La nuova direttiva NIS

per un più alto livello di cybersicurezza del sistema Paese

Sapienza Università di Roma

27 novembre 2024 | 10.00 - 13.00

La nuova direttiva NIS: per un più alto livello di
cybersicurezza del sistema Paese

ACN CI GUIDA ALLA SCOPERTA DELLA NIS

La nuova direttiva NIS: per un più alto livello di
cybersicurezza del sistema Paese

Il percorso attuativo del Decreto

legislativo di recepimento della NIS2

MILENA ANTONELLA RIZZI

CAPO DEL SERVIZIO REGOLAZIONE ACN
Direttiva NIS2 (2022/2555) – Focus

Estensione ambiti di applicazione

• 18 settori: 11 settori altamente critici (originariamente 8) e 7 settori critici
(originariamente 0)
• Intera infrastruttura ICT (originariamente solo reti e sistemi serventi i servizi essenziali)

Processo di identificazione dei soggetti

• Soggetti distinti tra entità essenziali e importanti
• Identificazione automatica sulla base di criteri oggettivi (da media imprese in su, salvo
eccezioni)
• L’Autorità ha anche la facoltà di identificare ulteriori soggetti

D.Lgs. 138/2024 in vigore dal 16 ottobre 2024

4
Recepimento e attuazione

• Avvio informale di alcuni tavoli settoriali

Recepimento • Adozione definitiva in CDM (7 agosto)
• Pubblicazione in Gazzetta Ufficiale (1° ottobre)
(febbraio 23- metà ottobre 24) • Entrata in vigore (16 ottobre)

•[ACN e Autorità di settore] Avvio formale di tutti i tavoli settoriali

Prima fase attuativa •[Soggetti] Censimento e registrazione dei soggetti (entro febbraio 2025)
•[ACN e Autorità di settore] Adozione dell’elenco dei soggetti NIS e notifica (aprile 2025)
(metà ottobre 24 – metà aprile 25) •[ACN] Elaborazione e adozione degli obblighi di base (aprile 2025)

• [Soggetti] Implementazione obblighi di base (termine per notifiche di incidente 01/2026)

Seconda fase attuativa • [ACN] Monitoraggio e supporto dell’implementazione obblighi di base
• [ACN] Elaborazione e adozione del modello di categorizzazione delle attività e dei servizi
(metà aprile 25 – metà aprile 26) • [ACN] Elaborazione e adozione degli obblighi a lungo termine (aprile 2026)

• [Soggetti] Completamento dell’implementazione obblighi di base (termine per misure di

Terza fase attuativa sicurezza 10/2026)
• [Soggetti] Categorizzazione delle attività e dei servizi
(da metà aprile 26) • [Soggetti] Implementazione degli obblighi a lungo termine

5
DPCM e Determinazioni attuativi (1/2)

Atto Contenuto Stato

DPCM su proposta ACN, sentito il Tavolo, previo parere Criteri per l’applicazione della clausola di Approvato preliminarmente dal
CIC salvaguardia Tavolo
[ove necessario] DPCM su proposta ACN, d’intesa con
Modalità di raccordo e cooperazione con
Amministrazioni interessate, sentito il Tavolo, previo Valutazione in corso
autorità nazionali
parere CIC
Organizzazione e funzionamento del tavolo
Determinazione ACN, sentito il Tavolo Determinazione approvata
interministeriale
Modalità di accesso alla piattaforma e
Determinazione ACN, sentito il Tavolo informazioni aggiuntive che i soggetti devono Determinazione approvata
condividere
Determinazione ACN, su proposta delle Autorità di Individuazioni governative di soggetti che non
In istruttoria
settore interessate, sentito il Tavolo rientrano nei criteri generali

