Il Decreto NIS 2 è un testo complesso, che pone in capo agli operatori numerosi adempimenti e scadenze, di cui abbiamo già trattato in un precedente contributo. L’obiettivo di questo articolo è offrire un approfondimento ragionato sulle principali definizioni utilizzate nel lessico della cyber security, con riferimento a una serie di normative fondamentali che regolano la sicurezza informatica in Italia e nell’Unione Europea. Tra queste, oltre al D. Lgs. 138/2024 (di seguito, Decreto NIS 2) anche la Direttiva NIS 2, il Regolamento (UE) 2019/881 sulla certificazione di sicurezza informatica e la normativa italiana sul Perimetro di Sicurezza Nazionale Cibernetica.

Le definizioni proposte in questo glossario non sono versioni ufficiali, ma rappresentano un’interpretazione ragionata delle disposizioni legislative per facilitare la comprensione di concetti fondamentali, quali catena di approvvigionamento, gestione del rischio, misure di sicurezza e altri termini rilevanti in materia di cyber security. Queste nozioni, ricavati dalle diverse normative, sono rielaborate in modo da offrire una visione sintetica e chiara, tuttavia, la loro consultazione non può sostituire la lettura integrale delle norme o il parere di un esperto legale.

Glossario delle definizioni del Decreto NIS 2 e della Cyber Security

Nel glossario sono illustrate le principali definizioni rilevanti nel quadro regolamentare della cyber security: dal Decreto NIS 2 alle altre normative di riferimento. Le terminologie qui riportate rappresentano concetti chiave nell’ambito della sicurezza informatica, volti a descrivere le misure, i soggetti e i processi che contribuiscono alla protezione e alla gestione della resilienza delle reti e dei sistemi informativi, con l’obiettivo di agevolare la delicata attività di compliance normativa. Il glossario non ha pretese di esaustività, e non include alcuni importanti normative settoriali (es. la Legge 90/2024, e altre discipline di settore).

***

Agenzia per la cybersicurezza nazionale:  è l’Agenzia designata per la cybersicurezza nazionale, responsabile della sicurezza informatica dello Stato italiano, con funzioni di coordinamento e supervisione in materia di cybersicurezza, come stabilito all’articolo 5, comma 1, del decreto-legge 14 giugno 2021, n. 82.

Analisi del rischio: definita, per l’applicazione della normativa sul Perimetro di Sicurezza Nazionale Cibernetica, nel DPCM 30 luglio 2020, n. 131 e nel D.P.R. 5 febbraio 2021, n. 54, è il processo che consente di identificare i fattori di rischio di un incidente, valutandone la probabilità e l’impatto sulla continuità, sicurezza ed efficacia di una funzione essenziale o di un servizio, per implementare le misure di sicurezza appropriate.

Approccio multi-rischio: secondo il Decreto NIS 2, è l’approccio alla gestione dei rischi che considera minacce di varia natura ai sistemi informativi e di rete, nonché il contesto fisico, incluse minacce come furti, incendi e accessi non autorizzati, noto come all-hazards approach.

Architettura e componentistica: nel DPCM 30 luglio 2020, n. 131, per l’applicazione della normativa sul Perimetro di Sicurezza Nazionale Cibernetica,  si intende l’insieme delle architetture e dei componenti usati nei sistemi di rete, dati e software, inclusi i flussi informativi necessari per l’espletamento dei servizi informatici.

Audit: secondo il Decreto NIS 2, è un’attività sistematica e indipendente di verifica in loco o a distanza per vagliare la conformità degli obblighi, svolta da un organismo indipendente qualificato o dall’Autorità nazionale competente NIS.

Autorità di settore NIS: in base al Decreto NIS 2, sono le Amministrazioni designate quali autorità competenti in settori specifici di cybersicurezza, responsabili per l’attuazione delle misure di sicurezza e per la vigilanza sui soggetti rientranti nei settori essenziali.

Autorità nazionale competente NIS: come stabilito nel Decreto NIS 2, è l’Agenzia per la cybersicurezza nazionale, designata come autorità di riferimento per la cybersicurezza nell’ambito del territorio nazionale, con compiti di coordinamento e supervisione.

Autorità nazionali di gestione delle crisi informatiche: definite dal Decreto NIS 2, sono le autorità responsabili per la gestione delle crisi di cybersicurezza, con il ruolo di coordinamento assegnato all’Agenzia per la cybersicurezza nazionale per la resilienza nazionale e al Ministero della difesa per la difesa dello Stato.

Bene ICT: secondo il DPCM 30 luglio 2020, n. 131, per l’applicazione della normativa sul Perimetro di Sicurezza Nazionale Cibernetica, rappresenta un insieme unitario di reti, sistemi informativi e servizi informatici o parti di essi, destinati all’espletamento di funzioni essenziali dello Stato o all’erogazione di servizi essenziali.

