====== Direttiva NIS2 ======

Implementazione della direttiva UE 2022/2555 (NIS2) per la sicurezza delle reti e dell'informazione con crittografia post-quantum.

----

===== Panoramica =====

La direttiva NIS2((EUR-Lex NIS2: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555)) e la direttiva UE aggiornata per la cybersecurity delle infrastrutture critiche. E entrata in vigore il 16 gennaio 2023 e deve essere recepita nel diritto nazionale entro il **17 ottobre 2024**.

<mermaid>
flowchart TB
    subgraph NIS2["Direttiva NIS2 (UE) 2022/2555"]
        A21["Articolo 21<br/>Gestione rischi"]
        A23["Articolo 23<br/>Obblighi di segnalazione"]
        A32["Articolo 32<br/>Supervisione"]
    end

    subgraph A21D["Art. 21(2) - Misure minime"]
        A21a["(a) Analisi rischi"]
        A21d["(d) Supply chain"]
        A21e["(e) Approvvigionamento"]
        A21h["(h) Crittografia"]
        A21j["(j) MFA/Accesso"]
    end

    subgraph WVDS["Implementazione WvdS"]
        RISK["Doc. rischi"]
        SUPPLY["OpenSSL 3.6<br/>(Open Source)"]
        CERT["NIST FIPS<br/>203/204"]
        CRYPTO["ML-DSA<br/>ML-KEM"]
        MFA["mTLS<br/>Client-Certs"]
    end

    A21 --> A21D
    A21a --> RISK
    A21d --> SUPPLY
    A21e --> CERT
    A21h --> CRYPTO
    A21j --> MFA

    style CRYPTO fill:#4caf50,color:#fff
    style MFA fill:#4caf50,color:#fff
</mermaid>

----

===== Settori interessati =====

NIS2 amplia l'ambito di applicazione a piu settori:

==== Soggetti essenziali (Essential Entities) ====

^  Settore  ^  Esempi  ^  Rilevanza WvdS  ^
| Energia | Reti elettriche, parchi eolici, petrolio/gas | [[..:..:..:szenarien:branchen:energie:start|Scenari energia]] |
| Trasporti | Ferrovie, aviazione, navigazione | Certificati trasporto |
| Banche | Istituti di credito | Sicurezza transazioni |
| Sanita | Ospedali, laboratori | [[..:..:..:szenarien:branchen:healthcare:start|Scenari healthcare]] |
| Acqua potabile | Approvvigionamento idrico | Comunicazione SCADA |
| Infrastruttura digitale | DNS, TLD, Cloud | PKI, TLS |

==== Soggetti importanti (Important Entities) ====

^  Settore  ^  Esempi  ^  Rilevanza WvdS  ^
| Poste/Corrieri | Logistica | Autenticazione |
| Gestione rifiuti | Smaltimento | Sicurezza OT |
| Chimica | Produzione | [[..:..:..:szenarien:branchen:industrie:start|Scenari industria]] |
| Alimentare | Produzione, commercio | Supply chain |
| Manifattura | Macchinari, veicoli | [[..:..:..:szenarien:branchen:automotive:start|Scenari automotive]] |
| Servizi digitali | Marketplace, motori di ricerca | Sicurezza API |

----

===== Articolo 21(2) - Misure di gestione del rischio =====

La direttiva richiede nell'articolo 21(2)((Direttiva NIS2 Art. 21 comma 2: "Misure di gestione dei rischi di cibersicurezza", EUR-Lex: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555#d1e3507-80-1)) misure minime concrete:

==== (a) Analisi dei rischi e sicurezza dei sistemi informatici ====

^  Requisito  ^  Documentazione WvdS  ^
| Identificazione rischi | [[..:risiko|Documentazione rischio]] |
| Minaccia quantistica analizzata | Scenario Harvest-Now-Decrypt-Later |
| Necessita protezione determinata | Classificazione dati per durata |

==== (d) Sicurezza della catena di approvvigionamento ====

^  Requisito  ^  Documentazione WvdS  ^
| Valutare fornitori | OpenSSL 3.6 = Open Source, verificabile |
| Minimizzare dipendenze | Solo OpenSSL + .NET Runtime |
| Garantire aggiornamenti | Pacchetto NuGet, aggiornamenti automatici |

==== (e) Sicurezza in acquisizione, sviluppo e manutenzione ====

^  Requisito  ^  Documentazione WvdS  ^
| Sviluppo sicuro | Code-Review, test |
| Gestione vulnerabilita | GitHub Security Advisories |
| Patch-Management | Semantic Versioning |

