WhatsApp

info@brentasoft.com

WhatsApp

Richiedi Preventivo

NIS Directive cybersecurity: la guida 2021

Tabella dei Contenuti

NIS Directive cybersecurity laptop con scudo di sicurezza

La NIS Directive cybersecurity rappresenta il primo grande passo legislativo dell’Unione Europea in materia di sicurezza delle reti e dei sistemi informativi. Recepita in Italia con il D.Lgs. 65/2018, la direttiva NIS 2016/1148 impone obblighi precisi a Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD): misure tecniche e organizzative adeguate, notifica degli incidenti significativi, controlli e sanzioni. Nel 2021 il quadro evolve: nasce l’ACN (Agenzia per la Cybersicurezza Nazionale) e la Commissione UE negozia una NIS2 in arrivo che amplierà notevolmente il perimetro applicativo. In questa guida educativa per CISO, IT manager, legal counsel e compliance officer analizziamo nel dettaglio come funziona la NIS oggi, come prepararsi alla NIS2 e quali strumenti tecnologici (SIEM, EDR, MFA) servono per essere conformi.

Data center con server e rete di sicurezza
Infrastruttura critica e protezione delle reti: cuore della NIS Directive.

1. NIS Directive: il quadro normativo italiano nel 2021

La Direttiva (UE) 2016/1148, nota come NIS Directive (Network and Information Systems), è stata adottata dal Parlamento europeo il 6 luglio 2016 ed e’ entrata in vigore l’8 agosto 2016. Gli Stati membri avevano tempo fino al 9 maggio 2018 per recepirla nei rispettivi ordinamenti. L’Italia ha rispettato la scadenza con il Decreto Legislativo 18 maggio 2018, n. 65, che disciplina puntualmente obblighi, autorita’ competenti e regime sanzionatorio.

L’obiettivo della direttiva e’ duplice: da un lato innalzare il livello complessivo di sicurezza informatica nell’Unione, dall’altro garantire la continuita’ dei servizi essenziali (energia, trasporti, sanita’, acqua potabile, banche, infrastrutture dei mercati finanziari, infrastrutture digitali) e dei servizi digitali (motori di ricerca, marketplace online, servizi cloud computing).

Nel 2021 il sistema italiano si articola su tre pilastri: il DIS (Dipartimento delle Informazioni per la Sicurezza) come punto di contatto unico nazionale; il CSIRT Italia come team di risposta agli incidenti; le Autorita’ competenti NIS (MISE, MIT, MEF, Salute, Ambiente, AgID per i servizi digitali) per i diversi settori. Con la legge 109/2021 il baricentro si sposta verso la nuova ACN, di cui parleremo nella sezione dedicata.

La conformita’ NIS si intreccia inevitabilmente con altri obblighi normativi gia’ familiari alle aziende italiane: la compliance GDPR per la protezione dei dati personali, le misure minime AgID per la PA, il Perimetro di Sicurezza Nazionale Cibernetica (DPCM 30 luglio 2020). Per un quadro d’insieme su sicurezza informatica e PMI rimandiamo alla nostra guida sulla sicurezza informatica per PMI.

2. Chi sono gli OSE (Operatori di Servizi Essenziali)

Gli Operatori di Servizi Essenziali sono soggetti pubblici o privati che forniscono servizi indispensabili al mantenimento di attivita’ sociali ed economiche fondamentali. Il D.Lgs. 65/2018 individua sette settori specifici, ciascuno articolato in sottosettori e tipologie di entita’ soggette agli obblighi NIS.

