Cybersecurity e Notifiche di Incidenti Informatici: La Gestione Operativa tra NIS 2 e la Legislazione Nazionale Italiana

Antonio Ieranò

Security, Data Protection, Privacy. Comments are on my own unique responsibility 🙂

October 11, 2024

Gironzolando su LinkedIn ho trovato diverse domande e risposte sulla questione della gestione della notifica degli incidenti informatici. Per altro ho scoperto una sovrapposizione temporale sulle richieste legislative che non avevo, mea culpa, notato in precedenza (ecco che LinkedIn risulta, in questi termini, strumento utile e formidabile.

Ho provato a metterci un minimo di neuroni, visto che soffro in questi gironi di ipertrofia da scritti, ed ecco l’ennesimo sproloquio.

La gestione degli incidenti informatici, in particolare l’obbligo di notifica, rappresenta un nodo cruciale nell’ambito della cybersecurity governance per le aziende operanti in Italia. Con l’entrata in vigore della Direttiva (UE) 2022/2555 (NIS 2) e la sua implementazione attraverso il Decreto Legislativo 138/2024, si assiste a un’intersezione con la normativa nazionale introdotta dalla Legge 28 giugno 2024, nr. 90. Tuttavia, queste due normative presentano differenze temporali significative che le aziende devono comprendere e affrontare in modo proattivo per garantire la piena conformità.

1. Legge 28 giugno 2024, nr. 90: Obblighi di Notifica Immediati e Specifici

La Legge 28 giugno 2024, nr. 90, emanata per affrontare le minacce informatiche che non erano coperte dal Perimetro di Sicurezza Nazionale Cibernetica (D.L. 21 settembre 2019, n. 105) o dalla Direttiva NIS 1 (UE) 2016/1148, introduce un obbligo di notifica specifico per gli incidenti informatici che coinvolgono soggetti pubblici e privati in Italia.

Ambito di applicazione e destinatari

I soggetti obbligati includono:

• Comuni con più di 100.000 abitanti,
• Regioni,
• Province,
• ASL,
• Società in-house e altre entità pubbliche.

Tempistiche di notifica

A partire dal 13 gennaio 2025, i soggetti indicati dalla legge dovranno:

• Effettuare una prima notifica entro 24 ore dall’individuazione dell’incidente,
• Fornire una notifica completa entro 72 ore.

Questi termini devono essere rispettati notificando l’incidente all’Agenzia per la Cybersicurezza Nazionale (ACN). Le tempistiche imposte dalla Legge 90/2024 sono quindi chiare e immediate, rendendo necessario che le aziende si attrezzino per rispondere efficacemente alle minacce informatiche già da gennaio 2025.

2. Direttiva NIS 2 e Decreto Legislativo 138/2024: Obblighi Più Estesi ma con Entrata in Vigore Differita

La Direttiva (UE) 2022/2555 (NIS 2) mira a uniformare a livello europeo le misure di sicurezza delle reti e dei sistemi informativi, ampliando la portata rispetto alla NIS 1 e introducendo nuovi obblighi di notifica. In Italia, la NIS 2 è stata recepita con il Decreto Legislativo 138/2024.

Ambito di applicazione e destinatari

La NIS 2 si applica a un numero più vasto di soggetti, classificati come:

• Soggetti essenziali: infrastrutture critiche come sanità, energia, trasporti e finanza,
• Soggetti importanti: fornitori di servizi digitali, infrastrutture di telecomunicazioni e altri settori strategici.

Tempistiche di notifica

Oltre agli obblighi previsti dalla normativa nazionale, la NIS 2 impone:

• Prima notifica entro 24 ore,
• Notifica completa entro 72 ore,
• Relazione dettagliata entro 30 giorni dall’incidente.

3. Differenze Temporali tra la Legge 90/2024 e la NIS 2: La Sovrapposizione Operativa

Uno dei principali aspetti di complessità per le aziende riguarda la discrepanza temporale tra l’entrata in vigore della Legge 90/2024 e la NIS 2.

Tempistiche della Legge 90/2024

• La Legge 28 giugno 2024, nr. 90 diventerà pienamente operativa il 13 gennaio 2025. Da quella data, le aziende dovranno essere pronte a notificare gli incidenti informatici all’ACN entro le scadenze previste (24 ore per la prima notifica, 72 ore per la notifica completa).

Tempistiche della NIS 2 (Decreto Legislativo 138/2024)

• La piena operatività della NIS 2 dipenderà dalla registrazione dei soggetti obbligati nel portale del CSIRT Italia. Gli obblighi diventeranno vincolanti 270 giorni dopo che il CSIRT avrà notificato formalmente i soggetti coinvolti. Questo significa che la NIS 2 entrerà in vigore successivamente rispetto alla Legge 90/2024, con una tempistica dilatata che potrebbe estendersi fino al 2026, a seconda della velocità di registrazione.