==== (h) Policy crittografiche ====

<WRAP important>
**Requisito chiave per WvdS:**
</WRAP>

^  Requisito  ^  Implementazione WvdS  ^  Stato  ^
| Crittografia appropriata | Algoritmi NIST FIPS 203/204 | ✅ |
| Stato dell'arte | Post-Quantum dal NIST 2024 | ✅ |
| Cifratura se necessaria | Crittografia ibrida | ✅ |
| Gestione chiavi | HKDF, PBKDF2, Argon2id | ✅ |

<code csharp>
// Configurazione crittografia conforme NIS2
CryptoConfig.DefaultMode = CryptoMode.Hybrid;

// Certificati ibridi: classici + Post-Quantum
var cert = request.CreateSelfSigned(
    notBefore, notAfter,
    CryptoMode.Hybrid  // ECDSA + ML-DSA
);
</code>

==== (j) Autenticazione multi-fattore ====

^  Requisito  ^  Implementazione WvdS  ^  Stato  ^
| MFA o autenticazione continua | mTLS con certificati client | ✅ |
| Comunicazione sicura | TLS 1.3 con algoritmi PQ | ✅ |
| Gestione identita | Certificati X.509 | ✅ |

----

===== Articolo 23 - Obblighi di segnalazione =====

Per gli incidenti di sicurezza valgono obblighi di segnalazione rigorosi((Direttiva NIS2 Art. 23: "Obblighi di segnalazione", EUR-Lex: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555#d1e3835-80-1)):

^  Termine  ^  Segnalazione  ^  Supporto WvdS  ^
| 24 ore | Preallarme | Audit-Logging per forensics |
| 72 ore | Notifica incidente | Log dettagliati disponibili |
| 1 mese | Report finale | Documentazione completa |

<WRAP tip>
**Raccomandazione:** Attivare l'audit-logging per tutte le operazioni crittografiche per documentare gli incidenti in modo tracciabile.
</WRAP>

----

===== Scadenze di attuazione =====

<mermaid>
timeline
    title Attuazione NIS2
    section 2023
        16 Gen : NIS2 in vigore
        Inventario : Verificare interessamento
    section 2024
        17 Ott : Scadenza attuazione
        Gap-Analysis : Identificare misure
    section 2025
        Obblighi segnalazione : Pienamente attivi
        Supervisione : Inizio controlli
    section 2026+
        Sanzioni : Possibili multe
        Audit : Verifiche regolari
</mermaid>

**Sanzioni per violazioni:**((Direttiva NIS2 Art. 34: "Sanzioni amministrative", EUR-Lex: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555#d1e4802-80-1))
  * Soggetti essenziali: fino a 10 mln EUR o 2% fatturato annuo (Art. 34(4))
  * Soggetti importanti: fino a 7 mln EUR o 1,4% fatturato annuo (Art. 34(5))

----

===== Checklist per conformita NIS2 =====

| # | Punto di verifica | Documentazione WvdS | ✓ |
|---|-----------|---------------|---|
| 1 | Analisi rischi documentata | [[..:risiko|Rischio]] | ☐ |
| 2 | Crittografia "stato dell'arte" | NIST FIPS 203/204 (2024) | ☐ |
| 3 | Crittografia ibrida attiva | CryptoMode.Hybrid | ☐ |
| 4 | Gestione chiavi documentata | [[..:..:..:api:keyderivation:start|KeyDerivation]] | ☐ |
| 5 | Supply chain trasparente | OpenSSL 3.6 Open Source | ☐ |
| 6 | MFA implementata | mTLS con certificati client | ☐ |
| 7 | Audit-logging attivo | Eventi crypto registrati | ☐ |
| 8 | Processo segnalazione definito | Piano Incident-Response | ☐ |

----

===== Recepimento italiano: Decreto NIS2 =====

Il decreto di recepimento della direttiva NIS2 in Italia implementa i requisiti europei:

^  NIS2  ^  Diritto italiano  ^  Autorita competente  ^
| Soggetti essenziali | Operatori servizi essenziali | ACN |
| Soggetti importanti | Fornitori servizi digitali | ACN |
| Obblighi segnalazione | Notifica CSIRT | ACN/CSIRT |
| Sanzioni | Sanzioni amministrative | ACN |

----

===== Approfondimenti =====

  * [[.:start|Panoramica compliance]]
  * [[.:bsi-grundschutz|BSI IT-Grundschutz]]
  * [[.:kritis-verordnung|KRITIS-Verordnung]]
  * [[https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555|NIS2 Testo completo (EUR-Lex)]]
  * [[https://www.acn.gov.it/|ACN - Agenzia per la Cybersicurezza Nazionale]]

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//

{{tag>nis2 eu compliance kritis artikel-21}}