AO_461

APRILE 2025 AUTOMAZIONE OGGI 461 | 87 Tutorial Fig. 2 - Ambito di applicazione incidenti di cybersecurity significativi. Segna- lare in modo tempestivo ed efficace gli inci- denti significativi è alla base della direttiva NIS2 perché permette di capire più appro- fonditamente il loro impatto, migliora le ca- pacità di risposta agli incidenti e la resilienza informatica. Un incidente è considerato si- gnificativo se ha causato o è in grado di cau- sare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato (perdita finanziaria superiore a 500.000 euro o al 5% del fatturato annuo secondo il regolamento attuativo Enisa); si Settori critici e soggetti essenziali o importanti La Direttiva NIS2 identifica diversi settori cru- ciali per il funzionamento dell’economia e della società e li classifica in due categorie principali: settori ad alta criticità (energia, infrastrutture digitali, trasporti, spazio, sanitario, pubblica amministrazione, acqua potabile, bancario, in- frastrutture dei mercati finanziari, acque reflue e gestione dei servizi TIC B2B) e altri settori cri- tici (fabbricazione, produzione e distribuzione di sostanze chimiche, fabbricazione, ricerca, servizi postali e di corriere, gestione dei rifiuti, produzione, trasformazione e distribuzione di alimenti e fornitori di servizi digitali). Sono considerati soggetti essenziali: - i soggetti, di cui all’allegato I del decreto legi- slativo (figura 2), che superano i massimali per le medie imprese; - indipendentemente dalle loro dimensioni, i soggetti identificati come critici ai sensi del decreto legislativo; - i fornitori di reti pubbliche di comunicazione elettronica e i fornitori di servizi di comunica- zione elettronica accessibili al pubblico di cui all’articolo 3, comma 5, lettera b), che si consi- derano almeno medie imprese; - indipendentemente dalle loro dimensioni, i prestatori di servizi fiduciari qualificati e i ge- stori di registri dei nomi di dominio di primo livello, nonché i prestatori di servizi di si- stema dei nomi di dominio di cui all’articolo 3, comma 5, lettere c) e d); - indipendentemente dalle loro dimensioni, le pubbliche amministrazioni centrali di cui all’al- legato III, lettera a); - i soggetti eventualmente individuati dall’Au- torità competente NIS. Tutti gli altri soggetti rientranti nell’ambito di applicazione del decreto che non sono con- siderati essenziali sono considerati soggetti importanti. Obblighi dei soggetti 1. Tutti i soggetti sono tenuti a implemen- tare misure di gestione dei rischi. Devono quindi attuare misure tecniche, operative e organizzative per gestire efficacemente i rischi per i loro sistemi e minimizzare l’im- patto degli incidenti. Queste misure devono basarsi su un approccio completo (all-ha- zards, che considera tutti i rischi e pericoli) e includere almeno: politiche sull’analisi del rischio e sicurezza dei sistemi informativi, ge- stione degli incidenti, continuità operativa e gestione delle crisi, sicurezza della supply chain, sicurezza nell’acquisizione, sviluppo e gestione di sistemi, politiche di valutazione dell’efficacia delle misure, pratiche base di igiene informatica e formazione, crittografia, politiche di controllo degli accessi e asset management, utilizzo di autenticazione multi-fattore e comunicazioni sicure. 2. Tutti i soggetti sono tenuti a segnalare gli Divulgazione delle vulnerabilità La Direttiva NIS2 introduce un processo strutturato e coordinato di divulgazione delle vulnerabilità (CVD, Coordinated Vulnerability Disclosure) e un database europeo per aumentare la trasparenza sulle vulnerabilità tra Stati membri. Il processo di divulgazione inizia con la scoperta di nuove vulnerabilità da parte dei ricercatori di sicurezza o hacker etici che avviano due canali di comunicazione, un primo canale diretto all’azienda inte- ressata dalla vulnerabilità e all’operatore/ fornitore e un secondo canale al gruppo Csirt nazionale che può coordinare la di- vulgazione su richiesta. Gli Stati membri devono adottare una politica CVD na- zionale che assicuri la divulgazione tem- pestiva ed efficace delle vulnerabilità, in modo tale che i soggetti interessati abbiano a disposizione un tempo sufficiente per trovare un rimedio o una soluzione prima della diffusione pubblica. Il processo continua con la divulgazione pubblica e la registrazione delle informazioni sulle vulnerabilità divulgate pubblicamente in un database europeo Euvd gestito dall’Enisa. Linee guida per il rafforzamento della resilienza Enisa figura acn.gov.it