Conformità NIS2 per il settore della Pubblica Amministrazione

Gli enti della pubblica amministrazione erogano servizi governativi essenziali a livello nazionale, regionale e locale. Tali servizi dipendono sempre più da piattaforme digitali per la fiscalità, la sicurezza sociale, la gestione dell'identità, il rilascio di autorizzazioni e i registri pubblici. Gli eventi informatici che colpiscono la pubblica amministrazione possono compromettere le funzioni democratiche, la fiducia pubblica e i servizi essenziali ai cittadini.

La Direttiva NIS2 stabilisce obblighi di cybersecurity a livello UE per i soggetti Essenziali e Importanti e amplia significativamente la portata del quadro NIS originario. La conformità alla NIS2 per il settore della pubblica amministrazione riflette l'importanza strategica di proteggere l'infrastruttura digitale governativa dalle minacce informatiche.

La Direttiva si applica agli enti della pubblica amministrazione designati in tutta l'Unione Europea. La portata è determinata dal livello amministrativo e dalla designazione nazionale, piuttosto che dalle tradizionali soglie dimensionali aziendali.

Se la vostra organizzazione opera nella pubblica amministrazione a livello centrale o regionale designato, potreste rientrare nella NIS2 come entità Essenziale.

Il settore della pubblica amministrazione è classificato come:

Allegato pertinente: Allegato I (Soggetti Essenziali)

Gli Stati membri possono determinare l'inclusione specifica di autorità regionali o locali in base al loro ruolo nell'erogazione di servizi pubblici critici.

Gli enti che rientrano in tale designazione sono considerati soggetti Essenziali ai sensi della NIS2.

• Soggetto Essenziale ai sensi dell'Allegato I

• Entità della pubblica amministrazione dei governi centrali
• Entità della pubblica amministrazione a livello regionale, ove designate dagli Stati membri a seguito di una valutazione basata sul rischio

Copertura del sottosettore (Allegato I – Pubblica Amministrazione):

La conformità alla NIS2 per il settore della pubblica amministrazione si applica a:

A differenza delle entità del settore privato, le tradizionali soglie dimensionali per le PMI non sono il determinante principale dell'ambito. L'inclusione dipende invece dal livello amministrativo e dalla designazione nazionale.

Gli enti della pubblica amministrazione responsabili di sistemi di identità digitale, registri nazionali o servizi pubblici core sono generalmente inclusi. Gli Stati membri possono escludere alcune autorità locali laddove il rischio sia ritenuto limitato.

• Governo centrale ministeri e dipartimenti
• Autorità nazionali responsabili di fiscalità, dogane, registri di stato civile, finanze pubbliche o servizi sociali
• Autorità regionali designate dagli Stati membri nell'ambito delle leggi di recepimento nazionale

Ai sensi del Articolo 21 della Direttiva NIS2, gli enti della pubblica amministrazione devono attuare misure tecniche e organizzative adeguate e proporzionate per gestire i rischi di cybersecurity.

Le misure obbligatorie includono:

Per gli enti della pubblica amministrazione, queste misure di sicurezza previste dalla NIS2 devono proteggere i portali rivolti ai cittadini, i sistemi di identità digitale, le piattaforme fiscali, i sistemi di appalti pubblici e le reti interne del governo.

La conformità alla NIS2 per il settore della pubblica amministrazione richiede una forte coordinazione interagenzia, pratiche di approvvigionamento sicure e controllo dei fornitori IT terzi. I sistemi governativi gestiscono spesso grandi volumi di dati sensibili e costituiscono obiettivi di alto valore per gli avversari informatici.

• Quadro di gestione del rischio
• Procedure di gestione degli incidenti
• Continuità operativa e disaster recovery
• Sicurezza della catena di fornitura
• Sviluppo e manutenzione sicuri
• Politiche su cifratura e crittografia
• Controllo degli accessi e MFA
• Gestione delle vulnerabilità e delle patch
• Formazione sull'igiene informatica
• Uso di comunicazioni sicure

Gli enti della pubblica amministrazione devono rispettare i tempi di segnalazione degli incidenti previsti dalla NIS2 per gli incidenti significativi.