4. Come Gestire le Differenze Temporali: Strategie Operative per le Aziende

La sovrapposizione temporale tra le due normative richiede un approccio strategico per garantire la piena conformità senza incorrere in sanzioni. Ecco come le aziende dovrebbero procedere:

Fase 1: Rispetto della Legge 90/2024 a partire dal 13 gennaio 2025

Le aziende operanti in Italia devono prioritariamente conformarsi agli obblighi della Legge 90/2024, poiché questa sarà la prima normativa ad entrare in vigore. Dal 13 gennaio 2025, qualsiasi incidente informatico dovrà essere notificato all’ACN entro le scadenze stabilite: 24 ore per la prima notifica e 72 ore per la notifica completa. Questo obbligo si applica indipendentemente dall’entrata in vigore della NIS 2.

Fase 2: Preparazione per la piena operatività della NIS 2

Successivamente, le aziende dovranno prepararsi a soddisfare anche gli obblighi imposti dalla NIS 2, una volta che il CSIRT Italia avrà notificato la loro registrazione. A quel punto, oltre agli obblighi nazionali, sarà necessario:

• Inviare una relazione dettagliata entro 30 giorni dall’incidente, come richiesto dalla NIS 2.

L’adozione di una pianificazione graduale e l’adeguamento progressivo ai nuovi obblighi consentiranno alle aziende di affrontare questa transizione normativa senza discontinuità operative.

5. Implicazioni per le Aziende Multinazionali: Notifica Unica o Separata in Più Stati Membri?

Per le aziende multinazionali operanti in diversi Stati membri dell’UE, la Direttiva NIS 2 introduce un’ulteriore complessità. Le aziende dovranno determinare se la notifica di un incidente informatico debba essere effettuata in ogni Stato membro in cui operano o se sia sufficiente una notifica centralizzata.

Scenari operativi per le multinazionali

• Notifica separata: Se l’azienda ha entità giuridiche distinte in diversi Stati membri, ciascuna filiale dovrà notificare gli incidenti al CSIRT nazionale del rispettivo Stato.
• Notifica unica: Se l’azienda opera come entità giuridica unica, una notifica centralizzata nel Paese della sede principale può essere sufficiente. In questo caso, il CSIRT nazionale dello Stato principale coordinerà la gestione dell’incidente con gli altri Stati attraverso il CSIRT Network.

L’Importanza della Conformità Proattiva

Le differenze temporali tra l’entrata in vigore della Legge 90/2024 e quella della NIS 2 impongono alle aziende di adottare un approccio di conformità graduale. La Legge 90/2024 richiede azioni immediate a partire dal 13 gennaio 2025, mentre gli obblighi della NIS 2 seguiranno in una fase successiva, dopo la registrazione formale dei soggetti obbligati da parte del CSIRT Italia.

Per evitare rischi di non conformità e relative sanzioni, le aziende devono pianificare attentamente, adeguarsi agli obblighi della normativa nazionale prima, e successivamente prepararsi a rispettare i requisiti aggiuntivi della NIS 2.

Elementi di Filosofia del Diritto per la comprensione delle richieste

Quando si parla di diritto e normativa in ambito cybersecurity, non possiamo ignorare i concetti fondamentali della filosofia del diritto, che ci aiutano a comprendere come e perché le leggi vengono create, applicate e interpretate. In questo contesto, i principi giuridici si intersecano con il mondo della tecnologia per fornire un quadro regolatorio che bilancia l’esigenza di protezione dei dati con la necessità di operare in un ambiente normativo chiaro e coerente. Vediamo alcuni concetti chiave della filosofia del diritto che si applicano direttamente alla gestione normativa degli incidenti informatici.

1. Principio di Sussidiarietà

Il principio di sussidiarietà è un concetto cardine tanto nel diritto nazionale quanto in quello europeo. Esso stabilisce che le decisioni devono essere prese al livello più vicino al cittadino, salvo che la questione non possa essere affrontata in modo più efficace a un livello più alto.

Nel contesto della cybersecurity, questo principio si manifesta nell’interazione tra la Legge 28 giugno 2024, nr. 90 (normativa nazionale) e la Direttiva NIS 2 (normativa europea). La Legge 90/2024 rappresenta una risposta nazionale a un problema specifico di sicurezza informatica per i soggetti che non rientravano nel Perimetro di Sicurezza Nazionale Cibernetica. Questa legge anticipa l’entrata in vigore della NIS 2, intervenendo su questioni di cybersecurity a livello nazionale mentre l’implementazione europea è ancora in fase di completamento. In questo caso, il livello nazionale agisce in base al principio di sussidiarietà, poiché è più vicino alla realtà operativa delle aziende italiane e può rispondere rapidamente alle esigenze locali.

Esempio pratico:

L’Italia, con la Legge 90/2024, ha stabilito obblighi di notifica per i soggetti pubblici e privati già dal 13 gennaio 2025, prima che la NIS 2 diventi operativa. Questo approccio si allinea al principio di sussidiarietà, poiché il legislatore nazionale risponde a una necessità locale, in attesa che l’Europa armonizzi il quadro regolatorio con la NIS 2.

2. Principio di Proporzionalità

Il principio di proporzionalità si riferisce alla necessità che ogni intervento normativo debba essere adeguato, necessario e non eccessivo rispetto all’obiettivo da raggiungere. In ambito giuridico, ciò significa che le leggi devono bilanciare i diritti e i doveri in modo ragionevole e che qualsiasi misura restrittiva o obbligo imposto alle aziende deve essere giustificato da un interesse superiore.

