L'Italia ha compiuto un passo significativo nel rafforzamento della sua architettura di cybersicurezza nazionale con l'introduzione del decreto legislativo 4 settembre 2024, n. 138. Questo provvedimento recepisce nell'ordinamento italiano la direttiva (UE) 2022/2555, nota come NIS2, che mira a stabilire misure per un livello comune elevato di sicurezza informatica in tutta l'Unione Europea, abrogando contestualmente la precedente direttiva NIS. La nuova normativa ridefinisce e amplifica gli obblighi in materia di sicurezza informatica per una vasta gamma di soggetti, con l'Agenzia per la cybersicurezza nazionale (ACN) che conferma il suo ruolo centrale come Autorità nazionale competente NIS e Punto di contatto unico.
L'Evoluzione degli Obblighi: Dalla NIS alla NIS2
La direttiva NIS2 rappresenta un'evoluzione sostanziale rispetto alla sua predecessora. Mentre la normativa precedente focalizzava l'attenzione sulla disponibilità delle reti e dei sistemi relativi ai servizi essenziali di pochi soggetti altamente critici, la NIS2 adotta un approccio più ampio e inclusivo. Il nuovo impianto normativo contiene diverse novità, tra cui un maggior dettaglio degli obblighi in capo ai soggetti, con l'indicazione di dieci ambiti per le misure di sicurezza, un processo di notifica degli incidenti più articolato e una maggiore responsabilizzazione dei vertici delle organizzazioni.
Al fine di guidare i soggetti nell’attuazione sostanziale degli obblighi, la normativa pone un forte accento sulle attività di monitoraggio, supporto e analisi. Questo significa che l'ACN non si limiterà a definire le regole, ma offrirà un supporto attivo alle entità soggette alla normativa per garantire un'adeguata implementazione delle misure di sicurezza. La norma estende gli obblighi in materia di misure di sicurezza e di notifica degli incidenti, rafforza i poteri di supervisione, struttura maggiormente i meccanismi e gli organi preposti alla risposta agli incidenti e alla gestione della crisi.
I soggetti NIS sono chiamati ad effettuare l’aggiornamento annuale delle informazioni entro il 31 maggio di ogni anno. Questo requisito assicura che le informazioni relative alla cybersicurezza siano costantemente aggiornate, permettendo all'ACN di avere un quadro preciso e tempestivo dei livelli di sicurezza sul territorio nazionale.
Ambito di Applicazione e Soggetti Interessati
Il decreto legislativo n. 138/2024 definisce chiaramente l'ambito di applicazione e i soggetti a cui si applica. In linea generale, la normativa NIS2 si rivolge a un numero considerevolmente maggiore di entità rispetto alla NIS originale. A seguito della registrazione, per le medie e grandi imprese, in alcuni casi anche le piccole e microimprese, e le Pubbliche Amministrazioni a cui si applica la nuova normativa si avvia un percorso condiviso di rafforzamento della sicurezza informatica.
La normativa contiene novità sulla gestione del rischio da parte degli operatori, che prevedono misure di sicurezza adeguate e un sistema di notifica degli incidenti efficace e reattivo. Questo implica che le organizzazioni devono adottare un approccio proattivo alla gestione dei rischi informatici, implementando misure preventive e dotandosi di sistemi capaci di rilevare e rispondere rapidamente a eventuali incidenti di sicurezza.
Inoltre, il decreto NIS favorisce la cooperazione e condivisione delle informazioni, attraverso diverse modalità di scambio, a livello sia nazionale che europeo. Questo aspetto è cruciale per costruire un ecosistema di cybersicurezza resiliente, dove la conoscenza e le best practice vengono condivise per affrontare minacce sempre più sofisticate e interconnesse.
Provvedimenti Attuativi e Specifiche Tecniche
Per dare concreta attuazione al nuovo quadro normativo, sono stati emanati diversi provvedimenti attuativi. Tra questi, spiccano:
- DPCM del 9 dicembre 2024, n. [Numero del DPCM]: Criteri per l'applicazione della clausola di salvaguardia. Questo decreto stabilisce le condizioni e le procedure per l'applicazione di clausole di salvaguardia, garantendo flessibilità laddove necessario pur mantenendo elevati standard di sicurezza.
- Determinazione ACN 379907/2025: Specifiche di base per l'adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NIS. Questa determinazione è fondamentale in quanto fornisce indicazioni tecniche precise per la conformità.
- Allegati alla Determinazione ACN:
- Allegato recante le specifiche di base per l'adempimento agli obblighi di cui agli articoli 23 e 24 per i soggetti importanti.
- Allegato recante le specifiche di base per l'adempimento agli obblighi di cui agli articoli 23 e 24 per i soggetti essenziali.
- Allegato recante le specifiche di base per l'adempimento agli obblighi di cui all'articolo 25 per i soggetti importanti.
Questi allegati forniscono linee guida dettagliate su come i soggetti classificati come "importanti" o "essenziali" debbano adempiere agli specifici obblighi previsti dalla normativa, coprendo aspetti cruciali come la gestione dei rischi, la notifica degli incidenti e le misure di sicurezza.