6
DPCM e Determinazioni attuativi (2/2)

Termine Atto Contenuto

Determinazione ACN, su proposta delle Autorità di settore Se necessario, concessione dell’applicazione della clausola
Entro il 31 interessate, sentito il Tavolo di salvaguardia
marzo
Determinazione ACN, sentito il Tavolo Elenco dei soggetti NIS2
Criteri, procedure e modalità per le attività di monitoraggio,
DPCM su proposta ACN, sentito il Tavolo, previo parere CIC
vigilanza ed esecuzione
Modalità di applicazione degli strumenti deflattivi del
DPCM su proposta ACN, sentito il Tavolo, previo parere CIC
contenzioso
DPCM su proposta ACN, d’intesa con Autorità di settore,
Entro 6 Modalità di collaborazione con le Autorità di settore
sentito il Tavolo, previo parere CIC
mesi
Determinazione ACN, d’intesa con il Ministero della Giustizia, Politica nazionale di divulgazione coordinata delle
sentito il Tavolo vulnerabilità
Modalità di notifica all’Autorità nazionale compente NIS
Determinazione ACN, sentito il Tavolo
degli accordi di condivisione tra soggetti
Determinazione ACN, sentito il Tavolo Obblighi di base

7
La nuova direttiva NIS: per un più alto livello di
cybersicurezza del sistema Paese

Il ruolo del CSIRT Italia e l’importanza

delle notifiche di incidente

GIANLUCA GALASSO
CAPO DEL SERVIZIO OPERAZIONI E
GESTIONI DELLE CRISI CYBER ACN
IL RUOLO DEL CSIRT ITALIA
Le notifiche di incidenti

L’OBBLIGO DI NOTIFICA DECORRE A PARTIRE DAL 1 GENNAIO 2026

NOTIFICHE VOLONTARIE POSSIBILI FIN DA SUBITO

COSA PERCHÈ
OBBLIGATORIA VOLONTARIA • Protezione strategica per il
rafforzamento della resilienza
Incidente Incidente
• Supporto qualificato
significativo Minacce
• Anticipo della minaccia verso terzi
Quasi incidente
NOTIFICA
DI
QUANDO INCIDENTE COME

Entro le 24 ore (pre-notifica) Notifica sui canali ACN con modalità

da definire contestualmente alla
Entro le 72 ore (notifica integrativa) definizione degli obblighi

9
IL RUOLO DEL CSIRT ITALIA
I servizi operativi

Non solo obblighi, ma anche servizi a supporto dei Soggetti

SERVIZI OPERATIVI BENEFICI ACCESSO AI SERVIZI

Accesso a CSIRT Italia

▪ Info di sicurezza

▪ Condivisione di informazioni per

HyperSOC identificare e contrastare la minaccia
(IOC)
▪ Graduale
▪ Supporto Incident Response (IR)
MISP
▪ Basato su criticità
▪ Cyber Threat Intelligence (CTI) dei servizi erogati
dai soggetti NIS
▪ Cyber Risk Assessment
Tool Cyber Risk Management

10
La nuova direttiva NIS: per un più alto livello di
cybersicurezza del sistema Paese

Il processo di registrazione dei soggetti

essenziali e importanti sulla piattaforma NIS

NICOLÒ RIVETTI
CAPO DIVISIONE NIS E DISCIPLINE
UNIONALI SERVIZIO REGOLAZIONE ACN
Perché la registrazione?
Dubbi sull’ambito di applicazione Chiarezza sull’ambito di applicazione

Soggetto

REGISTRAZIONE
Possibili difficoltà di interlocuzione Canale di comunicazione diretto e informato

Canale di Mancanza di Canale di Conoscenza del

comunicazione informazioni sul comunicazione soggetto
generalista soggetto per fornire il dedicato e diretto
supporto necessario Attività proattive
di supporto

12
13
14
15
16
17
18
19
20
21
XXX Energia elettrica

22
Verifiche di coerenza e costituzione dell’elenco dei soggetti NIS
Dal 1° dicembre al 28 febbraio

Raccolta delle
Soggetto Punto di contatto Dichiarazione dichiarazioni NIS

Verifiche
a campione

Entro 30 gioni
Autorità di settore

Nel mese di aprile

Entro il 31 marzo

Elenchi soggetti NIS

Raccolta delle settoriali
dichiarazioni NIS

Autorità di settore

23
La nuova direttiva NIS: per un più alto livello di
cybersicurezza del sistema Paese

Soggetti essenziali e importanti.