I sette settori OSE individuati dalla NIS sono:

  • Energia: elettricita’ (fornitori, gestori di rete di distribuzione e trasmissione), petrolio (oleodotti, raffinerie), gas (imprese di fornitura, gestori di rete);
  • Trasporti: aereo (vettori, gestori aeroportuali, controllo del traffico), ferroviario, per vie navigabili (compagnie di navigazione interna e marittima, gestori di porti), su strada (autorita’ stradali, gestori di sistemi ITS);
  • Bancario: enti creditizi (banche commerciali, di investimento, di risparmio);
  • Infrastrutture dei mercati finanziari: gestori di sedi di negoziazione, controparti centrali (CCP);
  • Sanita’: prestatori di assistenza sanitaria (ospedali, cliniche private);
  • Fornitura e distribuzione di acqua potabile: enti acquedottieri;
  • Infrastrutture digitali: punti di interscambio (IXP), fornitori di servizi DNS, registri di nomi di dominio di primo livello (TLD).

L’identificazione concreta delle entita’ OSE non e’ automatica: spetta alle Autorita’ competenti NIS effettuare la ricognizione puntuale, applicando criteri qualitativi (dipendenza del servizio dai sistemi informativi) e quantitativi (numero di utenti, quota di mercato, impatto di un incidente). In Italia l’elenco delle entita’ OSE e’ riservato ed e’ notificato al DIS e poi alla Commissione UE. Le aziende identificate ricevono comunicazione formale dall’Autorita’ di settore.

3. Chi sono i FSD (Fornitori di Servizi Digitali)

I Fornitori di Servizi Digitali rappresentano la seconda categoria di soggetti obbligati. A differenza degli OSE (identificazione puntuale), i FSD sono individuati per categoria: chiunque rientri nelle definizioni della direttiva e’ soggetto agli obblighi NIS, salvo le micro e piccole imprese (sotto i 50 dipendenti e fatturato/bilancio inferiore a 10 milioni di euro), che sono escluse.

Le tre categorie FSD sono:

  1. Mercati online (online marketplace): piattaforme che consentono ai consumatori di concludere contratti di vendita o di servizi con operatori commerciali (es. portali e-commerce multi-vendor);
  2. Motori di ricerca online (search engines): servizi che consentono agli utenti di effettuare ricerche su tutti i siti web in tutte le lingue, restituendo link e informazioni;
  3. Servizi di cloud computing: servizi che permettono l’accesso a un insieme scalabile ed elastico di risorse condivise (IaaS, PaaS, SaaS).

I FSD sono soggetti a un regime piu’ leggero rispetto agli OSE (light-touch approach): l’Autorita’ competente puo’ intervenire solo a posteriori, in caso di evidenza di non conformita’. Tuttavia, gli obblighi sostanziali (misure di sicurezza, notifica incidenti) sono pienamente applicabili. Per le PMI italiane che offrono soluzioni cloud sicure, anche se non rientrano nel perimetro NIS attuale per la soglia dimensionale, l’adozione delle stesse misure rappresenta una best practice e una preparazione strategica alla NIS2.

Codice binario con lucchetto a protezione delle informazioni
Misure tecniche e organizzative: cifratura, MFA e controllo accessi.

4. Misure di sicurezza richieste dalla NIS

L’articolo 12 del D.Lgs. 65/2018 impone agli OSE l’adozione di misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi, tenendo conto delle conoscenze piu’ aggiornate del settore. La NIS non prescrive un elenco chiuso di misure: adotta un approccio risk-based che lascia all’organizzazione la valutazione concreta. Tuttavia, gli orientamenti ENISA e le linee guida nazionali identificano un set di domini consolidato.

Domini di controllo NIS (best practice ENISA 2021):

  • Governance: politiche di sicurezza, ruoli e responsabilita’ (CISO formalizzato), risk assessment periodico;
  • Asset management: inventario hardware/software, classificazione delle informazioni;
  • Controllo accessi: principio del minimo privilegio, MFA per accessi privilegiati, segregation of duties, gestione utenti e permessi centralizzata;
  • Sicurezza fisica e ambientale: data center con controlli ambientali (UPS, antincendio), badge di accesso;
  • Sicurezza delle operazioni: hardening dei sistemi, patch management, antimalware, logging;
  • Sicurezza delle comunicazioni: cifratura dei dati in transito (TLS 1.2+), segmentazione di rete, VPN per accessi remoti;
  • Acquisizione, sviluppo e manutenzione: secure SDLC, security testing, gestione vulnerabilita’;
  • Gestione incidenti: piano di response formalizzato, playbook, esercitazioni periodiche;
  • Continuita’ operativa: business continuity plan, disaster recovery, RPO/RTO definiti;
  • Compliance: audit interni, conformita’ normativa documentata.

