Cybersecurity e Notifiche di Incidenti Informatici: Analisi della Direttiva NIS 2 e della Normativa Nazionale

Newsletter Logo

Antonio Ieranò

Security, Data Protection, Privacy. Comments are on my own unique responsibility 🙂

October 14, 2024

su domanda legittima di Alessandro Iocco, che ringrazio, sono ritornato sulla mia analisi dulla necessità di notifica multipla ai diversi CSIRT nazionali da parte di una multinazionale in caso di security breach. Mi sono reso conto che avevo lasciato spazio ad mis-interpretazioni (limiti di spazio mentale, presumibilmente) che qui cerco di rendere meno ambigui. Ovviamente la mia è una interpretazione della norma che ben più esperti di me potranno correggere.

La gestione degli incidenti informatici è una questione centrale per la sicurezza delle aziende che operano nel contesto europeo. Con l’introduzione della Direttiva (UE) 2022/2555 (NIS 2) e il suo recepimento nelle legislazioni nazionali, le aziende devono ora confrontarsi con un quadro normativo articolato, che prevede obblighi di notifica e cooperazione tra Stati membri. Questo articolo analizza in dettaglio gli obblighi imposti dalla NIS 2 e dalla normativa italiana, con particolare attenzione alle implicazioni per le aziende multinazionali che operano in più Stati membri.

1. Obblighi di notifica nella Direttiva NIS 2 e nella Normativa Italiana

La Direttiva NIS 2 rappresenta un passo avanti rispetto alla precedente Direttiva NIS 1 (2016/1148), ampliando la portata dei soggetti coinvolti e imponendo nuove scadenze per la notifica degli incidenti informatici. Questa direttiva è stata recepita in Italia con il Decreto Legislativo 138/2024, che impone obblighi specifici per le notifiche di incidenti agli operatori di servizi essenziali e fornitori di servizi digitali.

Obblighi di notifica secondo la Direttiva NIS 2

L’articolo 23 della Direttiva NIS 2 stabilisce che i soggetti rientranti nell’ambito della direttiva devono notificare gli incidenti rilevanti al CSIRT nazionale competente. Le scadenze per la notifica sono:

  • 24 ore per una prima notifica,
  • 72 ore per la notifica completa,
  • 30 giorni per una relazione dettagliata sull’incidente.

Obblighi di notifica nella normativa italiana

In Italia, il Decreto Legislativo 138/2024 recepisce la Direttiva NIS 2 e stabilisce che la notifica degli incidenti informatici deve essere inviata all’Agenzia per la Cybersicurezza Nazionale (ACN), che funge da CSIRT nazionale. Le scadenze per la notifica sono le stesse previste dalla NIS 2:

  • Entro 24 ore per una prima notifica,
  • Entro 72 ore per la notifica completa,
  • Entro 30 giorni per una relazione dettagliata.

2. Analisi dell’Articolo 14, Comma 5 della Direttiva NIS 2

Un aspetto fondamentale della NIS 2 è la gestione degli incidenti transnazionali, regolata dall’articolo 14, comma 5. Questo comma prevede che, in caso di incidenti che coinvolgono più Stati membri, i CSIRT nazionali degli Stati interessati devono cooperare per garantire una risposta coordinata e sinergica.

Contenuto dell’articolo 14, comma 5

L’articolo 14, comma 5, afferma che: “Quando un incidente ha un impatto su più di uno Stato membro, le autorità competenti e i CSIRT degli Stati membri interessati cooperano strettamente per garantire una risposta coordinata all’incidente. Tale cooperazione può includere il reciproco riconoscimento delle indagini e delle azioni correttive, nonché la condivisione di informazioni rilevanti, nel rispetto delle normative nazionali applicabili e del segreto professionale.”

Questo articolo sottolinea l’importanza della cooperazione transnazionale, riducendo al minimo i tempi di reazione e massimizzando l’efficacia delle misure di mitigazione.

Cooperazione tra i CSIRT nazionali

Quando un incidente colpisce più Stati membri, ogni CSIRT nazionale deve cooperare con gli altri attraverso il CSIRT Network. Questa cooperazione è fondamentale per evitare duplicazioni e per garantire che le indagini siano condivise in modo efficiente. L’articolo 14, comma 5, riconosce che i CSIRT degli Stati membri coinvolti devono garantire una risposta coordinata, soprattutto quando l’incidente colpisce contemporaneamente diverse giurisdizioni.

3. Implicazioni per le Aziende Multinazionali: Notifica Unica o Separata in Più Stati Membri?

Le aziende multinazionali operanti in diversi Stati membri dell’UE si trovano di fronte a una complessità aggiuntiva quando si tratta di notificare incidenti informatici, in particolare nel caso in cui un incidente colpisca più Paesi. La Direttiva NIS 2 e l’articolo 14, comma 5, stabiliscono come gestire queste notifiche e la cooperazione tra i CSIRT nazionali.