Proporzionalità degli obblighi

ELIANA PEZZUTO
VICE CAPO DIVISIONE NIS E DISCIPLINE
UNIONALI SERVIZIO REGOLAZIONE ACN
 1 Possibile identificazione dell’Autorità come essenziali
Ambito di applicazione (articoli 3 e 6, allegati I-IV) 2 Possibile identificazione dell’Autorità come importanti o essenziali
Settore Dettaglio Grandi imprese Medie imprese Piccole/micro imprese
SETTORI ALTAMENTE CRITICI
Energia (con nuovi sottosettori/tipologie di soggetti) 19 tipologie di soggetto
Trasporti 10 tipologie di soggetto
Settore bancario
DORA Lex specialis Fuori ambito2
Infrastrutture dei mercati finanziari Importanti1
Settore sanitario (con nuovi sottosettori/tipologie di soggetti) 5 tipologie di soggetto
Essenziali
Acqua potabile 1 tipologia di soggetto
Acque reflue 1 tipologia di soggetto
Infrastrutture digitali (con nuovi sottosettori/tipologie di soggetti) 9 tipologie di soggetto
Gestione dei servizi TIC (b2b) 2 tipologie di soggetto
Spazio 1 tipologia di soggetto
SETTORI CRITICI
Servizi postali e di corriere 1 tipologia di soggetto
Gestione dei rifiuti 1 tipologia di soggetto
Fabbricazione, produzione e distribuzione di sostanze chimiche 1 tipologia di soggetto
Produzione, trasformazione e distribuzione di alimenti 1 tipologia di soggetto
Fabbricazione 6 tipologie di soggetto
Fornitori di servizi digitali (con nuovi sottosettori/tip. di soggetti) 4 tipologie di soggetto
Ricerca 2 tipologie di soggetto
ULTERIORI TIPOLOGIE DI SOGGETTI
Pubblica Amministrazione centrale 4 categorie di PA
Pubblica Amministrazione regionale e locale 11 categorie di PA
Ulteriori tipologie di soggetti 4 tipologie di soggetti Identificazione dell’Autorità

Settori, sottosettori e tipologie di soggetti introdotti dalla NIS2

25
Approccio al principio di proporzionalità degli obblighi
Attività e Servizi Sistemi informativi e di rete Obblighi

Altamente
critici Produzione Altamente critici ELEVATI

Critici
Fatturazione INTERMEDI
Servizi ancillari Critici

Ordinari
DI BASE

Risorse umane
Intranet Ordinari
26
 La nuova direttiva NIS: per un più alto livello di
cybersicurezza del sistema Paese

I dieci ambiti di applicazione delle

misure di sicurezza

CLAUDIO CICCOTELLI
CAPO DIVISIONE PSNC E DISCIPLINE NAZIONALI
SERVIZIO REGOLAZIONE ACN
I dieci ambiti di applicazione delle misure di sicurezza

Sicurezza della catena di

Continuità operativa, inclusa approvvigionamento,
Politiche di analisi dei rischi
la gestione del backup e il compresi aspetti relativi alla
e di sicurezza dei sistemi Gestione degli incidenti
ripristino in caso di disastro, sicurezza dei rapporti con i
informativi
e gestione delle crisi diretti fornitori o i fornitori
di servizi

Sicurezza dell'acquisizione,
dello sviluppo e della Politiche e procedure per Pratiche di igiene Politiche e procedure
manutenzione […], valutare l'efficacia delle informatica di base e relative all'uso della
compresa la gestione e la misure di gestione dei rischi formazione in materia di crittografia e, se del caso,
divulgazione delle di cybersicurezza cybersicurezza della cifratura;
vulnerabilità