I FSD seguono un set di misure parzialmente diverso, dettagliato dal Regolamento di esecuzione (UE) 2018/151 della Commissione, che individua cinque elementi: sicurezza dei sistemi e degli impianti, gestione degli incidenti, gestione della continuita’ operativa, monitoraggio e audit, conformita’ alle norme internazionali (ISO/IEC 27001 e standard equivalenti).

5. Notifica incidenti: 24h, 72h, 1 mese

Uno dei pilastri operativi della NIS e’ la notifica obbligatoria degli incidenti significativi al CSIRT Italia (e per conoscenza all’Autorita’ competente). L’art. 12 e l’art. 14 del D.Lgs. 65/2018 disciplinano la procedura, che si articola su tre finestre temporali:

  • 24 ore dalla conoscenza dell’incidente: notifica preliminare con informazioni minime (identificazione organizzazione, descrizione sintetica, impatto stimato, indicazione se l’incidente e’ in corso);
  • 72 ore: notifica intermedia con aggiornamento sull’evoluzione, indicatori di compromissione (IoC), misure di contenimento adottate;
  • 1 mese: relazione finale con analisi delle cause (root cause analysis), impatto effettivo, lezioni apprese e misure correttive.

Quando un incidente e’ “significativo”? La direttiva fissa criteri quantitativi e qualitativi: numero di utenti interessati, durata dell’interruzione, ampiezza geografica, impatto sull’attivita’ economica e sulla salute pubblica. Le linee guida CSIRT Italia hanno operazionalizzato soglie pratiche per ciascun settore.

La notifica al CSIRT Italia avviene tramite un portale dedicato, con autenticazione mutual TLS basata su certificato digitale rilasciato preventivamente all’organizzazione. La forma scritta tramite PEC e’ ammessa solo come canale di emergenza.

Attenzione al rapporto con il GDPR: se l’incidente NIS coinvolge anche dati personali, scatta in parallelo l’obbligo di notifica al Garante Privacy entro 72 ore (art. 33 GDPR). Le due notifiche sono distinte e devono essere gestite separatamente, anche se le informazioni di base sono spesso le medesime.

6. ACN (Agenzia Cybersicurezza Nazionale): la novita’ 2021

Il 14 giugno 2021 il Governo italiano ha approvato il decreto-legge n. 82, convertito con la Legge 4 agosto 2021, n. 109, che istituisce l’Agenzia per la Cybersicurezza Nazionale (ACN). Si tratta del piu’ rilevante intervento istituzionale italiano in materia di cybersecurity dall’entrata in vigore della NIS.

L’ACN nasce con tre missioni cardine:

  1. Autorita’ nazionale per la cybersicurezza: punto di contatto unico nazionale per la NIS, succede al DIS in questo ruolo;
  2. Autorita’ per il Perimetro di Sicurezza Nazionale Cibernetica: coordinamento dei soggetti inclusi nel Perimetro (DPCM 2020);
  3. Sviluppo della Strategia Nazionale di Cybersicurezza: ricerca, formazione, partnership pubblico-privato.

A giugno 2021 l’Agenzia e’ nelle fasi di costituzione: il Direttore Generale, il quadro organizzativo e le sedi sono in via di definizione. Il CSIRT Italia, originariamente collocato presso il DIS, transitera’ all’ACN nei mesi successivi. Il sito ufficiale acn.gov.it sara’ progressivamente popolato di contenuti operativi nel corso del 2022.

