Inhaltsverzeichnis

Direttiva NIS2

Implementazione della direttiva UE 2022/2555 (NIS2) per la sicurezza delle reti e dell'informazione con crittografia post-quantum.

Panoramica

La direttiva NIS21) e la direttiva UE aggiornata per la cybersecurity delle infrastrutture critiche. E entrata in vigore il 16 gennaio 2023 e deve essere recepita nel diritto nazionale entro il 17 ottobre 2024.

flowchart TB subgraph NIS2["Direttiva NIS2 (UE) 2022/2555"] A21["Articolo 21
Gestione rischi"] A23["Articolo 23
Obblighi di segnalazione"] A32["Articolo 32
Supervisione"] end subgraph A21D["Art. 21(2) - Misure minime"] A21a["(a) Analisi rischi"] A21d["(d) Supply chain"] A21e["(e) Approvvigionamento"] A21h["(h) Crittografia"] A21j["(j) MFA/Accesso"] end subgraph WVDS["Implementazione WvdS"] RISK["Doc. rischi"] SUPPLY["OpenSSL 3.6
(Open Source)"] CERT["NIST FIPS
203/204"] CRYPTO["ML-DSA
ML-KEM"] MFA["mTLS
Client-Certs"] end A21 --> A21D A21a --> RISK A21d --> SUPPLY A21e --> CERT A21h --> CRYPTO A21j --> MFA style CRYPTO fill:#4caf50,color:#fff style MFA fill:#4caf50,color:#fff

Settori interessati

NIS2 amplia l'ambito di applicazione a piu settori:

Soggetti essenziali (Essential Entities)

Settore Esempi Rilevanza WvdS
Energia Reti elettriche, parchi eolici, petrolio/gas Scenari energia
Trasporti Ferrovie, aviazione, navigazione Certificati trasporto
Banche Istituti di credito Sicurezza transazioni
Sanita Ospedali, laboratori Scenari healthcare
Acqua potabile Approvvigionamento idrico Comunicazione SCADA
Infrastruttura digitale DNS, TLD, Cloud PKI, TLS

Soggetti importanti (Important Entities)

Settore Esempi Rilevanza WvdS
Poste/Corrieri Logistica Autenticazione
Gestione rifiuti Smaltimento Sicurezza OT
Chimica Produzione Scenari industria
Alimentare Produzione, commercio Supply chain
Manifattura Macchinari, veicoli Scenari automotive
Servizi digitali Marketplace, motori di ricerca Sicurezza API

Articolo 21(2) - Misure di gestione del rischio

La direttiva richiede nell'articolo 21(2)2) misure minime concrete:

(a) Analisi dei rischi e sicurezza dei sistemi informatici

Requisito Documentazione WvdS
Identificazione rischi Documentazione rischio
Minaccia quantistica analizzata Scenario Harvest-Now-Decrypt-Later
Necessita protezione determinata Classificazione dati per durata

(d) Sicurezza della catena di approvvigionamento

Requisito Documentazione WvdS
Valutare fornitori OpenSSL 3.6 = Open Source, verificabile
Minimizzare dipendenze Solo OpenSSL + .NET Runtime
Garantire aggiornamenti Pacchetto NuGet, aggiornamenti automatici

(e) Sicurezza in acquisizione, sviluppo e manutenzione

Requisito Documentazione WvdS
Sviluppo sicuro Code-Review, test
Gestione vulnerabilita GitHub Security Advisories
Patch-Management Semantic Versioning

(h) Policy crittografiche

Requisito chiave per WvdS:

Requisito Implementazione WvdS Stato
Crittografia appropriata Algoritmi NIST FIPS 203/204
Stato dell'arte Post-Quantum dal NIST 2024
Cifratura se necessaria Crittografia ibrida
Gestione chiavi HKDF, PBKDF2, Argon2id 
// Configurazione crittografia conforme NIS2
CryptoConfig.DefaultMode = CryptoMode.Hybrid;
 
// Certificati ibridi: classici + Post-Quantum
var cert = request.CreateSelfSigned(
    notBefore, notAfter,
    CryptoMode.Hybrid  // ECDSA + ML-DSA
);

(j) Autenticazione multi-fattore

Requisito Implementazione WvdS Stato
MFA o autenticazione continua mTLS con certificati client
Comunicazione sicura TLS 1.3 con algoritmi PQ
Gestione identita Certificati X.509

Articolo 23 - Obblighi di segnalazione

Per gli incidenti di sicurezza valgono obblighi di segnalazione rigorosi3):

Termine Segnalazione Supporto WvdS
24 ore Preallarme Audit-Logging per forensics
72 ore Notifica incidente Log dettagliati disponibili
1 mese Report finale Documentazione completa

Raccomandazione: Attivare l'audit-logging per tutte le operazioni crittografiche per documentare gli incidenti in modo tracciabile.

Scadenze di attuazione

timeline title Attuazione NIS2 section 2023 16 Gen : NIS2 in vigore Inventario : Verificare interessamento section 2024 17 Ott : Scadenza attuazione Gap-Analysis : Identificare misure section 2025 Obblighi segnalazione : Pienamente attivi Supervisione : Inizio controlli section 2026+ Sanzioni : Possibili multe Audit : Verifiche regolari

Sanzioni per violazioni:4)

Checklist per conformita NIS2

# Punto di verifica Documentazione WvdS
———–—————
1 Analisi rischi documentata Rischio
2 Crittografia „stato dell'arte“ NIST FIPS 203/204 (2024)
3 Crittografia ibrida attiva CryptoMode.Hybrid
4 Gestione chiavi documentata KeyDerivation
5 Supply chain trasparente OpenSSL 3.6 Open Source
6 MFA implementata mTLS con certificati client
7 Audit-logging attivo Eventi crypto registrati
8 Processo segnalazione definito Piano Incident-Response

Recepimento italiano: Decreto NIS2

Il decreto di recepimento della direttiva NIS2 in Italia implementa i requisiti europei:

NIS2 Diritto italiano Autorita competente
Soggetti essenziali Operatori servizi essenziali ACN
Soggetti importanti Fornitori servizi digitali ACN
Obblighi segnalazione Notifica CSIRT ACN/CSIRT
Sanzioni Sanzioni amministrative ACN

Approfondimenti

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

, , , ,
1)
EUR-Lex NIS2: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555
2)
Direttiva NIS2 Art. 21 comma 2: „Misure di gestione dei rischi di cibersicurezza“, EUR-Lex: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555#d1e3507-80-1
3)
Direttiva NIS2 Art. 23: „Obblighi di segnalazione“, EUR-Lex: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555#d1e3835-80-1
4)
Direttiva NIS2 Art. 34: „Sanzioni amministrative“, EUR-Lex: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555#d1e4802-80-1