L’articolo 17 del Decreto Legislativo n. 138/2024 (il “Decreto NIS2“) stabilisce che le entità essenziali ed importanti nonché soggetti terzi, quali fornitori di servizi, possano scambiarsi, su base volontaria, informazioni sulla sicurezza informatica. Tale disposizione è stata oggetto di una lettura estensiva da parte dell’Agenzia per la Cybersicurezza Nazionale (ACN), la quale ha fornito chiarimenti attraverso le FAQ pubblicate sul proprio sito istituzionale.
Il contenuto dell’articolo 17 del Decreto NIS2
Il citato articolo 17 stabilisce che i soggetti rientranti nell’ambito di applicazione della normativa NIS2 possano condividere, su base volontaria, un ampio ventaglio di informazioni inerenti alla cybersicurezza. Tra queste rientrano, a titolo esemplificativo,
- informazioni relative a minacce informatiche, quasi-incidenti e vulnerabilità,
- tecniche, procedure e tattiche avversarie,
- indicatori di compromissione,
- informazioni specifiche sugli attori delle minacce,
- allarmi di sicurezza informatica e raccomandazioni concernenti la configurazione degli strumenti di sicurezza informatica.
L’obiettivo di tale condivisione è duplice. da un lato (i) prevenire, rilevare e rispondere agli incidenti informatici, anche tramite il contenimento e recupero in caso di compromissione, dall’altro (ii) aumentare il livello di sicurezza informatica, promuovendo la consapevolezza sui rischi e ostacolando la diffusione delle minacce, sostenendo attività di difesa, divulgando informazioni di vulnerabilità, promuovendo la ricerca collaborativa sulle minacce informatiche tra soggetti pubblici e privati.
In questo contesto i soggetti essenziali ed importanti sono chiamati, in sede di aggiornamento annuale delle informazioni attraverso il portale ACN, a notificare all’autorità la eventuale adesione o cessazione di tali accordi. Questo consente all’autorità di avere una visione aggiornata e strutturata del grado di cooperazione informativa nel settore della sicurezza cibernetica.
I chiarimenti di ACN sull’articolo 17 del Decreto NIS2
In questo contesto ACN ha recentemente pubblicato nuovi chiarimenti attraverso la FAQ ACI.4 disponibile nella sezione “Aggiornamento Annuale” del proprio sito. Secondo quanto indicato da ACN “Nell’ottica di attuazione progressiva delle prescrizioni del decreto NIS, e nelle more della costituzione di un consenso a livello Unionale,” rientra tra le attività di condivisione di informazioni sulla sicurezza inforamtiva, anche “lo scambio di informazioni che avviene nel contesto di forniture che hanno oggetto, anche in parte, servizi di sicurezza informatica.”
La stessa FAQ fornisce elenco (non esaustivo) di tipologie contrattuali che, secondo l’interpretazione di ACN, configurano accordi di condivisione informativa soggetti a notifica. In particolare, rientrerebbero in tale ambito i contratti aventi ad oggetti i seguenti servizi:
- NOC (Network Operation Centre);
- MDR (Managed Detection and Response);
- SOC (Security Operation Centre);
- CSOC (Cyber Security Operation Centre);
- CERT (Computer Emergency Response Team);
- VA/PT (Vulnerability Assessment e Penetration Test);
- Red Teaming;
- Cyber Threat Intel.
Al contrario, non sono considerati accordi di condivisione – e pertanto esclusi dall’obbligo di notifica – i contratti relativi a forniture che non hanno oggetto servizi di sicurezza informatica e in cui, su base volontaria o in forza di clausole contrattuali, il fornitore segnali al cliente eventuali eventi di sicurezza informatica di interesse del cliente stesso.
Con riferimento agli accordi ritenuti rilevanti, ACN specifica che sarà sufficiente notificare un estratto di tali accordi indicando:
- le parti dell’accordo,
- l’oggetto dell’accordo;
- le clausole che prevedono lo scambio di informazioni sulla sicurezza informatica e quelle che disciplinano i relativi obblighi delle parti.
In una ottica di attuazione progressiva delle prescrizioni del decreto NIS, ACN chiarisce inoltre che, in occasione dell’aggiornamento annuale 2025 (in scadenza il prossimo 31 luglio 2025), sarà richiesta unicamente la notifica degli accordi in vigore e sottoscritti a partire dal 16 ottobre 2024, data di entrata in vigore del decreto NIS2. Gli accordi stipulati precedentemente a tale data restano esclusi.
Alcune perplessità sulla interpretazione di ACN
L’interpretazione proposta da ACN solleva alcune perplessità, sia sul piano sistematico che su quello dell’allineamento con il quadro normativo europeo. Infatti la lettura estensive di ACN
- non trova, ad oggi riscontro, in posizioni analoghe da parte di altre autorità nazionali europee (sebbene si debba considerare che solo una parte limitata di stati membri ha ancora recepito la Direttiva NIS2);
- non appare coerente con il tenore letterale dell’art. 17, che fa riferimento a uno scambio volontario di informazioni sulla cybersicurezza e non a un obbligo strutturale o contrattuale derivante da prestazioni specialistiche;
- è in apparente contraddizione con quanto riportato dalla stessa ACN nella FAQ ACI.2 dove la condivisione di informazioni è qualificata come best practice, non come elemento necessario o obbligatorio per garantire un adeguato a garantire un livello adeguato di cybersicurezza.
Al contrario, molti – se non tutti i- i servivi elencati nella FAQ ACI.4 (SOC, CSOC, MDR, VA/PT, Red Teaming, ecc.) sembrano configurarsi come prestazioni professionali specialistiche, funzionali per loro stessa natura al rafforzamento delle difese cibernetiche. Per tale motivo, difficilmente potrebbero essere ricondotti a un’attività di condivisione volontaria di informazioni nel senso dell’art. 17 del Decreto NIS2, soprattutto nel caso di entità essenziali e importanti, per le quali tali servizi rappresentano una componente strutturale del proprio assetto di sicurezza.
Cosa fare?
In questa fase di incertezza circa l’effettiva riconducibilità di alcune tipologie contrattuali alla definizione di accordi di condivisione delle informazioni sulla sicurezza informatica, è opportuno procedere a una verifica puntuale dei contratti appartenenti alle categorie sopra indicate, stipulati successivamente al 16 ottobre 2024. Solo in presenza di tali contratti, sarà necessario analizzarne il contenuto, individuando esclusivamente le clausole che prevedono lo scambio di informazioni sulla sicurezza informatica, nonché quelle che disciplinano gli obblighi reciproci delle parti in relazione a tale condivisione.
Autrice: Giulia Zappaterra