Per le aziende OSE/FSD il principale impatto pratico nel 2021 e’ la transizione: le notifiche di incidente continuano verso il CSIRT Italia (presso DIS), ma ci si prepara al passaggio verso l’ACN. Conviene monitorare regolarmente le comunicazioni ufficiali, anche tramite fonti europee come ENISA, l’Agenzia europea per la cybersicurezza, che mantiene un panorama aggiornato delle autorita’ nazionali.

7. CSIRT Italia: come funziona

Il Computer Security Incident Response Team Italia e’ il punto di contatto operativo per la gestione degli incidenti di cybersecurity a livello nazionale. Istituito con il DPCM 8 agosto 2019, il CSIRT Italia opera oggi presso il DIS e nel 2021 si appresta a confluire nell’ACN.

Le funzioni principali del CSIRT Italia comprendono:

  • Raccolta e analisi delle segnalazioni di incidenti significativi NIS;
  • Diffusione di alert e advisory tecnici (vulnerabilita’ critiche, campagne di attacco in corso);
  • Coordinamento con i CSIRT degli altri Stati membri tramite la rete CSIRTs Network europea;
  • Supporto tecnico ai soggetti notificanti durante la gestione di un incidente;
  • Diffusione di best practice, linee guida e strumenti di self-assessment.

La pagina ufficiale csirt.gov.it pubblica regolarmente bollettini di sicurezza, report annuali sulle minacce e indicatori di compromissione. Per i CISO italiani la sottoscrizione alle mailing list del CSIRT e’ fortemente raccomandata, anche per le organizzazioni non OSE/FSD.

Bandiera italiana ed europea: compliance NIS in Italia
NIS Directive: dal recepimento italiano (D.Lgs. 65/2018) verso la NIS2 europea.

8. NIS2 Directive in arrivo (2022-2024)

Il 16 dicembre 2020 la Commissione europea ha pubblicato la proposta di una nuova direttiva, comunemente nota come NIS2, destinata a sostituire la NIS originale. A giugno 2021 il testo e’ in negoziazione tra Parlamento europeo, Consiglio e Commissione (procedura legislativa ordinaria), con l’obiettivo di arrivare a un compromesso politico nel 2022. L’entrata in vigore concreta, considerati i tempi di recepimento da parte degli Stati membri (24 mesi), si stima nel 2024.

Le novita’ principali della NIS2 riguardano:

  • Ampliamento del perimetro: passaggio da 7 a 18 settori, con introduzione di “settori altamente critici” (energia, trasporti, banche, sanita’, acqua, infrastrutture digitali, ICT B2B, PA, spazio) e “settori critici” (servizi postali, gestione rifiuti, alimentare, manifatturiero, fornitori digitali, ricerca);
  • Eliminazione della distinzione OSE/FSD: introduzione di “soggetti essenziali” e “soggetti importanti” basati su soglie dimensionali (medie e grandi imprese);
  • Misure di sicurezza minime armonizzate: gestione incidenti, supply chain security, vulnerability disclosure, MFA obbligatoria, crittografia, formazione;
  • Notifica incidenti rafforzata: mantenimento del modello 24/72/30, con definizioni piu’ precise di “incidente significativo”;
  • Sanzioni armonizzate: fino al 2% del fatturato annuo mondiale per soggetti essenziali, 1,4% per soggetti importanti;
  • Responsabilita’ del top management: obblighi diretti per CDA e dirigenti apicali, sanzioni personali in caso di non conformita’;
  • Supply chain: obblighi di sicurezza estesi ai fornitori critici, in linea con la tendenza europea di considerare la catena di approvvigionamento ICT come superficie d’attacco strategica.

9. Cosa cambia con NIS2 per le PMI italiane

L’impatto della NIS2 in arrivo sulle PMI italiane sara’ significativo, anche se non immediato. Le micro e piccole imprese restano in linea di principio escluse, ma con eccezioni rilevanti: le PMI che operano in settori altamente critici (es. fornitori di servizi DNS, registri TLD, fornitori di servizi cloud), o che sono uniche nel proprio settore in uno Stato membro, rientrano automaticamente nel perimetro indipendentemente dalla dimensione.

