Home » News » Cybersecurity

Miralli, NIS 2 e identificazione del Punto di Contatto: fare la cosa giusta

di Redazione - 6 Febbraio 2025
Corrado Miralli

Corrado Miralli, Security Manager e CISO, nonché cultore della materia della security aziendale, nell’approfondire il Decreto Legislativo n. 138, relativo al recepimento della Direttiva Europea NIS 2, si sofferma su un aspetto specifico: l’identificazione del Punto di contatto, argomento di estrema attualità e urgenza, considerata la scadenza del 28 febbraio. Di che cosa si tratta e perché, come sottolinea Miralli, il Punto di contatto avrà un ruolo aziendale chiave nell’ambito del recente Decreto NIS 2?

Buona lettura!

DECRETO NIS 2 E IDENTIFICAZIONE DEL PUNTO DI CONTATTO: FARE LA COSA GIUSTA

di Corrado Miralli

Il Decreto Legislativo 4 settembre 2024 n. 138 (di seguito “Decreto NIS 2”) ha recepito la Direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del Regolamento (UE) n. 910/2014 e della Direttiva (UE) 2018/1972 e che abroga la Direttiva (UE) 2016/1148.

L’organizzazione che ritiene di riconoscersi all’interno del perimetro di applicabilità della norma sulla base dei criteri previsti dal legislatore (Territoriale, Settoriale, Dimensionale, ulteriori criteri previsti dall’art. 3 della norma), ai sensi dell’articolo 7, comma 1, lett. c), del Decreto NIS 2, anche ai fini della registrazione sulla piattaforma digitale resa disponibile dall’ACN, è tenuta alla designazione di un punto di contatto (di seguito “Punto di contatto”).

Punto di contatto - Miralli

NIS 2 e il ruolo del Punto di Contatto

Il “Punto di contatto” avrà un ruolo aziendale chiave: conoscendo l’organizzazione, avendo i necessari poteri e commitment da parte del vertice aziendale avrà il compito di garantire il puntuale e completo assolvimento di tutti gli obblighi previsti dal Decreto NIS 2 e da qualsivoglia decreto del Presidente del Consiglio dei Ministri e/o determinazione dell’ACN, tempo per tempo emanati ai sensi dell’art. 40 del Decreto NIS 2.

È infatti proprio il vertice aziendale fino al Consiglio di Amministrazione per le società quotate che ha la responsabilità finale dell’attuazione della Direttiva NIS2: (i) approva le modalità di implementazione delle misure di sicurezza; (ii) sovraintende all’implementazione degli obblighi; (iii) è responsabile di eventuali violazioni; (iv) è tenuto a seguire una formazione in materia di cybersicurezza (mediante sessioni di Induction al Consiglio di Amministrazione); (v) deve promuovere la formazione dei propri dipendenti; (vi) deve essere informato al verificarsi di incidenti e di notifiche effettuate all’ACN.

Il “Punto di contatto” pertanto:

  • secondo la Determinazione del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale del 26 novembre 2024, è una persona fisica con il compito di curare l’attuazione delle disposizioni della Direttiva NIS 2, a partire dal Censimento dell’organizzazione sul portale ACN;
  • accede al portale ACN e interloquisce, per conto del soggetto NIS, con l’Autorità nazionale competente;
  • in particolare è responsabile di garantire il reporting ed in particolare il costante flusso informativo verso ACN per le notifiche in caso di evento cyber;
  • riferisce direttamente al vertice aziendale gerarchico del soggetto, nonché agli organi di amministrazione e direttivi del medesimo, ai fini di quanto previsto dal Decreto NIS 2 e in merito all’adempimento dei propri obblighi in qualità di “Punto di contatto”.

Il “Punto di contatto” dovrà avere una profonda conoscenza della sua organizzazione e, come interlocutore di ACN in materia di sicurezza cyber, avrà il ruolo cruciale di fungere da “cerniera” tra il pubblico ed il privato, facilitando la comunicazione tra le parti, coordinando le attività, promuovendo la collaborazione e monitorando i progressi.

La scelta di chi delegare come “Punto di contatto” assume pertanto una cruciale importanza, per il raggiungimento degli obiettivi di sicurezza e resilienza che la Direttiva NIS 2 vuole perseguire, e per l’efficacia del sistema di coordinamento  pubblico-privato in materia di cyber security che si viene così a formalizzare.

