Il 16 ottobre 2024 segna un’importante svolta per la sicurezza informatica in Italia, con l’entrata in vigore della nuova normativa sulla Network and Information Security (NIS) e L’Agenzia per la Cybersicurezza Nazionale (ACN) è l’autorità responsabile dell’applicazione della NIS e del coordinamento delle attività per migliorare la sicurezza delle reti e delle informazioni nel Paese. Questo nuovo percorso mira a fornire un quadro normativo chiaro e strutturato per le organizzazioni pubbliche e private, introducendo obblighi specifici e un piano di attuazione graduale.

Le novità della normativa NIS

La nuova normativa NIS estende i settori e le organizzazioni soggette agli obblighi di sicurezza. Ora sono 18 i settori coperti, 11 considerati altamente critici e 7 critici, coinvolgendo oltre 80 tipologie di soggetti. Le imprese e le organizzazioni vengono distinte in base alla criticità delle attività svolte e al settore di appartenenza, classificandosi come essenziali o importanti. Questo implica un incremento degli obblighi di sicurezza e delle procedure di notifica degli incidenti informatici.

L’ACN, in qualità di punto di contatto unico per l’Italia, acquisisce anche maggiori poteri di supervisione sugli incidenti e sulla gestione delle crisi, collaborando con le autorità nazionali ed europee. Uno degli strumenti introdotti è la divulgazione coordinata delle vulnerabilità, promossa attraverso la cooperazione e la condivisione delle informazioni tra le varie organizzazioni.

Il percorso di attuazione: sostenibile e graduale

L’implementazione della NIS prevede un percorso di adeguamento graduale per le organizzazioni interessate. Il primo passo consiste nella registrazione al portale ACN, disponibile dal 1° dicembre 2024 fino al 28 febbraio 2025 per le medie e grandi imprese. Anche alcune piccole e microimprese saranno coinvolte, a seconda del livello di criticità delle loro operazioni.

Gli obblighi di notifica degli incidenti e delle misure di sicurezza saranno introdotti progressivamente, seguendo le consultazioni settoriali previste fino al primo quadrimestre del 2025. Le organizzazioni avranno 9 mesi per adeguarsi agli obblighi di notifica e 18 mesi per implementare le misure di sicurezza, a partire dalla pubblicazione definitiva dell’elenco dei soggetti NIS a marzo 2025.

Applicazione e supervisione della normativa

Il Tavolo per l’attuazione della disciplina NIS è un organo chiave nella supervisione della normativa. La ACN, in collaborazione con le autorità competenti, definisce i criteri e le modalità operative per garantire la sicurezza informatica nei settori essenziali e critici. La normativa include la cooperazione nazionale e internazionale, la divulgazione coordinata delle vulnerabilità e la gestione delle crisi di sicurezza informatica.

Fasi di attuazione

Entro 31 marzo 2025, la ACN pubblicherà l’elenco dei soggetti obbligati a conformarsi alla normativa NIS. Inoltre, entro sei mesi dall’entrata in vigore del D.Lgs NIS2, saranno definiti i criteri di monitoraggio, vigilanza e le modalità di collaborazione tra le autorità. Un percorso graduale è previsto per consentire alle imprese di adeguarsi, con strumenti di collaborazione e notifiche tra soggetti.

Ambito e registrazione per la normativa NIS2: come e quando registrarsi

Dal 1° dicembre 2024 al 28 febbraio 2025, tutti i soggetti pubblici e privati che rientrano nell’applicazione della normativa NIS2 dovranno registrarsi presso l’Autorità nazionale competente NIS e la registrazione sarà possibile attraverso una piattaforma digitale fornita dall’Agenzia per la Cybersicurezza Nazionale (ACN), che fungerà da punto di riferimento per monitorare l’implementazione degli obblighi di sicurezza.

La registrazione è obbligatoria per consentire all’ACN di censire i soggetti operanti nei settori essenziali e critici, come stabilito dalla normativa. L’articolo 7 del decreto NIS fornisce le linee guida per questa procedura, che sarà ulteriormente dettagliata in un provvedimento attuativo. I soggetti critici che non si registrano entro i termini stabiliti potrebbero incorrere in una sanzione amministrativa, pari al 0.1% del fatturato annuo su scala mondiale.

Dopo la fase di registrazione, nell’aprile 2025, i soggetti riceveranno una conferma ufficiale della loro inclusione nell’elenco NIS.

Obblighi per i soggetti NIS: registrazione e attuazione delle misure di sicurezza

Dal 1° dicembre 2024 al 28 febbraio 2025, i soggetti pubblici e privati che rientrano nell’ambito della normativa NIS2 sono tenuti a registrarsi presso l’Agenzia per la Cybersicurezza Nazionale (ACN). Questo è solo il primo passo di un percorso che prevede l’implementazione graduale di obblighi di sicurezza informatica e notifiche di incidenti.

Gli obblighi principali, come stabilito dal decreto legislativo, includono la notifica di eventuali incidenti e l’adozione di misure di sicurezza adeguate. Le notifiche di incidente devono essere implementate entro 9 mesi dall’inclusione nell’elenco dei soggetti NIS, mentre le misure di sicurezza dovranno essere operative entro 18 mesi. Questo periodo di attuazione graduale è pensato per permettere alle organizzazioni di adattarsi in modo sostenibile alle nuove regole.