Uso di soluzioni di
Sicurezza delle risorse
autenticazione a più fattori o
umane, strategie di controllo
di autenticazione continua e
dell'accesso e gestione degli
di sistemi di comunicazione
assetti
protetti

28
Organi di amministrazione e direttivi: responsabilità e obblighi

Gli organi di amministrazione e direttivi

Approvano le modalità di implementazione delle misure di sicurezza

Sovrintendono all’implementazione degli obblighi

Sono responsabili delle eventuali violazioni

Sono tenuti a seguire una formazione in materia di cybersicurezza

Promuovono la formazione dei propri dipendenti

29
Gradualità degli obblighi

Oggi Aprile Gennaio Aprile Giugno Ottobre …

2025 2026 2026 2026 2026

Primo Secondo
Elaborazione Adozione
Obblighi di base Termine Attuazione Attuazione termine
determina determina
(notifiche) (misure)

Modello di Elaborazione Elaborazione Adozione

Attuazione
categorizzazione determina determina determina

Obblighi a lungo Elaborazione Elaborazione Adozione

Attuazione Attuazione Attuazione
termine determina determina determina

Obblighi di base
Obblighi
• Obblighi, anche orizzontali, minimi per tutta l’infrastruttura
• Registrazione (articolo 7), oggetto di altra determina con un orizzonte a breve termine
• Responsabilità dei vertici (articolo 23)
Obblighi a lungo termine
• Misure di sicurezza (articolo 24)
• Notifiche di incidente (articolo 25) • Obblighi, anche settorializzati e potenzialmente ambiziosi,
proporzionati in base alla categorizzazione e con scadenze a
• Banche dati dei nomi di dominio (articolo 29)
medio e lungo termine

30
 La nuova direttiva NIS: per un più alto livello di
cybersicurezza del sistema Paese

Focus sulla catena di approvvigionamento

DAVIDE NARDACCI
VICE CAPO DIVISIONE PSNC E DISCIPLINE NAZIONALI
SERVIZIO REGOLAZIONE ACN
Sicurezza della catena di approvvigionamento

Contesto giuridico (Art. 24 comma 2 lettera d) del d.lgs. 138/2024)

• Sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza
riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi

Considerazioni
• Gestione del rischio legato alla catena di approvvigionamento
• Identificazione e valutazione dei fornitori
• Contratti con i fornitori che prevedano aspetti di sicurezza
• Estensione dell’ambito di applicazione della NIS2 rispetto alla NIS1

32
Sicurezza della catena di approvvigionamento – Strumenti

Framework nazionale per la cybersecurity e la data protection

• Prevede una specifica categoria Supply Chain Risk Management (ID.SC) al fine di gestire il rischio
cyber all’interno delle filiere produttive complesse e nelle catene di approvvigionamento

Supply Chain Risk Management (ID.SC)

• Processi di gestione del rischio inerenti la catena di approvvigionamento cyber
• Identificazione e valutazione dei fornitori tramite un processo di valutazione del rischio
• Utilizzo dei contratti per rispettare gli obiettivi del piano di gestione del rischio della catena di
approvvigionamento cyber
• Regolari verifiche verso i fornitori per confermare il rispetto degli obblighi contrattuali
• Conduzione della pianificazione e della verifica della risposta e del ripristino assieme ai fornitori