Nel caso della cybersecurity, la NIS 2 e la Legge 90/2024 cercano di trovare un equilibrio tra la protezione delle infrastrutture critiche e la libertà operativa delle aziende. Imporre obblighi di notifica rapidi, come quelli previsti dalla Legge 90/2024 (24 ore per la prima notifica, 72 ore per la notifica completa), è una misura proporzionata rispetto all’obiettivo di minimizzare i danni di un attacco informatico e garantire una risposta tempestiva delle autorità competenti.

Esempio pratico:

Il requisito di notificare un incidente informatico entro 24 ore (art. 1 della Legge 90/2024) potrebbe sembrare oneroso per alcune aziende, ma è giustificato dalla necessità di proteggere infrastrutture strategiche e prevenire potenziali danni a catena. Il legislatore ha valutato che il rischio per la sicurezza collettiva sia abbastanza alto da giustificare una notifica rapida, bilanciando così la libertà aziendale con l’interesse pubblico.

3. Principio di Legalità

Il principio di legalità afferma che tutte le decisioni giuridiche devono basarsi su una legge scritta e predeterminata. In altre parole, i cittadini e le aziende devono poter conoscere le norme a cui sono soggetti in anticipo, e queste norme devono essere applicate in modo coerente.

Nel contesto delle notifiche di incidenti informatici, il principio di legalità ci aiuta a comprendere l’importanza di avere norme chiare, con scadenze definite e procedure specifiche, affinché le aziende possano sapere esattamente come conformarsi. Sia la Legge 90/2024 che la NIS 2 forniscono scadenze precise per la notifica degli incidenti, rispettando così questo principio fondamentale.

Esempio pratico:

Le scadenze di 24 ore e 72 ore imposte dalla Legge 90/2024 e dalla NIS 2 rispettano il principio di legalità, poiché le aziende sanno esattamente entro quando devono notificare un incidente, evitando così arbitrarietà nell’applicazione delle normative. Inoltre, la necessità di una relazione dettagliata entro 30 giorni nella NIS 2 offre alle aziende un quadro temporale chiaro e gestibile per il rispetto delle leggi.

4. Principio di Gerarchia delle Fonti

Nel diritto, il principio di gerarchia delle fonti stabilisce che le norme giuridiche devono rispettare un ordine di prevalenza: le norme di livello superiore prevalgono su quelle di livello inferiore in caso di conflitto. In ambito europeo, le direttive dell’Unione Europea, come la Direttiva NIS 2, hanno un’influenza significativa sugli ordinamenti nazionali, ma ogni Stato membro è libero di implementarle nel proprio contesto.

In Italia, la Legge 90/2024 si colloca a un livello normativo nazionale, mentre la NIS 2 rappresenta una fonte di diritto europeo superiore. Tuttavia, fino a quando la NIS 2 non sarà pienamente operativa (dopo i 270 giorni dalla comunicazione del CSIRT Italia), la legge nazionale rimane prevalente nella gestione degli incidenti informatici.

Esempio pratico:

Dal 13 gennaio 2025, la Legge 90/2024 sarà la normativa principale che regolerà le notifiche degli incidenti informatici in Italia. Quando la NIS 2 diventerà operativa, questa avrà un livello gerarchico superiore e integrerà la normativa nazionale, aggiungendo nuovi obblighi come la relazione dettagliata entro 30 giorni. Tuttavia, la gerarchia delle fonti implica che, nel frattempo, la normativa nazionale ha piena validità.

5. Principio di Specialità

Il principio di specialità stabilisce che una norma speciale prevale su una norma generale quando entrambe sono applicabili allo stesso caso. Nel contesto della cybersecurity, la Legge 90/2024 rappresenta una normativa speciale rispetto alla NIS 2, poiché si applica a un contesto nazionale specifico e anticipa l’entrata in vigore della direttiva europea.

Esempio pratico:

Prima che la NIS 2 diventi operativa, le aziende italiane dovranno rispettare gli obblighi imposti dalla Legge 90/2024, che è una normativa speciale, creata per rispondere a un’esigenza nazionale immediata. Quando la NIS 2 entrerà in vigore, essa sarà applicata in parallelo alla legge nazionale, integrando e ampliando gli obblighi.

Conclusione: Filosofia del Diritto e Cybersecurity

La filosofia del diritto ci fornisce le basi per interpretare e applicare le normative in modo coerente e sistematico. Concetti come la sussidiarietà, la proporzionalità e la legalità ci aiutano a comprendere il motivo per cui le leggi esistono e come dovrebbero essere applicate nel mondo reale, specialmente quando si tratta di una questione così dinamica e globale come la cybersecurity.

L’integrazione di normative nazionali, come la Legge 90/2024, e sovranazionali, come la NIS 2, è un esempio di come i principi giuridici interagiscono per garantire che i diritti e i doveri siano bilanciati nel contesto della protezione delle reti e dei sistemi informativi.