Gli obblighi di segnalazione includono:

I rapporti devono essere inoltrati al CSIRT nazionale pertinente o all'autorità competente.

La regola delle 24 ore della NIS2 è particolarmente critica per gli incidenti che interessano i servizi ai cittadini, i sistemi di identità digitale o le piattaforme amministrative nazionali. L'interruzione dei servizi governativi essenziali generalmente si qualificherà come un incidente significativo.

La mancata segnalazione entro i termini prescritti può comportare misure di vigilanza e azioni sanzionatorie.

La conformità alla NIS2 per il settore della pubblica amministrazione impone una chiara responsabilità all'organo di gestione o all'autorità governante equivalente.

I requisiti chiave di governance includono:

Il Articolo 21 della Direttiva NIS2 eleva la supervisione della cybersecurity al livello esecutivo all'interno delle istituzioni pubbliche. I funzionari di vertice devono garantire che le misure di cybersecurity siano formalmente adottate, dotate di risorse e monitorate.

Data la dimensione di interesse pubblico, i fallimenti di governance possono comportare conseguenze sia normative che politiche.

• Approvazione delle misure di gestione del rischio informatico da parte della dirigenza
• Supervisione continua dell'attuazione
• Formazione obbligatoria sulla cybersecurity per la direzione
• Potenziale esposizione a responsabilità personali ai sensi del diritto nazionale

In quanto soggetti dell'Allegato I, gli enti della pubblica amministrazione classificati come soggetti Essenziali sono soggetti a vigilanza proattiva. Le autorità competenti possono effettuare audit, ispezioni e valutazioni della cybersecurity indipendentemente dal verificarsi di un incidente.

Le sanzioni amministrative previste dalla NIS2 per i soggetti Essenziali sono:

Per gli enti della pubblica amministrazione, gli Stati membri possono applicare modalità di esecuzione specifiche ai sensi del diritto nazionale, incluse misure amministrative anziché sanzioni finanziarie. Possono applicarsi variazioni nell'attuazione nazionale.

Si prevede che la vigilanza sia strutturata e allineata alle priorità di sicurezza nazionale.

• Fino a €10 milioni o 2% del fatturato annuo mondiale totale (a seconda di quale importo sia maggiore)

Gli enti della pubblica amministrazione dovrebbero intraprendere azioni strutturate per la conformità alla NIS2:

Una preparazione anticipata riduce il rischio di sanzioni e protegge la continuità dei servizi pubblici.

1. Condurre una valutazione delle lacune NIS2 tra ministeri e agenzie
2. Mappare i sistemi critici rivolti ai cittadini e i sistemi interni
3. Formalizzare un quadro documentato di gestione del rischio informatico
4. Aggiornare e testare le procedure di risposta agli incidenti e di comunicazione di crisi
5. Revisionare i contratti di appalto pubblico per clausole di cybersecurity
6. Formare i funzionari di vertice e i responsabili di dipartimento
7. Stabilire un flusso di segnalazione 24h/72h/1 mese

Gli enti della pubblica amministrazione affrontano rischi specifici del settore ai sensi della NIS2:

La conformità alla NIS2 per il settore della pubblica amministrazione è quindi fondamentale per la resilienza governativa e la fiducia pubblica.

• Interruzione del servizio: Gli incidenti informatici possono interrompere la riscossione delle imposte, i sistemi di identità o i servizi sociali.
• Esposizione alla sicurezza nazionale: I sistemi governativi sono obiettivi di alto valore per attori sponsorizzati dallo Stato.
• Compromissione della catena di approvvigionamento: I fornitori IT terzi possono introdurre vulnerabilità.
• Sanzioni regolamentari o amministrative: La non conformità può innescare misure di vigilanza.
• Danno reputazionale e politico: La fiducia pubblica nelle istituzioni può essere compromessa da fallimenti di cybersecurity.