La “coniugazione” della direttiva NIS 2 nel quadro normativo nazionale: futuro anteriore

A cura dell'avv. Francesca Grillo - in caso di riproduzione citare la fonte

Il 1° ottobre 2024 è stato pubblicato in Gazzetta Ufficiale il d.lgs. 138/2024, di recepimento della direttiva NIS (Network and Information Systems) 2.

L’intervento legislativo è stato salutato da più parti come una nuova chiave di volta nella materia (e lo è), tuttavia non si può fare a meno di sottolineare come, al di là dell’assolvimento di un obbligo per lo Stato membro, ben poco rappresenti in merito ad indicazioni immediatamente attuabili verso gli operatori.

Nella Relazione annuale al parlamento 2023 (la “Relazione”) l’ANC (Autorità Nazionale per la Cybersicurezza) riportava nella prefazione:
“Lo spostamento delle nostre vite nel cyberspazio, soprattutto dopo il massiccio ricorso allo spazio virtuale durante la pandemia, ha accresciuto la pericolosità degli attori ostili, e in più occasioni ha messo a rischio la possibilità per i cittadini di fruire di servizi essenziali, in primis quelli sanitari.
In un simile scenario, porre in sicurezza gli interessi nazionali nel campo cyber richiede capacità tecniche e strategiche elevate, che fronteggino l’uso sempre più devastante della tecnologia da parte sia di entità statali o parastatali che hanno interessi contrapposti ai nostri, sia di bande criminali o di singoli hacker.”

Nel corso del 2023 il CSIRT Italia (Computer Security Incident Response Team) ha trattato 1.411 eventi cyber, per una media di circa 117 al mese, con un picco di 169 a ottobre. Di questi, 303 sono stati classificati come incidenti, per una media di circa 25 al mese (paragrafo 1.2 della Relazione).

Inoltre, dalla attività di “monitoraggio proattivo” dell’Agenzia finalizzata “ad individuare e segna­lare tempestivamente ai soggetti della constituency l’esposizione a specifiche minacce, rischi, vulnerabilità e criticità, che possono essere sfruttati, o che sono già in corso di sfruttamento, da parte degli attaccanti”, sono state effettuate le seguenti segnalazioni (paragrafo 1.4 della Relazione):

• 584 indirizzi web di phishing contenenti riferimenti espliciti a 37 soggetti della constituency, per i quali sono state inviate 93 comunicazioni;
• 2.822 dispositivi o servizi IT potenzialmente affetti da vulnerabilità, per i quali sono state inviate 1.297 comunicazioni ai 766 soggetti interessati;
• 802 dispositivi o servizi IT potenzialmente compromessi afferenti a 210 soggetti nazionali, per i quali sono state inviate 241 comunicazioni.

Ed ancora, attraverso la quotidiana analisi di circa 2,6 milioni di indirizzi IP, è stato possibile identificare, mediamente, ogni giorno:

• 753.468 indirizzi IP che presentano almeno un servizio o un dispositivo configurato erroneamente (c.d. misconfiguration);
• 167.663 indirizzi IP che presentano almeno un prodotto obsoleto e/o vulnerabile;
• 862.986 indirizzi IP che presentano almeno un servizio o un dispositivo che non dovrebbe essere esposto pubblicamente su Internet.

A fronte di questi numeri, diversi gli interventi attuati e che saranno attuati dall’ACN per potenziare la “postura cyber” delle Amministrazioni a seguito di specifiche azioni di potenziamento.

Grande attenzione sui soggetti (principalmente pubblici) destinatari degli obblighi, dunque, ma quale scenario appare dal punto di vista delle imprese fornitrici?

Senza entrare nel dettaglio del sistema di certificazione secondo gli European Common Criteria (ISO/IEC 15408), in corso di progressiva attuazione, che, quando sarà stato recepito, abrogherà tutti gli schemi nazionali basati sullo stesso modello, tra i recenti interventi normativi, ricordiamo lo spunto fornito dalla legge n. 90/2024, “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” in merito di pubblici appalti.

Guardata, la norma, con gli occhi dell’imprenditore, notiamo l’articolo 14 relativo alla "disciplina dei contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici" il quale prevede che sarà adottato, entro centoventi giorni dalla data di entrata in vigore della legge, un DPCM in cui saranno individuati, per specifiche categorie tecnologiche di beni e servizi informatici, gli elementi essenziali di cybersicurezza nonché i casi in cui, per la tutela della sicurezza nazionale, dovranno essere previsti criteri di premialità per le proposte o per le offerte che contemplino l'uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all'Unione europea o di Paesi aderenti all'Alleanza atlantica (NATO) o di Paesi terzi che saranno individuati – anche questi - con il decreto.

E arriviamo al d.lgs. 138/2024 e alla NIS 2. Già note sono le misure di rafforzamento della cybersecurity in capo ai soggetti destinatari della direttiva, dall’obbligo di risk assessment specifico, alla formazione del personale, alla rimodulazione della governance aziendale.

Ma quanto tempo avranno le imprese fornitrici del settore per potersi affacciare al mercato che ne deriverà?

L’ACN implementerà una apposita piattaforma per la registrazione dei soggetti che si ritengono sottoposti alla direttiva ed entro il 31 marzo 2025 valuterà la conformità dei soggetti essenziali e dei soggetti importanti, completando l’elenco.

Solo dal 1° gennaio 2026 scatterà l’obbligo di notifica degli incidenti per i soggetti registrati e solo dall’ottobre 2026 i soggetti a cui si applica la NIS2 si saranno adeguati agli obblighi relativi agli organi di amministrazione e direttivi, a quelli di gestione dei rischi e implementazione delle misure di sicurezza, nonché a quelli relativi alla banca dati dei nomi a dominio.

Tornando ai numeri più sopra snocciolati riguardo alle non conformità rilevate dall’ACN e poi guardando alle tempistiche di attuazione di tutto il quadro normativo, si ha l’impressione di un legislatore che arranca dietro alla velocità dell’avanzare delle tecnologie (del bene e del male).

A fronte di una sempre crescente domanda di sicurezza, che richiede un rapido innalzamento degli standard e di un ri-orientamento della pubblica amministrazione che, ad oggi, non ha gli strumenti né le risorse per stare al passo, ci troviamo di fronte ad una normativa che non riesce a rispondere con prescrizioni immediatamente attuabili, anche a causa dell’obsolescenza e dell’inadeguatezza dell’apparato pubblico.

In più parti si rimanda a provvedimenti di attuazione ed a una timeline di adempimenti propedeutici che, se tutto scorrerà senza intoppi, dovrebbe concludersi nel 2026 e solo da questa data dovrebbe partire la concreta attuazione del “nuovo” scenario.

Probabilmente nel 2026 la tecnologia avrà fatto il suo doveroso corso, saranno individuate e rimediate nuove vulnerabilità e – si spera – che le pubbliche amministrazioni avranno compreso che, mai come in questa materia, occorrerà aver assunto decisioni consapevoli e guidate dal perseguimento di un obiettivo di efficienza più che di economicità.

Auspicando che, quando saremo chiamati a nuove sfide, avremo fatto tutto quanto possibile per l’attuazione – non solo sulla carta - di uno spazio europeo comune ed efficiente di cybersicurezza.

“Il futuro anteriore codifica un evento successivo al momento dell’enunciazione ma precedente rispetto a un momento di riferimento o a un altro evento localizzato nel futuro” (cit. Treccani)

Avv. Francesca Grillo, esperta in contrattualistica e appalti, si occupa di compliance con riguardo a progettualità pubbliche, anche in relazione a Fondi Europei.