Eventuali incidenti “significativi” dovranno essere notificati al proprio CSIRT nazionale (Computer Security Incident Response Team) o, se opportuno, alla propria autorità competente. Nel caso italiano, il CSIRT è l’organo dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Per alcune categorie particolarmente critiche, la segnalazione incidenti è già obbligatoria e pertanto il sito è già operativo: Segnalazione evento - CSIRT Italia.

Dovrà essere notificato all’autorità ogni incidente “significativo”, cioè un incidente che:

• Ha causato o è in grado di causare una grave perturbazione operativa dei servizi
• Ha causato perdite finanziarie per il soggetto interessato
• Si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche, causando perdite materiali o immateriali considerevoli

I soggetti interessati notificano secondo le seguenti modalità:

1. Senza indebito ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell'incidente significativo, un preallarme che, se opportuno, indichi se l'incidente significativo è sospettato di essere il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero
2. Senza indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell'incidente significativo, una notifica dell'incidente che, se opportuno, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale dell'incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione
3. Su richiesta di un CSIRT o, se opportuno, di un'autorità competente, una relazione intermedia sui pertinenti aggiornamenti della situazione
4. Una relazione finale entro un mese dalla trasmissione della notifica dell'incidente di cui alla lettera b), che comprenda:

            - Una descrizione dettagliata dell'incidente, comprensiva della sua gravità e del suo impatto

            - Il tipo di minaccia o la causa di fondo che ha probabilmente innescato l'incidente

            - Le misure di attenuazione adottate e in corso

            - Se opportuno, l'impatto transfrontaliero dell'incidente

            - In caso di incidente in corso al momento della trasmissione della relazione finale di cui alla lettera d), gli Stati membri provvedono affinché i soggetti interessati forniscano una relazione sui progressi in quel momento e una relazione finale entro un mese dalla gestione dell'incidente

Si, anche in questo caso occorre divulgare. Le persone fisiche o giuridiche possano segnalare in forma anonima una vulnerabilità al CSIRT che agisce da intermediario di fiducia agevolando, se necessario, l'interazione tra la persona fisica o giuridica che segnala la vulnerabilità e il fabbricante o fornitore di servizi ICT o prodotti ICT potenzialmente vulnerabili, assicurando l'anonimato della persona fisica o giuridica segnalante.
I compiti del CSIRT designato come coordinatore comprendono:

• Individuazione e il contatto dei soggetti interessati
• Assistenza alle persone fisiche o giuridiche che segnalano una vulnerabilità
• Negoziazione dei tempi di divulgazione e la gestione delle vulnerabilità che interessano più soggetti

La direttiva stabilisce un apparato sanzionatorio che i singoli Stati Membri sono chiamati a rendere effettivo, proporzionato e dissuasivo in fase di recepimento ed è prevista la proporzionalità delle sanzioni per i soggetti essenziali e importanti.
Le sanzioni amministrative pecuniarie previste sono le seguenti:

• Le organizzazioni essenziali sono soggette a sanzioni “pari a un massimo di almeno 10.000.000€ o a un massimo di almeno il 2% del fatturato mondiale annuo”
• Le organizzazioni importanti sono soggette a sanzioni “pari a un massimo di almeno 7.000.000€ o a un massimo di almeno l’1,4% del fatturato mondiale annuo”

Ciò significa che l’Italia dovrà individuare un massimale per le sanzioni non inferiore a 10.000.000€ o del 2% del fatturato per i soggetti essenziali e di 7.000.000€ o dell’1,4% del fatturato per i soggetti importanti.
Inoltre, la non conformità di un’organizzazione essenziale può comportare la sospensione o il divieto temporaneo a qualsiasi persona che svolga funzioni dirigenziali (come amministratore delegato o rappresentante legale) di svolgere le suddette funzioni.

Infine, la direttiva prevede che gli Stati membri possano poter stabilire sanzioni penali in caso di violazione delle norme nazionali di recepimento.

La Direttiva dispone che gli Stati Membri conferiscano priorità ai compiti di vigilanza alle autorità competenti – nel caso italiano il CSIRT Italia – al fine di monitorare efficacemente l’adozione delle misure necessarie a garantire il rispetto della presente direttiva. Le priorità si fondano su un approccio basato sul rischio e le metodologie di vigilanza sono stabilite dallo CSIRT che, nell'esercizio dei rispettivi compiti di vigilanza abbiano il potere di sottoporre tali soggetti come minimo a:

• Ispezioni in loco e vigilanza a distanza, compresi controlli casuali, effettuati da professionisti formati
• Audit sulla sicurezza periodici e mirati effettuati da un organismo indipendente o da un'autorità competente
• Audit ad hoc, ivi incluso in casi giustificati da un incidente significativo o da una violazione della presente direttiva da parte del soggetto essenziale
• Scansioni di sicurezza basate su criteri di valutazione dei rischi obiettivi, non discriminatori, equi e trasparenti, se necessario in cooperazione con il soggetto interessato
• Richieste di informazioni necessarie a valutare le misure di gestione dei rischi cyber adottate dal soggetto interessato, comprese le politiche di cybersecurity documentate, nonché il rispetto dell'obbligo di trasmettere informazioni alle autorità competenti
• Richieste di accesso a dati, documenti e altre informazioni necessari allo svolgimento dei compiti di vigilanza
• Richieste di dati che dimostrino l'attuazione di politiche di cybersecurity, quali i risultati di audit sulla sicurezza effettuati da un controllore qualificato e i relativi elementi di prova

Inoltre, la Direttiva prevede che se autorità preposte ricevono elementi di prova, indicazioni o informazioni secondo cui un soggetto importante non rispetta presumibilmente la presente direttiva, in particolare dagli articoli 21 e 23 della medesima, gli Stati membri provvedono affinché le autorità competenti intervengano, se necessario, mediante misure di vigilanza ex post.

Per l’Italia i controlli saranno effettuati da un nucleo apposito costituito presso l’ACN, alla cui guida è stato posto un ufficiale della GDF. Inoltre, l’ACN ha stipulato accordi con i vari Law enforcers per ottenere un meccanismo di segnalazione incrociata tra denuncia alle autorità che andrà segnalata ad ACN e segnalazione al CSIRT che sarà segnalata alle autorità di polizia per la verifica di fattispecie di reato eventuali.

Poiché NIS 2 è una direttiva dell'Unione Europea, gli Stati membri devono trasporla nella legislazione nazionale entro il 17 ottobre 2024. NIS 2 sarà applicata a partire dal 18 ottobre 2024, anche se gli Stati Membri hanno tempo fino al 17 aprile 2025 per finalizzare l'elenco delle organizzazioni che devono conformarsi.

Il recepimento nazionale della Direttiva NIS 2 è stato fissato al 18 ottobre 2024. Questo significa che entro tale data, gli Stati membri dell’Unione Europea dovranno adattare le proprie normative alla nuova direttiva per garantire un elevato livello di cybersecurity.

Prima del recepimento della direttiva da parte degli Stati Membri, non sono previsti obblighi da adempiere. Tuttavia, le organizzazioni hanno l’opportunità di iniziare fin da subito a “familiarizzare” con la NIS 2 e iniziare per tempo a pianificare il percorso di adeguamento da intraprendere.

Rimangono fermi gli obblighi disposti da altre normative come ad esempio la Direttiva NIS 1, il Perimetro di Sicurezza Nazionale Cibernetica o dal DDL Cybersecurity attualmente in corso di approvazione parlamentare, che anticipa taluni contenuti del decreto di recepimento della NIS 2 (es. Segnalazione al CSIRT per talune categorie particolarmente critiche).