestisce data base od opera come manager di asset digitali per conto di terzi, \u00e9 bene che si conformi alla NIS2. Mi vengono in mente aziende che lavorano nel campo della\u00a0comunicazione<\/strong>\u00a0e che offrono ad i propri clienti servizi completi, che vanno dall’indagine di mercato, alla realizzazione di siti web complessi, alla fornitura della piattaforma per l’ecommerce o quelle che lavorano nel\u00a0settore hi tech\u00a0<\/strong>che sviluppano dispositivi che forniscono a terze parti oppure lavorano su specifiche di terzi eleborandone i dati. Della serie anche se non c’\u00e9 scritto , il tuo nome potrebbe esserci…<\/p>\nQuindi grande \u00e9 il numero dei soggetti interessati dalla futura applicazione della norma e vasta la loro tipologia. Per evitare di incorrere in sanzioni o altri eventi spiacevoli connessi all’esercizio dell’attivit\u00e0 d’impresa, diventa essenziale l’attivit\u00e0 di valutazione dei rischi .\u00a0Primo<\/strong>\u00a0perch\u00e8 \u00e8 la\u00a0Direttiva stessa ,all\u2019art. 21, che enumera una serie di requisiti necessari<\/strong>, come l\u2019autenticazione a pi\u00f9 fattori, la crittografia e l’applicazione di strumenti idonei a rendere consapevole il personale dei vari aspetti del rischio informatico,\u00a0poi<\/strong>\u00a0perch\u00e9 solo una valutazione dei vari fattori di rischio informatico ci consente di capire in quali settori intervenire e come e,\u00a0ultimo, ma non ultimo<\/strong>, mette al riparo gli amministratori da impreviste, ma evitabili, perdite economiche personali o visite in procura.<\/p>\nI rischi di cui tener conto comprendono anche quelli legati alla catena logistica e di fornitura<\/strong>: si dovranno valutare con attenzione le vulnerabilit\u00e0 specifiche e le pratiche di cybersicurezza dei fornitori, non solo quelli di servizi e prodotti ICT, ma di tutti quelli in cui un incidente informatico possa causarne un altro presso il soggetto interessato, ad esempio l\u2019interruzione del servizio erogato o della produzione del bene prodotto\/distribuito .<\/p>\nIn concreto cosa avverr\u00e0 ?\u00a0<\/strong>Dal punto di vista operativo interverranno delle vere e proprie disclosure tra i vari enti interessati, che comporteranno l’ esecuzione di test di sicurezza incrociati, lo produzione dei relativi risultati, la definizione e l’allineamento delle misure da adottare, tutte operazioni queste che necessariamente comporteranno tra le parti uno scambio di dati riservati e che dovranno essere contrattualizzate.<\/p>\nUna delle misure fondamentali per la gestione del rischio riguarda la capacit\u00e0 dei soggetti interessati di garantire la continuit\u00e0 operativa<\/strong>\u00a0: sar\u00e0 necessario procedere alla redazione di data disaster recovery plan adeguati, che prevedano al loro interno il business continuity plan, che assegnino le regole e definiscano le procedure per gestire le crisi generate da un incidente o un attacco informatico cosi’ da minimizzarne gli effetti. A mio parere, lo scenario delineato comporter\u00e0 un’inevitabile ricorso da parte dei soggetti interessati al mondo assicurativo, che al momento non pare pronto, se non in rari casi,ad affrontare queste problematiche. C’\u00e9 un mercato completamente vergine ed inesplorato , con potenzialit\u00e0 notevoli per le compagnie che vorranno affrontarlo.<\/p>\nAnalogamente a quanto previsto dalla normativa GDPR, la NIS2 prevede ,\u00a0per le attivit\u00e0 dei settori critici<\/strong>, l’obbligo di\u00a0notificare ai rispettivi CSIRT o all\u2019autorit\u00e0 nazionale competente<\/strong>\u00a0\u2013 mediante un alert anche sommario entro 24 ore dal momento in cui ne sono venuti a conoscenza \u2013 qualsiasi incidente che abbia o possa avere un impatto significativo sulla fornitura dei beni o sull’erogazione dei servizi.<\/p>\nQuanto al quadro sanzionatorio<\/strong>\u00a0la NIS 2 attribuisce poteri molto incisivi alle autorit\u00e0 competenti, in particolare quello di controllo, che pu\u00f2 manifestarsi sia\u00a0preventivamente<\/strong>,\u00a0ex ante<\/em>, attraverso operazioni di monitoraggio del soggetto interessato, che\u00a0successivamente<\/strong>\u00a0ad un eventuale incidente e pu\u00f2 comportare sanzioni economiche consistenti, analogamente a quanto previsto in ambito 231. Le sanzioni possono arrivare ad un massimo di\u00a010 milioni di euro o al 2% del fatturato<\/strong>, a seconda di quale importo risulti pi\u00f9 elevato (articolo 34, punto 4) oppure fino a un massimo di\u00a07 milioni di euro o l\u20191,4% del loro fatturato<\/strong>, sempre a seconda di quale importo risulti pi\u00f9 elevato (articolo 34, punto 5). Nei casi pi\u00f9 gravi, si pu\u00f2 arrivare\u00a0al<\/strong>la sospensione o al divieto temporaneo<\/strong>\u00a0a qualsiasi persona che svolga funzioni dirigenziali (come amministratore delegato o rappresentante legale).