Notifica separata in caso di entità giuridiche distinte

Se l’azienda multinazionale ha entità giuridiche separate nei diversi Stati membri, ogni entità deve notificare l’incidente al proprio CSIRT nazionale:

  • In Italia, la notifica va inviata all’Agenzia per la Cybersicurezza Nazionale (ACN).
  • In Francia, la notifica deve essere effettuata all’ANSSI (Agence nationale de la sécurité des systèmes d’information).
  • In Germania, le notifiche vanno indirizzate al BSI (Bundesamt für Sicherheit in der Informationstechnik).

In questo scenario, ogni filiale dell’azienda multinazionale è considerata un’entità giuridica separata e quindi soggetta all’obbligo di notifica individuale verso il proprio CSIRT.

Notifica centralizzata in caso di entità giuridica unica

Se l’azienda multinazionale non ha entità giuridiche separate nei vari Stati membri e opera come un’unica entità giuridica, può optare per una notifica centralizzata. In questo caso, la notifica dell’incidente può essere effettuata al CSIRT nazionale dello Stato in cui si trova la sede principale dell’azienda. Sarà il CSIRT della sede principale a coordinare la gestione dell’incidente con gli altri CSIRT nazionali coinvolti, in linea con l’articolo 12 della NIS 2, che stabilisce le regole di cooperazione tra i CSIRT degli Stati membri.

4. Differenze Operative in caso di Incidente Limitato a un Solo Stato vs Incidente Transnazionale

Incidente in un solo Stato membro

Quando un incidente colpisce una sola entità giuridica in un unico Stato membro, la notifica deve essere effettuata esclusivamente al CSIRT nazionale di quello Stato. Questo vale sia per aziende con entità giuridiche separate che per aziende che operano come un’unica entità giuridica.

Esempio: Se un incidente colpisce solo la filiale italiana di un’azienda multinazionale, l’unico obbligo di notifica è verso l’ACN in Italia.

Incidente transnazionale

Se un incidente ha impatti transnazionali e coinvolge più Stati membri, ogni entità giuridica locale deve notificare il proprio CSIRT nazionale, e i vari CSIRT sono obbligati a cooperare attraverso il CSIRT Network. Questo meccanismo di cooperazione consente una gestione coordinata dell’incidente, riducendo al minimo il rischio di disallineamenti nelle risposte operative.

Esempio: Se un incidente colpisce le filiali italiane, francesi e tedesche di un’azienda multinazionale, ogni entità locale dovrà notificare il proprio CSIRT nazionale (ACN in Italia, ANSSI in Francia e BSI in Germania). Tuttavia, questi CSIRT saranno obbligati a cooperare per gestire la risposta in modo unificato.

5. Riferimenti Normativi negli Stati Membri Citati

Italia:

  • Decreto Legislativo 138/2024: Recepimento della Direttiva NIS 2. Le notifiche devono essere inviate all’Agenzia per la Cybersicurezza Nazionale (ACN), che è il CSIRT nazionale italiano.

Francia:

  • Loi n° 2018-133: Recepimento della Direttiva NIS 1, che sarà aggiornata con la NIS 2. Le notifiche vanno effettuate all’ANSSI (Agence nationale de la sécurité des systèmes d’information).

Germania:

  • BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik): Recepimento della Direttiva NIS in Germania. Le notifiche devono essere indirizzate al BSI (Bundesamt für Sicherheit in der Informationstechnik).

Conclusioni

La gestione della notifica degli incidenti informatici per le aziende multinazionali deve tenere conto della struttura giuridica e dell’estensione territoriale dell’incidente. La Direttiva NIS 2 e la normativa nazionale stabiliscono che:

  • Notifica separata: Se l’azienda ha entità giuridiche separate in più Stati membri, ogni filiale deve notificare il proprio CSIRT nazionale.
  • Notifica centralizzata: Se l’azienda opera come un’unica entità giuridica, è possibile effettuare una notifica centralizzata al CSIRT dello Stato principale, che poi coordinerà la risposta con gli altri CSIRT coinvolti.

In caso di incidenti transnazionali, gli Stati membri sono obbligati a cooperare tramite il CSIRT Network per garantire una risposta coordinata e unificata. Questo è sancito dall’articolo 14, comma 5 della Direttiva NIS 2, che stabilisce una base per la condivisione delle informazioni e l’adozione di misure correttive condivise.

#Cybersecurity #NIS2 #ComplianceNormativa #CSIRTItalia #NotificaIncidenti #ProtezioneDati #CyberResilience #DirittoTecnologia #DigitalSecurity #ITGovernance #NISDirective #IncidentResponse #Multinazionali #CooperazioneTransnazionale #CyberLaw

To the official site of Related Posts via Taxonomies.


Discover more from The Puchi Herald Magazine

Subscribe to get the latest posts sent to your email.

CC BY-NC-SA 4.0 Cybersecurity e Notifiche di Incidenti Informatici: Analisi della Direttiva NIS 2 e della Normativa Nazionale by The Puchi Herald Magazine is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.


Leave a Reply