Al fine di garantire un’implementazione efficace della norma è necessario (i) dal 1 dicembre 2024 la delega da parte del Legale Rappresentante al Punto di Contatto; (ii) il censimento del “Punto di Contatto” sul portale ACN; (iii) effettuare, entro il 28 febbraio 2025, l’autodichiarazione dell’organizzazione sul portale ACN come soggetto ricompreso nella Direttiva NIS 2 (“essenziale” o “importante”); la conferma da parte di ACN, entro la metà del mese di aprile 2025, dell’inclusione dell’organizzazione nel perimetro della Direttiva NIS 2 mediante PEC al domicilio digitale della Società.

Il Punto di contatto designato dovrà poi accedere al portale ACN (https://portale.acn.gov.it/login) e registrarsi.

Resta ferma la possibilità per l’Autorità nazionale competente NIS di individuare ulteriori soggetti ritenuti critici oltre quelli già individuati con gli specifici requisiti espressi nella norma.

Qual è la figura aziendale che dovrebbe essere designata come Punto di Contatto?

Come previsto dalla Determinazione dell’ACN “Le funzioni di punto di contatto possono essere svolte dal rappresentante legale del soggetto NIS, da uno dei procuratori generali del soggetto NIS o da un dipendente del soggetto NIS delegato dal rappresentante legale del soggetto medesimo.”

Personalmente mi sarei augurato uno sforzo maggiore da parte del legislatore italiano in fase di recepimento della Direttiva NIS 2, nell’identificazione del ruolo di “Punto di contatto”.

Avrei auspicato una chiara indicazione della riconducibilità del ruolo alla figura di un responsabile della sicurezza aziendale, così da garantire omogeneità nel network che si verrà a realizzare tra i referenti delle società perimetrate ed uniformità di linguaggio.

Così non è stato, almeno in maniera esplicita, ed allora provo a condividere due riflessioni sul tema per provare a guidare la scelta.

In un’azienda che avesse già adottato un modello di sicurezza, magari integrato, ed avesse individuato un Chief Information Security Officer – CISO o figura equivalente – il “Punto di contatto” potrebbe essere individuato proprio in esso, così da garantire una corretta governance della security aziendale, che tenga conto delle interdipendenze tra le varie funzioni aziendali e degli impatti derivanti dall’attuazione dei requisiti che – in base al proprio livello di criticità (Critico/Altamente Critico) – l’organizzazione dovrà attuare.

Il CISO – Chief Information Security Officer –  è oggi un profilo professionale sempre più diffuso nelle moderne e grandi aziende che, grazie a competenze ed una profonda conoscenza dei processi interni, è in grado di assumere il ruolo di Responsabile della sicurezza informatica, e non solo, definendo la giusta strategia di protezione degli assets aziendali dalla minaccia cyber.

Sia il CISO che il “Punto di contatto” non sono ruoli necessariamente tecnici, ma da essi può dipendere la sicurezza aziendale e dei dati.

In dottrina la figura del CISO è ben definita e rappresenta il ruolo di riferimento aziendale in materia di sicurezza cyber. Il  Framework Nazionale per la Cybersecurity e la Data Protection del Centro di ricerca in Cyber Intelligence e Information Security della Sapienza, presentato nel 2015 (il quale ha preso spunto dal Cybersecurity Framework del NIST, il National Institute of Standards and Technology americano), affronta la sicurezza e la privacy da una prospettiva di funzionalità e garanzia, fornendo un catalogo di controlli di sicurezza per sistemi informativi e organizzazioni utili a proteggere le operazioni e le risorse, gli individui, altre organizzazioni e la Nazione, da una serie diversificata di minacce e rischi, inclusi attacchi ostili, errori umani, disastri naturali, problemi strutturali fallimenti, entità di intelligence straniere e rischi per la privacy.

La figura del CISO laddove presente garantisce i principi di segregazione delle responsabilità, nonché consente di poter differenziare i controlli di sicurezza di primo livello (a carico dell’ICT o delle funzioni di business/produzione) dai controlli di secondo livello (a carico del CISO e/o della funzione di sicurezza logica).