Per le medie imprese (50-250 dipendenti, fatturato tra 10 e 50 milioni) operanti nei settori critici o altamente critici, NIS2 impone:

  • Adozione formale di un sistema di gestione della sicurezza dell’informazione (ISMS), ispirato a ISO/IEC 27001;
  • Risk assessment annuale documentato;
  • Designazione di un punto di contatto per la cybersecurity;
  • Formazione del personale, in particolare del management;
  • Notifica incidenti secondo lo schema 24/72/30;
  • Audit periodici e prontezza a controlli da parte dell’Autorita’ competente;
  • Sicurezza della supply chain: due diligence sui fornitori IT critici.

Conviene iniziare la preparazione gia’ nel 2021: gap analysis rispetto alle misure di sicurezza, definizione di un piano triennale, scelta di gestionali personalizzati con audit trail integrato, formazione del personale. Per un quadro normativo piu’ ampio sulla compliance aziendale rimandiamo alla nostra guida GDPR aziendale per PMI.

10. Sanzioni e controlli

Il D.Lgs. 65/2018 prevede un regime sanzionatorio differenziato in base alla violazione e al tipo di soggetto. Le sanzioni amministrative pecuniarie variano da poche migliaia di euro fino a importi a sei cifre per le infrazioni piu’ gravi.

Schema sanzioni NIS in Italia (2021):

  • Mancata notifica di incidente significativo: da 12.000 a 120.000 euro per gli OSE; da 12.000 a 125.000 euro per i FSD;
  • Mancata adozione di misure tecniche e organizzative adeguate: da 12.000 a 120.000 euro;
  • Mancata cooperazione con l’Autorita’ competente (rifiuto di fornire informazioni, ostacolo agli audit): da 12.000 a 120.000 euro;
  • Violazioni reiterate: applicazione delle sanzioni nel massimo edittale, possibile sospensione dell’attivita’;
  • Soggetti del Perimetro di Sicurezza Cibernetica: regime speciale piu’ severo, con sanzioni che possono raggiungere 1,8 milioni di euro per le violazioni piu’ gravi.

I controlli sono effettuati dalle Autorita’ competenti NIS, con poteri di accesso ai sistemi, richiesta di documentazione, audit in loco. Le ispezioni possono essere programmate (audit periodici) o a sorpresa (in caso di segnalazioni o evidenza di non conformita’).

Con NIS2 le sanzioni saliranno ulteriormente, allineandosi al modello GDPR: percentuali del fatturato mondiale e responsabilita’ personale per il top management. La compliance diventa quindi un investimento strategico, non solo un adempimento.

11. Strumenti compliance NIS (SIEM, EDR, MFA)

Tradurre i requisiti NIS in tecnologia concreta richiede una stack di strumenti integrati. Nel 2021 le tecnologie maggiormente adottate dalle organizzazioni OSE/FSD italiane comprendono:

  • SIEM (Security Information and Event Management): aggrega log da firewall, server, endpoint, applicazioni; correla eventi per identificare pattern anomali. Vendor diffusi: Splunk, IBM QRadar, ArcSight, Elastic Stack (open source). Indispensabile per la rilevazione tempestiva richiesta dalla NIS;
  • EDR (Endpoint Detection and Response): monitoraggio comportamentale degli endpoint, capacita’ di response automatizzato. Sostituisce gli antivirus tradizionali. Player principali nel 2021: CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Sophos Intercept X;
  • MFA (Multi-Factor Authentication): autenticazione a piu’ fattori per tutti gli accessi privilegiati e idealmente per tutti gli utenti. Soluzioni: token hardware (YubiKey), token software (Google Authenticator, Authy), push notification (Duo, Microsoft Authenticator);
  • Vulnerability Management: scansione periodica delle vulnerabilita’ su asset interni ed esposti. Tool: Tenable Nessus, Qualys VM, Rapid7 InsightVM, OpenVAS (open source);
  • PAM (Privileged Access Management): gestione delle credenziali privilegiate, registrazione delle sessioni amministrative, just-in-time access. Vendor: CyberArk, BeyondTrust, Thycotic;
  • SOAR (Security Orchestration, Automation and Response): automazione dei playbook di risposta, integrazione con SIEM/EDR/ticketing. Spesso integrato con il SIEM nelle suite di nuova generazione;
  • Backup e Disaster Recovery: copie immutabili (air-gapped o WORM), test di ripristino periodici. Soluzioni: Veeam, Commvault, Rubrik, Acronis;
  • GRC (Governance, Risk & Compliance): piattaforme per gestire policy, audit, gap analysis (RSA Archer, ServiceNow GRC, MetricStream).

Per le PMI italiane, l’approccio piu’ sostenibile e’ partire da un nucleo essenziale (MFA, EDR, SIEM open-source o managed) e crescere progressivamente. La direttiva NIS 2016/1148 non impone tecnologie specifiche: pretende risultati di sicurezza misurabili. La scelta della stack deve riflettere il profilo di rischio dell’organizzazione e la maturita’ del programma di cybersecurity.

12. Domande frequenti

La NIS si applica anche alla mia PMI di 30 dipendenti?

Dipende dal settore e dal ruolo. Se la PMI non e’ identificata come OSE dall’Autorita’ competente e non rientra nelle definizioni FSD (escluse comunque le imprese sotto i 50 dipendenti e 10 milioni di fatturato), la NIS non si applica direttamente. Tuttavia, con NIS2 alcune PMI di settori altamente critici saranno incluse a prescindere dalla dimensione.

Quale e’ la differenza tra NIS e GDPR?

Sono normative complementari ma distinte: il GDPR protegge i dati personali, la NIS protegge la continuita’ dei servizi essenziali. Un incidente puo’ attivare entrambi gli obblighi (notifica al Garante per il GDPR, notifica al CSIRT per la NIS) o solo uno dei due, in base alla natura dei dati e dei servizi coinvolti.

Devo nominare un CISO?

La NIS non lo impone esplicitamente, ma e’ fortemente raccomandato. NIS2 introdurra’ obblighi piu’ stringenti sulla figura del responsabile della sicurezza informatica e sulla responsabilita’ del top management. Conviene formalizzare ruoli e responsabilita’ gia’ nel 2021.

Quanto tempo ho per essere conforme alla NIS2?

Considerando che la NIS2 dovrebbe essere approvata nel 2022 e che il termine di recepimento e’ tipicamente di 21-24 mesi, le aziende italiane avranno tempo fino al 2024 circa. Tuttavia, dato il livello di sforzo richiesto, conviene iniziare la preparazione con largo anticipo: gap analysis, piano pluriennale, budget dedicato.

Cosa devo fare se sono colpito da un incidente?

Per gli OSE/FSD: attivare il piano di response interno, notificare al CSIRT Italia entro 24 ore, aggiornare entro 72 ore, chiudere con relazione finale entro 1 mese. Verificare in parallelo se c’e’ impatto sui dati personali (notifica al Garante entro 72 ore). Documentare tutto.

Posso usare software open source per essere compliant?

Si’, l’open source e’ pienamente legittimo. La NIS valuta il risultato di sicurezza, non il modello di licenza. Strumenti come Wazuh (SIEM), pfSense (firewall), OSQuery (endpoint visibility), OpenVAS (VM) sono ampiamente adottati anche da OSE italiani, spesso con servizi di supporto commerciale.

Sei un OSE o FSD e devi adeguarti alla NIS?

Brentasoft sviluppa software gestionali, infrastrutture cloud sicure e workflow di compliance NIS per aziende italiane: log accessi, EDR, MFA, audit trail.

Scopri ERP Brenta →