Inhaltsverzeichnis

Direttiva NIS2

Direttiva NIS2

Implementazione della direttiva UE 2022/2555 (NIS2) per la sicurezza delle reti e dell'informazione con crittografia post-quantum.

Panoramica

La direttiva NIS2¹⁾ e la direttiva UE aggiornata per la cybersecurity delle infrastrutture critiche. E entrata in vigore il 16 gennaio 2023 e deve essere recepita nel diritto nazionale entro il 17 ottobre 2024.

flowchart TB subgraph NIS2["Direttiva NIS2 (UE) 2022/2555"] A21["Articolo 21
Gestione rischi"] A23["Articolo 23
Obblighi di segnalazione"] A32["Articolo 32
Supervisione"] end subgraph A21D["Art. 21(2) - Misure minime"] A21a["(a) Analisi rischi"] A21d["(d) Supply chain"] A21e["(e) Approvvigionamento"] A21h["(h) Crittografia"] A21j["(j) MFA/Accesso"] end subgraph WVDS["Implementazione WvdS"] RISK["Doc. rischi"] SUPPLY["OpenSSL 3.6
(Open Source)"] CERT["NIST FIPS
203/204"] CRYPTO["ML-DSA
ML-KEM"] MFA["mTLS
Client-Certs"] end A21 --> A21D A21a --> RISK A21d --> SUPPLY A21e --> CERT A21h --> CRYPTO A21j --> MFA style CRYPTO fill:#4caf50,color:#fff style MFA fill:#4caf50,color:#fff

Settori interessati

NIS2 amplia l'ambito di applicazione a piu settori:

Soggetti essenziali (Essential Entities)

Settore	Esempi	Rilevanza WvdS
Energia	Reti elettriche, parchi eolici, petrolio/gas	Scenari energia
Trasporti	Ferrovie, aviazione, navigazione	Certificati trasporto
Banche	Istituti di credito	Sicurezza transazioni
Sanita	Ospedali, laboratori	Scenari healthcare
Acqua potabile	Approvvigionamento idrico	Comunicazione SCADA
Infrastruttura digitale	DNS, TLD, Cloud	PKI, TLS

Soggetti importanti (Important Entities)

Settore	Esempi	Rilevanza WvdS
Poste/Corrieri	Logistica	Autenticazione
Gestione rifiuti	Smaltimento	Sicurezza OT
Chimica	Produzione	Scenari industria
Alimentare	Produzione, commercio	Supply chain
Manifattura	Macchinari, veicoli	Scenari automotive
Servizi digitali	Marketplace, motori di ricerca	Sicurezza API

Articolo 21(2) - Misure di gestione del rischio

La direttiva richiede nell'articolo 21(2)²⁾ misure minime concrete:

(a) Analisi dei rischi e sicurezza dei sistemi informatici

Requisito	Documentazione WvdS
Identificazione rischi	Documentazione rischio
Minaccia quantistica analizzata	Scenario Harvest-Now-Decrypt-Later
Necessita protezione determinata	Classificazione dati per durata

(d) Sicurezza della catena di approvvigionamento

Requisito	Documentazione WvdS
Valutare fornitori	OpenSSL 3.6 = Open Source, verificabile
Minimizzare dipendenze	Solo OpenSSL + .NET Runtime
Garantire aggiornamenti	Pacchetto NuGet, aggiornamenti automatici

(e) Sicurezza in acquisizione, sviluppo e manutenzione

Requisito	Documentazione WvdS
Sviluppo sicuro	Code-Review, test
Gestione vulnerabilita	GitHub Security Advisories
Patch-Management	Semantic Versioning

(h) Policy crittografiche

Requisito chiave per WvdS:

Requisito	Implementazione WvdS	Stato
Crittografia appropriata	Algoritmi NIST FIPS 203/204	✅
Stato dell'arte	Post-Quantum dal NIST 2024	✅
Cifratura se necessaria	Crittografia ibrida	✅
Gestione chiavi	HKDF, PBKDF2, Argon2id	✅

// Configurazione crittografia conforme NIS2
CryptoConfig.DefaultMode = CryptoMode.Hybrid;
 
// Certificati ibridi: classici + Post-Quantum
var cert = request.CreateSelfSigned(
    notBefore, notAfter,
    CryptoMode.Hybrid  // ECDSA + ML-DSA
);

(j) Autenticazione multi-fattore

Requisito	Implementazione WvdS	Stato
MFA o autenticazione continua	mTLS con certificati client	✅
Comunicazione sicura	TLS 1.3 con algoritmi PQ	✅
Gestione identita	Certificati X.509	✅

Articolo 23 - Obblighi di segnalazione

Per gli incidenti di sicurezza valgono obblighi di segnalazione rigorosi³⁾:

Termine	Segnalazione	Supporto WvdS
24 ore	Preallarme	Audit-Logging per forensics
72 ore	Notifica incidente	Log dettagliati disponibili
1 mese	Report finale	Documentazione completa

Raccomandazione: Attivare l'audit-logging per tutte le operazioni crittografiche per documentare gli incidenti in modo tracciabile.

Scadenze di attuazione

timeline title Attuazione NIS2 section 2023 16 Gen : NIS2 in vigore Inventario : Verificare interessamento section 2024 17 Ott : Scadenza attuazione Gap-Analysis : Identificare misure section 2025 Obblighi segnalazione : Pienamente attivi Supervisione : Inizio controlli section 2026+ Sanzioni : Possibili multe Audit : Verifiche regolari

Sanzioni per violazioni:⁴⁾

Soggetti essenziali: fino a 10 mln EUR o 2% fatturato annuo (Art. 34(4))
Soggetti importanti: fino a 7 mln EUR o 1,4% fatturato annuo (Art. 34(5))

Checklist per conformita NIS2

#	Punto di verifica	Documentazione WvdS	✓
—	———–	—————	—
1	Analisi rischi documentata	Rischio	☐
2	Crittografia „stato dell'arte“	NIST FIPS 203/204 (2024)	☐
3	Crittografia ibrida attiva	CryptoMode.Hybrid	☐
4	Gestione chiavi documentata	KeyDerivation	☐
5	Supply chain trasparente	OpenSSL 3.6 Open Source	☐
6	MFA implementata	mTLS con certificati client	☐
7	Audit-logging attivo	Eventi crypto registrati	☐
8	Processo segnalazione definito	Piano Incident-Response	☐

Recepimento italiano: Decreto NIS2

Il decreto di recepimento della direttiva NIS2 in Italia implementa i requisiti europei:

NIS2	Diritto italiano	Autorita competente
Soggetti essenziali	Operatori servizi essenziali	ACN
Soggetti importanti	Fornitori servizi digitali	ACN
Obblighi segnalazione	Notifica CSIRT	ACN/CSIRT
Sanzioni	Sanzioni amministrative	ACN

Approfondimenti

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

nis2, eu, compliance, kritis, artikel-21

¹⁾

EUR-Lex NIS2: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555

²⁾

Direttiva NIS2 Art. 21 comma 2: „Misure di gestione dei rischi di cibersicurezza“, EUR-Lex: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555#d1e3507-80-1

³⁾

Direttiva NIS2 Art. 23: „Obblighi di segnalazione“, EUR-Lex: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555#d1e3835-80-1

⁴⁾

Direttiva NIS2 Art. 34: „Sanzioni amministrative“, EUR-Lex: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555#d1e4802-80-1