Cercando di interpretare la nuova norma europea, le responsabilità del “Punto di contatto” sembrano intersecarsi fino anche a coincidere con quelle tipiche del CISO, laddove è stato nominato (o comunque dal responsabile della sicurezza):

  • Assicurare la definizione della strategia di sicurezza informatica, anche attraverso il monitoraggio della minaccia con attività di threat intelligence, al fine di garantire per quanto di competenza la protezione dei dati, delle infrastrutture e, in generale, degli assets aziendali;
  • Assicurare la gestione delle attività di governance in tema di cyber security, definendo i requisiti da rispettare nella scelta e nel disegno delle soluzioni tecnologiche da parte delle funzioni competenti (security by design);
  • Assicurare le attività di controllo di secondo livello sull’attuazione del modello di sicurezza;
  • Assicurare, per quanto di competenza e in coordinamento con le altre funzioni di Società e di gruppo interessate, la gestione di incidenti, emergenze e crisi, indirizzando le azioni necessarie ad un’adeguata ed efficace risposta agli stessi, contribuendo all’aumento della resilienza aziendale;
  • Assicurare, per tutti gli aspetti di security, i rapporti con le Autorità centrali di specifico interesse;
  • Assicurare l’attività di reporting in caso di incidente.

Se la gestione della sicurezza fisica concerne l’identificazione e l’adozione di tutte le misure necessarie per proteggere le aree, i sistemi e le persone che operano sui sistemi informativi e le informazioni (riservate, sensibili, ecc.) da questi raccolte, trattate e conservate, l’obiettivo della sicurezza informatica è garantire la riservatezza, l’integrità e la disponibilità dei dati.

Se è vero come dice ENISA che “l’accesso fisico è la maggiore back door”, un approccio olistico al rischio è ormai imprescindibile, per lo sviluppo di un efficiente modello di sicurezza aziendale.

La scelta di individuare un “Punto di contatto” che abbia una governance integrata sulla sicurezza sia fisica che logica trova un ulteriore punto di forza anche nella ISO/IEC 27014 che indica: “Governance of information security should ensure that information security objectives are comprehensive and integrated. Information security should be handled at an entity level, with decision making taking into account entity priorities. Activities concerning physical and logical security should be closely coordinated”.

Il legislatore europeo e l’ACN

Il legislatore europeo, con l’adozione della NIS 2, che si affianca alla CER (Critical Entity Resilience), ed al Digital Operational Resilience Act o regolamento DORA sulla sicurezza ICT delle entità del settore finanziario e bancario, vuole coraggiosamente mirare all’attuazione di un modello di sicurezza nazionale in ambito UE, finalizzato a rafforzare  la sicurezza e la resilienza delle aziende, creare valore, aumentare la fiducia dei clienti e dei mercati.

In cambio dell’attuazione degli obblighi imposti con la NIS 2, l’Agenzia per la Cybersicurezza Nazionale – ACN – assicurerà alle aziende del perimetro, in maniera graduale ed in funzione del livello di criticità dei servizi erogati, l’accesso al servizio CSIRT Italia, all’HyperSOC, al MISP, supportando con un tool la valutazione del rischio, tutto per garantire la condivisione di informazioni per identificare e contrastare la minaccia (IOC), fornire supporto in caso di incidente, assicurare la condivisione delle evidenze di threat intelligence.

Fare la cosa giusta

Le minacce informatiche al settore energia, trasporti, bancario, fino a ricomprendere il settore delle utilities, sono per loro natura transnazionali, ed in continuo aumento, complice anche l’uso di sistemi di offesa basati su intelligenza artificiale (AI). 

Le infrastrutture critiche per loro natura sono particolarmente esposte al rischio di DDOS e Ransomware; in questi casi la risposta di sicurezza richiede uno sforzo congiunto pubblico-privato.

Per garantire l’efficienza del modello nazionale e quindi europeo è importante che il network di coordinamento pubblico-privato, che sarà espresso in questa prima fase, sia governato da chi, con il dovuto riconoscimento del vertice aziendale, sarà in grado di interpretare la norma, recepire le istanze pubbliche da calare all’interno delle realtà private, adattandole se necessario, e farsi portavoce presso ACN delle peculiarità di ogni singola realtà industriale.