Il Regolamento Cloud per la Pubblica Amministrazione
Parallelamente al recepimento della NIS2, l'Italia ha compiuto un altro passo decisivo nel rafforzamento della sicurezza digitale attraverso l'adozione del Regolamento unico per le infrastrutture e i servizi cloud per la PA. Questo regolamento, adottato dall'ACN d’intesa con il Dipartimento per la trasformazione digitale, è entrato in vigore il 1° agosto 2024, segnando l'inizio di una nuova fase regolatoria, il cosiddetto "regime ordinario".
Il Regolamento definisce e armonizza in un unico quadro normativo le misure minime che le infrastrutture, come i data center e i servizi cloud, devono rispettare per supportare i servizi pubblici. La scelta dei servizi cloud qualificati da ACN avviene in base alla classificazione dei dati e dei servizi, un processo che mira a garantire che le soluzioni adottate siano proporzionate al livello di importanza e sensibilità delle informazioni trattate.
Il provvedimento descrive come classificare i dati e i servizi digitali, rappresentando, a seconda del livello di importanza e sensibilità delle informazioni, una guida sicura per le Pubbliche Amministrazioni nella individuazione delle soluzioni cloud da acquisire. Per agevolarne la scelta, le PA potranno accedere al catalogo delle infrastrutture cloud disponibili sul sito dell’Agenzia.
Il sottosegretario alla Presidenza del Consiglio dei ministri, con delega all’Innovazione, Alessio Butti, ha sottolineato l'importanza di questo provvedimento: "L’adozione del Regolamento unico per le infrastrutture e i servizi cloud per la PA è giunta nel pieno rispetto delle tempistiche previste grazie al lavoro impeccabile svolto dall'Agenzia per la Cybersicurezza Nazionale (ACN) e dal Dipartimento per la Trasformazione Digitale. Il regolamento rappresenta un passo fondamentale verso un quadro normativo armonizzato, che definisce le misure minime che le infrastrutture, come i data center e i servizi cloud, devono rispettare per supportare i servizi pubblici. L'innovazione portata da questo regolamento passa anche dal nuovo processo di qualificazione, che ora permette ai fornitori di servizi cloud di ottenere la qualificazione direttamente online".
Il Direttore Generale dell’Agenzia per la cybersicurezza nazionale, Bruno Frattasi, ha aggiunto: “Dare stabilità alla regolazione dei servizi cloud rappresenta il raggiungimento di una tappa fondamentale per la nostra Agenzia. L’ambizione è quella di rappresentare, per le PA impegnate nei processi di transizione al cloud, un punto di riferimento che potrà orientarle nella scelta delle soluzioni più congeniali”.
IBM Italia - Il Cloud nella Pubblica Amministrazione - (19-04-2019)
Innovazione e Sicurezza nel Cloud
Il nuovo Regolamento introduce significative innovazioni anche nel processo di qualificazione dei fornitori di servizi cloud. Questo processo sarà interamente digitale, permettendo ai fornitori interessati di ottenere la qualificazione direttamente online attraverso il sito dell’Agenzia. Questo snellimento burocratico mira a favorire l'adozione di soluzioni cloud qualificate da parte delle Pubbliche Amministrazioni.
Le nuove qualifiche avranno una validità di 36 mesi e saranno soggette ad attività di monitoraggio continuo da parte dell'ACN. Questo meccanismo di vigilanza permetterà all'Agenzia di verificare nel tempo il rispetto dei requisiti necessari al trattamento dei dati e dei servizi in linea con il livello di classificazione stabilito.
Il Regolamento disciplina inoltre l'utilizzo delle infrastrutture di housing e dei servizi di prossimità (cosiddetti ‘edge computing’), ampliando il suo raggio d'azione per coprire un ventaglio più ampio di soluzioni tecnologiche.
Il sottosegretario Butti ha rimarcato come: “In questo modo stiamo promuovendo un approccio innovativo e rigoroso per la trasformazione digitale del Paese, in linea con gli standard più elevati di sicurezza e efficienza”. L'obiettivo è chiaro: promuovere una trasformazione digitale che sia non solo efficiente, ma anche intrinsecamente sicura e allineata ai più alti standard internazionali.
Il DG Frattasi ha concluso evidenziando i benefici a lungo termine: “Voglio ricordare che la migrazione al cloud è di per sé una misura organizzativa e tecnica che favorisce una maggiore protezione e sicurezza dei dati. E ci potrà offrire, con l’utilizzo delle tecnologie più avanzate, quali ad esempio l’Intelligenza artificiale, opportunità straordinarie per lo sviluppo digitale del paese”. La migrazione al cloud, quindi, non è solo un obbligo normativo, ma un'opportunità strategica per migliorare la sicurezza, l'efficienza e abilitare nuove potenzialità di sviluppo grazie all'adozione di tecnologie avanzate. Le informazioni dettagliate sul Regolamento sono disponibili sul sito dell’Agenzia per la cybersicurezza nazionale.
tags: #nuovo #regolamento #acn