Recepimento della NIS2: cosa contiene il disegno di legge sulla resilienza delle infrastrutture critiche e il rafforzamento della cybersecurity?

Il disegno di legge che recepisce la NIS2 è stato presentato al Senato per la prima lettura. Denominato "Resilienza", il disegno di legge mira a costruire un quadro completo recependo anche altre due direttive europee: la direttiva sulla resilienza delle entità critiche (REC) e la direttiva sulla resilienza operativa digitale (DORA). Focus sulle disposizioni del testo relative alla NIS 2.

Tre direttive trasposte in un unico testo legislativo. È questa l'ambizione del disegno di legge presentato il 15 ottobre 2024, che mira a mettere in atto una politica completa e coerente sulla resilienza delle attività di importanza vitale, sulla protezione delle infrastrutture critiche, sulla sicurezza informatica e sulla resilienza operativa digitale del settore finanziario. 

Semplificazione, armonizzazione e proporzionalità

L'ANSSI sta cogliendo l'opportunità offerta da questo disegno di legge per semplificare le norme di sicurezza della SI, limitando l'accatastamento dei requisiti normativi. Si sta preoccupando di garantire che le future norme rimangano proporzionate, in termini di requisiti imposti e di sanzioni.

Estensione del campo di applicazione delle entità per resistere alla minaccia informatica

In risposta alla rapida evoluzione e all'intensificazione della minaccia informatica, la direttiva europea NIS 2, che succede alla NIS 1, mira ad aumentare significativamente gli standard di sicurezza informatica in tutta l'Unione europea. La direttiva copre una gamma più ampia di entità e settori. In Francia, sono interessati 10.000 enti pubblici e privati e almeno 18 settori. La direttiva include settori legati alle infrastrutture elettriche e digitali, alla sanità e ai trasporti, ma anche settori che prima erano fuori dal campo di applicazione, come l'istruzione, l'agroalimentare, la pubblica amministrazione e i fornitori di servizi digitali. Allo stesso tempo, il testo amplia l'ambito dei sistemi informativi da mettere in sicurezza, applicandosi a tutti i SI delle entità interessate, e non solo ai loro SI essenziali.

Essenziale e importante: due livelli di entità regolamentate

Il principio di proporzionalità prevede la creazione di due categorie di entità, classificate in base al loro grado di criticità, alle loro dimensioni e - per le imprese - al loro fatturato. Il testo distingue tra "entità essenziali" ed "entità importanti". I primi, che già conoscono i vincoli di sicurezza a causa della loro criticità, sono soggetti a standard più severi, mentre i secondi sono soggetti a requisiti di base volti a migliorare la loro igiene digitale senza incorrere in costi sproporzionati. L'ANSSI ha creato un portale per consentire agli enti di sapere se sono regolamentati e, in caso affermativo, a quale categoria appartengono. Il portale aiuta gli enti interessati ad adempiere ai loro 3 obblighi principali: fornire informazioni all'ANSSI, attuare misure adeguate di gestione del rischio e segnalare eventuali incidenti di cybersecurity. 

Quattro obiettivi di sicurezza

Gli enti interessati devono implementare misure per garantire un livello di sicurezza adeguato e proporzionato al rischio esistente. L'insieme dei requisiti attualmente in fase di elaborazione si basa su obiettivi di sicurezza organizzati in quattro aree chiave:

• Istituire una governance ad hoc per garantire che il rischio informatico sia preso in considerazione ai massimi livelli dell'organizzazione.
• Implementare le misure di protezione dell'IS
• Capacità di difesa per accelerare la risposta agli incidenti e limitarne l'impatto
• Costruire capacità di resilienza per facilitare la continuità e il ripristino dell'attività.

Sanzioni altamente dissuasive

È inoltre previsto un sistema di sanzioni, allineato a standard elevati simili a quelli del RGPD, con ammende fino a 2 % del fatturato mondiale per i soggetti essenziali e 1,4 % per i soggetti importanti. Queste misure mirano a scoraggiare le violazioni e a incoraggiare gli investimenti nella sicurezza informatica, riflettendo così il costo reale sempre crescente degli attacchi informatici. Tuttavia, le amministrazioni pubbliche e gli enti locali saranno esenti da sanzioni.

Un approccio graduale e collaborativo all'implementazione

Per definire i requisiti sono state condotte numerose consultazioni preliminari con federazioni professionali, autorità locali e ministeri. Il calendario per l'entrata in vigore dei nuovi obblighi sarà scaglionato per dare ai soggetti interessati il tempo di adeguarsi. Infine, l'ANSSI fornirà ai soggetti regolamentati una serie di servizi per aiutarli a raggiungere il livello di protezione richiesto con un approccio graduale.

Il caso particolare degli enti locali

Tenendo conto della vulnerabilità delle autorità locali, che rappresentano il 17% di tutti gli incidenti informatici gestiti dall'ANSSI, il disegno di legge le include nel campo di applicazione della NIS2. L'obiettivo è quello di mettere in atto un approccio proporzionato, adattato alla maturità e alle risorse delle autorità locali. 
In totale, 661 enti o raggruppamenti locali dovrebbero essere interessati come entità essenziali: 22 regioni, 97 dipartimenti, 263 metropoli e 279 comuni con più di 30.000 abitanti. Anche le 992 comunità di comuni saranno interessate come entità essenziali. 
Si è tenuto conto del loro bisogno di supporto e orientamento: i percorsi di cybersecurity istituiti nell'ambito di France Relance saranno accelerati. Sarà inoltre previsto un budget di transizione, per finanziare il costo medio stimato di 400.000 euro necessario per portare un ente locale alla conformità informatica.

Articolo aggiornato il 17 dicembre 2024