Inoltre, a partire dal 2026, le organizzazioni dovranno categorizzare i loro sistemi e servizi, valutando i diversi livelli di esposizione al rischio per adottare misure proporzionate.

La Polizia di Stato ha recentemente affrontato due casi di grande rilevanza, uno legato a una tentata truffa bancaria via smishing e l’altro a una serie di aggressioni neonaziste condotte da giovani nel milanese. Entrambi i casi mettono in evidenza la prontezza delle forze dell’ordine nel contrastare minacce che spaziano dal crimine finanziario all’odio razziale.

Terni: smishing bancario e truffa sventata

A Terni, i poliziotti della sezione operativa per la Sicurezza cibernetica della Polizia postale sono intervenuti rapidamente per sventare una truffa a danno di una professionista sessantenne. La donna era stata vittima di smishing, una truffa telefonica in cui aveva ricevuto falsi SMS dalla propria banca, seguiti da una telefonata di un finto operatore bancario. Ingannata dalla professionalità e dal tono rassicurante del truffatore, la vittima ha fornito i codici di accesso del proprio conto corrente. I truffatori sono così riusciti a sottrarre circa 5.000 euro.

Grazie alla prontezza della denuncia e alle capacità investigative degli agenti, è stato possibile bloccare l’operazione e recuperare l’intera somma sottratta. La Polizia raccomanda massima attenzione a SMS e chiamate sospette e di verificare sempre con la propria banca l’autenticità delle operazioni richieste, contattando le forze dell’ordine in caso di dubbi.

Milano: arresti per incitamento all’odio razziale e violenza neonazista

Parallelamente, a Milano, la Digos ha concluso un’indagine che ha portato alla denuncia di 12 giovani, di cui 10 minorenni, accusati di incitamento all’odio razziale e violenza di matrice nazi-fascista. L’indagine è partita dall’arresto di un giovane di origini ucraine, colpevole di aggressioni su cittadini stranieri e furti. Il giovane, noto per esaltare il regime fascista e ostentare simboli nazisti, era il leader di un gruppo di ragazzi che promuovevano atti violenti attraverso chat di messaggistica.

Durante le perquisizioni nelle case dei denunciati, la polizia ha sequestrato armi improprie come coltelli e manganelli, oltre a materiale di propaganda neonazista. Le perquisizioni sono state eseguite in collaborazione con le Digos di varie città italiane, tra cui Roma, Firenze e Venezia, e con il supporto della Direzione centrale della Polizia di Prevenzione.

Gli ultimi avvisi di sicurezza rilasciati da Cisco rivelano diverse vulnerabilità nei prodotti di rete come gli adattatori telefonici Cisco ATA 190 e il software di gestione Cisco UCS Central, utilizzati da numerose organizzazioni per gestire infrastrutture critiche. Queste vulnerabilità potrebbero consentire a un attaccante remoto non autenticato di accedere, modificare configurazioni e persino eseguire codice malevolo su dispositivi vulnerabili.

Cisco ATA 190: vulnerabilità multiple nel firmware

Sono state scoperte diverse vulnerabilità nel firmware degli adattatori analogici Cisco ATA 190, ognuna delle quali potrebbe essere sfruttata in modo indipendente. Le vulnerabilità principali includono:

1. CVE-2024-20458: Mancanza di autenticazione su specifici endpoint HTTP, che consente a un attaccante di accedere e modificare configurazioni del dispositivo.
2. CVE-2024-20421: Cross-site request forgery (CSRF), che potrebbe permettere a un attaccante remoto di eseguire azioni arbitrarie.
3. CVE-2024-20459: Comando iniezione nel firmware, che permette a un attaccante autenticato di eseguire comandi come root sull’OS del dispositivo.
4. CVE-2024-20460: Vulnerabilità di cross-site scripting riflesso (XSS), sfruttabile da un attaccante per eseguire codice arbitrario nel contesto del browser dell’utente.
5. CVE-2024-20463: Possibilità di attacchi denial of service (DoS) tramite modifiche al dispositivo che causano riavvii non autorizzati.

Cisco ha rilasciato aggiornamenti firmware per risolvere tutte queste vulnerabilità. Gli utenti sono incoraggiati a effettuare subito l’upgrade ai firmware più recenti per mitigare i rischi.

Cisco UCS Central: vulnerabilità di disclosure delle informazioni

Un’altra vulnerabilità significativa riguarda il software Cisco UCS Central, utilizzato per la gestione delle infrastrutture centralizzate. La falla di sicurezza consente la disclosure di informazioni sensibili, come backup di configurazioni critiche, esponendo dati riservati a un attaccante. Gli aggiornamenti per questa vulnerabilità sono stati rilasciati, e si consiglia di migrare a versioni aggiornate del software per evitare rischi.

Raccomandazioni e aggiornamenti di sicurezza

Cisco ha rilasciato aggiornamenti per risolvere tutte le vulnerabilità ATA e UCS identificate. Gli amministratori di sistema devono applicare gli aggiornamenti critici il prima possibile, verificando che i dispositivi e i sistemi siano compatibili con le nuove versioni firmware e software. Cisco raccomanda inoltre di monitorare costantemente le configurazioni di sicurezza e implementare soluzioni di autenticazione multi-fattore (MFA) per prevenire attacchi.