Tutte le aziende interessate dalla NIS 2 sono oggi chiamate a fare la cosa giusta nell’individuazione del “Punto di contatto”, perché si tratta di una scelta che risulterà essere strategica per il vertice aziendale nonché per la sicurezza e la competitività dell’organizzazione.

Corrado Miralli

È esperto in gestione delle emergenze e crisi, travel security e continuità operativa, sicurezza delle operazioni in ambito onshore e offshore in aree ad alto rischio, cyber security governance.

Proveniente dai Corsi dell’Accademia Militare di Modena (169°), ha prestato servizio nell’Arma dei Carabinieri fino al grado di Tenente Colonnello, ricoprendo anche incarichi investigativi presso il Raggruppamento Operativo Speciale (ROS) dei Carabinieri di Milano e Brescia, e presso la Direzione Investigativa Antimafia (DIA) di Milano, acquisendo esperienze con polizie estere in Canada, Brasile, Stati Uniti, Svizzera, Inghilterra, Spagna, Croazia, Bosnia e Slovenia. Ha conseguito la Laurea in Giurisprudenza presso l’Università La Sapienza di Roma e la Laurea in “Scienze della sicurezza interna ed esterna” presso l’Università Tor Vergata di Roma.

È senior security manager qualificato UNI 10459 ed ha ottenuto la certificazione in materia di business continuity di cui alla ISO 22301. Tra il 2022 ed il 2023 è stato Chair del BCI Italy Chapter.

Dal 2008 è Security Manager e Chief Information Security Officer (CISO) di Saipem SpA, nonché cultore della materia della security aziendale.

#Cybersecurity#Normative#Scenari
Condividi questo articolo su:
Articoli correlati
Umberto Saccone Adjunct Professor alla LUISS Business School
Cybersecurity

L’EHDS, la NIS2 e l’impegno dell’Italia

Lo Spazio Europeo dei Dati Sanitari (EHDS – European Health Data Space) è un’iniziativa dell’Unione Europea volta a creare un quadro comune per la gestione, la condivisione e l’utilizzo sicuro...
17 Marzo 2025 - Umberto Saccone
HIKVISION Cybersecurity industriale
Cybersecurity

Cybersecurity industriale: a Hikvision la certificazione IEC 62443-4-1

Novità in Hikvision, che ha ottenuto la certificazione IEC 62443-4-1, “un importante riconoscimento internazionale nell’ambito della cybersecurity industriale che attesta l’adozione di pratiche di sviluppo sicuro dei suoi prodotti –...
13 Marzo 2025 - Redazione
Tour CEI 2025 Roma
Attualità

Nuova Norma CEI 64-8, sicurezza e prestazioni BT: tappa di Roma

Si terrà a Roma la terza tappa del Tour di Convegni Istituzionali CEI di Formazione Gratuita 2025, che quest’anno approfondisce la “Nuova edizione della Norma CEI 64-8 a supporto della sicurezza e delle prestazioni degli impianti elettrici...
12 Marzo 2025 - Redazione
Altre news da: Cybersecurity
Giorgio Triolo Axitea Sicurezza OT
Cybersecurity

Il ruolo fondamentale della sicurezza OT per il settore manifatturiero

Il settore manifatturiero italiano è la colonna portante dell’economia nazionale e rappresenta quindi un interessante target per i cybercriminali. Ad approfondire  nello specifico il ruolo fondamentale della sicurezza OT per...
12 Marzo 2025 - Redazione
GOBEYOND 2025 AI
Cybersecurity

GOBEYOND 2025: l’evoluzione del ruolo del CIO e l’AI nella cybersecurity

L’evoluzione del ruolo del CIO e l’AI nella cybersecurity sono stati al centro del dibattito della quinta edizione di GoBeyond, l’evento sull’ecosistema IT tenutosi a Milano, all’Hotel Nhow, il 4...
11 Marzo 2025 - Redazione
cyber security disaster recovery
Cybersecurity

Il cyber recovery? Più complicato del disaster recovery!

Cyber recovery (CR) e disaster recovery (DR): quale la differenza? Sebbene all’inizio possano sembrare simili, un’analisi più approfondita rivela differenze significative, come risulta dal report “Preparedness Gap: Why Cyber recovery...
11 Marzo 2025 - Redazione

RIVISTA

Scarica l’ultimo numero in versione PDF.

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.