Torniamo a parlare di cybersecurity e, più precisamente, delle novità relative agli aspetti della NIS2. La Direttiva UE 2022/2555, entrata in vigore il 17 gennaio 2023, che norma gli obblighi e le regole nell’ambito della sicurezza informatica europea. E che stabilisce le misure per garantire un livello comune elevato di cybersicurezza. Ha preso il posto dell’omonima precedente, la Direttiva NIS. E in Italia è stata recepita con il Decreto Legislativo 138/2024.
Dopo le novità di piena estate, con la proroga temporale per completare la trasmissione delle informazioni in relazione all’aggiornamento annuale, sono in arrivo nuovi termini perentori per conformarsi agli obblighi. Di seguito all’incontro del quinto Tavolo NIS è stata pubblicata una nuova Determinazione dell’ACN, l’Agenzia per la Cybersicurezza Nazionale che prevede un nuovo modello di governance. Vediamo i dettagli.
Il team per la gestione degli incidenti informatici: il ruolo del CSIRT
Secondo la Direttiva NIS2, gli Stati Membri devono adottare strategie nazionali in materia di cybersicurezza. E creare (o designare) una autorità competente in materia, nonché una autorità per la gestione di eventuali crisi informatiche, con l’indicazione di punti di contatto. Ogni Stato dovrà individuare un team per la gestione degli incidenti informatici, indicato con l’acronimo di CSIRT (Computer Security Incident Response Team).
In Italia questa figura esisteva già da prima, secondo quanto stabilito dalla NIS1. Era stata istituita presso l’Agenzia per la Cybersicurezza Nazionale. La NIS2, invece, chiede una collaborazione congiunta delle diverse autorità competenti, dei punti di contatto unico e dei CSIRT, appartenenti allo stesso Stato – qualora dovessero essere soggetti autonomi e separati. Con l’obiettivo di adempiere agli obblighi previsti dalla Direttiva.
Ma, in questo contesto, come si inseriscono le imprese? Quali sono gli obblighi, per le stesse? Oltre a quanto stabilito nella Direttiva NIS2, con la recente Determinazione ACN sull’aggiornamento della piattaforma NIS viene istituzionalizzata la figura del Referente CSIRT. Sono stabiliti termini, modalità e procedimenti di utilizzo e accesso al Portale ACN e, in particolare, ai Servizi NIS.
Dal punto di contatto al Referente CSIRT, le novità in corso
Partiamo dall’inizio. Il Punto di Contatto NIS è una figura strategica all’interno del quadro normativo. Rappresenta l’interfaccia principale tra l’organizzazione e l’Autorità nazionale competente. L’articolo 4 della Determinazione lo definisce come “persona fisica designata dal soggetto NIS con il compito di curare l’attuazione delle disposizioni del decreto NIS per conto del soggetto stesso”.
È quindi individuabile tra il rappresentante legale, un procuratore generale o un dipendente del soggetto NIS (un delegato interno). Cura la registrazione, l’aggiornamento e la comunicazione degli incidenti, assumendo una funzione di garanzia per l’azienda. Accede quindi al Portale ACN e ai servizi NIS. E interloquisce, per conto del soggetto NIS, con l’Autorità nazionale competente. In questo quadro normativo, il Referente CSIRT assume un ruolo chiave.
Caratteristiche e deadline per l’individuazione del Referente CSIRT
Figura introdotta con la Determinazione, il Referente è una persona fisica designata dal Punto di Contatto, incaricato di interloquire con il CSIRT Italia per la gestione e la notifica degli incidenti significativi. La Determinazione indica un preciso range temporale per l’individuazione della nuova figura, attraverso l’apposita procedura telematica disponibile sul Portale ACN: dal 20 novembre al 31 dicembre 2025.
La Determinazione fa anche riferimento ai sostituti del Referente CSIRT, indicando i requisiti minimi di competenza in materia di sicurezza informatica. Questo perché l’Agenzia ha interesse nell’assicurare la continuità operativa e la tempestività nelle comunicazioni. Con l’obiettivo di gestire al meglio il rischio cibernetico, soprattutto nel caso si verifichino incidenti significativi.
Referenti e sostituti dovranno possedere “almeno” le competenze di base in materia di sicurezza informatica e di gestione di incidenti informatici. Dovranno poi avere una conoscenza approfondita dei sistemi informativi e di rete del soggetto per conto del quale operano. Non c’è, però, un espresso riferimento alla scelta del Referente tra gli appartenenti all’organizzazione del soggetto NIS. Dunque, si potrà optare anche per un esterno.
Cosa cambia per le imprese con la Determinazione dell’ACN?
In conclusione, quali sono i nuovi obblighi organizzativi per le imprese, secondo la Determinazione dell’ACN? Ebbene, i soggetti ricompresi nella Direttiva NIS2 (secondo il campo di applicazione), dopo aver designato un punto di contatto NIS, dovranno individuare il Referente CSIRT per la gestione tecnica degli incidenti cyber e per la comunicazione con il CSIRT Italia. Indicando, altresì, eventuali sostituti per garantire la continuità delle comunicazioni.
Si configura, quindi, una maggiore responsabilità del management aziendale. La cosiddetta catena di responsabilità coerente con il principio di accountability della NIS 2. Secondo la Determinazione, infatti, gli organi di amministrazione e direzione diventano responsabili in solido per omissioni o violazioni degli obblighi NIS. Ogni figura ha un ruolo definito e una attribuzione tracciabile e verificabile.
Sarà quindi necessario aggiornare le procedure interne di gestione del rischio cyber e ridefinire le deleghe in materia di sicurezza informatica. Andrà assicurata una formazione tecnica per i referenti designati. E un utilizzo preciso e costante della piattaforma NIS per le comunicazioni ufficiali con l’ACN e il CSIRT Italia. Considerando, poi, che l’ACN potrebbe procedere con verifiche e controlli, le imprese dovranno prestare attenzione. Si passa infatti dai semplici adempimenti formali a un approccio integrato, che affianca alla sicurezza tecnica una nuova governance.