<\/p>\nChe cosa possiamo dedurre da quest’ultimo elemento? Che grava sugli organi di gestione dei soggetti economici oggetto della NIS2, il consiglio d\u2019amministrazione, l’amministratore delegato, il collegio sindacale o il sindaco revisore, il\u00a0dovere<\/strong>\u00a0di approvare le misure per la\u00a0gestione dei rischi\u00a0<\/strong>, di svolgere in prima persona attivit\u00e0 di\u00a0formazione\u00a0<\/strong>sulle tematiche di cybersicurezza e offrire una formazione analoga ai dipendenti. Come ho avuto modo di scrivere in passato, non si puo’ parlare di sicurezza informatica senza un’adeguata formazione. L’addestramento, mai come in questi casi, \u00e9 fondamentale per evitare guai.<\/p>\nConcludendo, da quanto esposto emerge evidente che la conformit\u00e0 alla normativa non \u00e8 e non puo’ essere standardizzata<\/strong>\u00a0, ma deve essere valutata caso per caso; non dobbiamo adeguarci alla norma solo perch\u00e9 le sanzioni sono pesanti, producendo una mole di documenti formali (che spesso mi capita pure di trovare in formato cartaceo con la specifica che ” \u00e9 solo questo il formato di legge”……) ma piuttosto guardare a NIS2 come l’elemento chiave per l’ implementazione di misure di sicurezza reali ed efficaci,effettivamente utili al soggetto che le adotta nell’esercizio della propria attivit\u00e0 .<\/p>\n <\/p>\n
Avv. Raffaele Mantovani, foro di Modena<\/strong><\/p>\n[\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row _builder_version=”4.18.1″ _module_preset=”default” global_colors_info=”{}” theme_builder_area=”post_content”][et_pb_column type=”4_4″ _builder_version=”4.18.1″ _module_preset=”default” global_colors_info=”{}” theme_builder_area=”post_content”][et_pb_post_nav prev_text=”Articolo precendente” next_text=”Articolo successivo” _builder_version=”4.18.1″ _module_preset=”default” title_font_size_tablet=”” title_font_size_phone=”12px” title_font_size_last_edited=”on|phone” global_colors_info=”{}” theme_builder_area=”post_content”][\/et_pb_post_nav][\/et_pb_column][\/et_pb_row][\/et_pb_section]<\/p>\n","protected":false},"excerpt":{"rendered":"
Il prossimo 18 ottobre segner\u00e0 per un passaggio fondamentale per l’armonizzazione nella UE delle norme in materia di sicurezza informatica, paragonabile forse solo all’entrata in vigore del GDPR. Questo per due motivi: il contesto geopolitico in cui la norma andr\u00e0 ad operare e il cambio di prospettiva che impone agli attori economici in materia di […]<\/p>\n","protected":false},"author":5,"featured_media":1755,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"on","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-1754","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/www.willeague.com\/italia\/wp-json\/wp\/v2\/posts\/1754","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.willeague.com\/italia\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.willeague.com\/italia\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.willeague.com\/italia\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.willeague.com\/italia\/wp-json\/wp\/v2\/comments?post=1754"}],"version-history":[{"count":3,"href":"https:\/\/www.willeague.com\/italia\/wp-json\/wp\/v2\/posts\/1754\/revisions"}],"predecessor-version":[{"id":1758,"href":"https:\/\/www.willeague.com\/italia\/wp-json\/wp\/v2\/posts\/1754\/revisions\/1758"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.willeague.com\/italia\/wp-json\/wp\/v2\/media\/1755"}],"wp:attachment":[{"href":"https:\/\/www.willeague.com\/italia\/wp-json\/wp\/v2\/media?parent=1754"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.willeague.com\/italia\/wp-json\/wp\/v2\/categories?post=1754"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.willeague.com\/italia\/wp-json\/wp\/v2\/tags?post=1754"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}