33
La nuova direttiva NIS: per un più alto livello di
cybersicurezza del sistema Paese

LAURA TINTISONA
VICE CAPO SERVIZIO REGOLAZIONE ACN
Approfondimento sull’ambito di applicazione – Pubbliche amministrazioni
ARTICOLO 3 – Ambito di applicazione
a) Amministrazioni centrali ESSENZIALI 6. Il presente decreto si applica, altresì, anche
1. gli Organi costituzionali e di rilievo costituzionale indipendentemente dalle loro dimensioni, alle pubbliche
2. la Presidenza del Consiglio dei ministri e i Ministeri amministrazioni di cui all'articolo 1, comma 3, della legge 31
dicembre 2009, n. 196, ricomprese nelle categorie elencate
3. le Agenzie fiscali
nell'allegato III.
4. le Autorità amministrative indipendenti 7. Sulla base di un criterio di gradualità, dell'evoluzione del
grado di esposizione al rischio della pubblica amministrazione,
b) Amministrazioni regionali IMPORTANTI della probabilità che si verifichino incidenti e della loro gravità,
1. le Regioni e le Province autonome compreso il loro impatto sociale ed economico, […] con uno o più
DPCM […], possono essere individuate ulteriori categorie di
c) Amministrazioni locali IMPORTANTI pubbliche amministrazioni a cui si applica il presente decreto […].

1. le Città metropolitane
2. i Comuni con popolazione superiore a 100.000 abitanti
3. i Comuni capoluoghi di regione Rispetto del principio di armonizzazione minima
4. le Aziende sanitarie locali (PA centrale)
d) Altri soggetti pubblici: IMPORTANTI
Allineamento con Legge 90/2024
1. gli Enti di regolazione dell'attività economica
2. gli Enti produttori di servizi economici
3. gli Enti a struttura associativa
4. gli Enti produttori di servizi assistenziali, ricreativi e culturali Possibile estensione graduale tramite DPCM
5. gli Enti e le Istituzioni di ricerca
6. gli Istituti zooprofilattici sperimentali
35
 Linee guida per il rafforzamento della resilienza
Definite in coerenza con gli ambiti di cui all’art. 8, co. 1, della Legge
90/2024 e alla Direttiva del Presidente del Consiglio dei ministri 29
dicembre 2023 (Resilienza cibernetica del Paese - Protocolli di intesa per
irrobustire la capacità di risposta agli incidenti informatici).

PARTE 1: MISURE DI SICUREZZA

• definizione di 26 misure di sicurezza che i soggetti

adottano per il rafforzamento della propria resilienza.

PARTE 2: MODALITÀ DI IMPLEMENTAZIONE

• supporto ai soggetti nell’implementazione delle misure di

sicurezza.

36
La nuova direttiva NIS: per un più alto livello di
cybersicurezza del sistema Paese

GIAN LUCA BERRUTI

CAPO DIVISIONE PROCEDIMENTO
SANZIONATORIO
SERVIZIO REGOLAZIONE ACN
NIS 2: trasformare la sicurezza informatica in vantaggio competitivo

Protezione come Fiducia dei Sostenibilità

investimento, clienti e del
non come costo mercato digitale

• Implementare misure di • In un mondo più connesso, la • Crescita in un ambiente sicuro

cybersicurezza non è solo fiducia è tutto per tutti gli attori
un modo per rispettare la • Le aziende che dimostrano di
legge, ma un investimento • Protezione e rafforzamento
strategico. adottare pratiche di del tessuto economico italiano
sicurezza rigorose rafforzano
• Una migliore sicurezza la propria immagine e
riduce i rischi, i costi legati conquistano nuovi mercati.
a incidenti e garantisce la
continuità operativa

La direttiva NIS 2 è un’opportunità per rafforzare la vostra azienda, per creare valore e
per contribuire a un futuro digitale più sicuro e resiliente

38
ACN e imprese: insieme per un ecosistema
digitale sicuro
Sinergia
• Sfida comune per istituzioni, aziende e fornitori di servizio
per la costruzione di un sistema digitale più sicuro.

Collaborazione
• Efficacie ed effettiva tra pubblico e privato. Sostegno con
impiego di strumenti, risorse e competenze.

Condivisione
• Informazioni, esperienze, competenze ed esigenze per
una crescita culturale collettiva

39
 La nuova direttiva NIS
per un più alto livello di cybersicurezza del sistema Paese
Sapienza Università di Roma

27 novembre 2024 | 10.00 - 13.00