Catena di approvvigionamento (supply chain): processo che permette di portare sul mercato un prodotto o servizio, trasferendolo dal fornitore al cliente. Per i soggetti NIS, come previsto dal Decreto NIS 2, rappresenta il ciclo di acquisizione di beni e servizi critici necessari al funzionamento dei sistemi informativi e di rete, la cui sicurezza è rilevante per prevenire minacce che potrebbero compromettere la continuità dei servizi erogati.

Centrali di committenza: nel D.P.R. 5 febbraio 2021, n. 54, sono enti come Consip S.p.A. e altri soggetti designati che supportano la realizzazione di strumenti di approvvigionamento per la pubblica amministrazione.

Centro di Valutazione e Certificazione Nazionale (CVCN): istituito Decreto-legge 21 settembre 2019, n. 105 e disciplinato dalla normativa di settore, è il responsabile della valutazione e certificazione della sicurezza di beni, sistemi e servizi ICT destinati alle infrastrutture critiche e ai soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica,

Certificazione della cybersicurezza: secondo il Regolamento (UE) 2019/881, è il processo che attesta la conformità dei prodotti, servizi o processi TIC a specifici requisiti di sicurezza, stabiliti a livello europeo o nazionale.

CISR (Comitato interministeriale per la sicurezza della Repubblica): secondo il DPCM 30 luglio 2020, n. 131 e il DPCM 14 aprile 2021, n. 81, è l’organo istituito per la sicurezza della Repubblica, con funzioni di indirizzo e coordinamento in materia di sicurezza nazionale, istituito ai sensi dell’articolo 5 della legge 3 agosto 2007, n. 124.

CISR tecnico: definito nel DPCM 30 luglio 2020, n. 131 e nel DPCM 14 aprile 2021, n. 81, è l’organismo di supporto tecnico al CISR, responsabile per l’assistenza nelle decisioni e valutazioni di sicurezza tecnica nazionale.

Cloud computing: in base al Decreto NIS 2, è un servizio digitale che consente l’amministrazione su richiesta di un pool scalabile di risorse di calcolo condivisibili e accessibili da remoto, distribuite in più ubicazioni.

Compliance (conformità): indica l’adesione ai requisiti normativi, standard e regolamenti di sicurezza, inclusi, ad esempio, il Decreto NIS 2, la Direttiva NIS 2 e la normativa sul Perimetro di Sicurezza Nazionale Cibernetica . La compliance è, per taluni soggetti, obbligatoria per evitare sanzioni amministrative e garantire una gestione sicura dei sistemi informativi e di rete.

Compromissione: nel DPCM 30 luglio 2020, n. 131 e nel D.P.R. 5 febbraio 2021, n. 54, indica la perdita di sicurezza o di efficacia di una funzione o servizio essenziale dello Stato a causa di malfunzionamento, interruzione o uso improprio di reti, sistemi informativi e servizi informatici.

Computer Security Incident Response Team (CSIRT): come indicato nella Direttiva NIS 2 e nel Decreto NIS 2, è un gruppo nazionale o internazionale che risponde agli incidenti di sicurezza informatica, offrendo supporto tecnico e coordinamento per mitigare l’impatto degli attacchi.

Controllo degli accessi: insieme di misure e meccanismi che limitano l’accesso a sistemi, dati e risorse solo a utenti autorizzati, preservando così la riservatezza e integrità dei dati. Alcuni destinatari della disciplina sono tenuti a implementare controlli di accesso adeguati per proteggere i loro sistemi.

CSIRT Italia: in base al Decreto NIS 2, è il Gruppo nazionale di risposta agli incidenti di sicurezza informatica, operante all’interno dell’Agenzia per la cybersicurezza nazionale con il compito di monitorare e rispondere alle minacce informatiche.

CSIRT nazionali: definiti nella Direttiva NIS 2 e nel Decreto NIS 2, sono gruppi di risposta agli incidenti di sicurezza informatica istituiti a livello nazionale negli Stati membri, che collaborano e condividono informazioni per la gestione di crisi informatiche su vasta scala.

Cybersecurity (o cybersicurezza): in base alla Direttiva NIS 2 e al Decreto NIS 2, è l’insieme delle attività necessarie per proteggere le reti e i sistemi informativi, inclusi utenti e altre persone coinvolte, dalle minacce informatiche, garantendo disponibilità, integrità e riservatezza.

Danno: concetto utilizzato in varie normative per indicare l’impatto negativo causato da un evento o incidente, che può compromettere la funzionalità, la sicurezza o l’integrità di un sistema o di un servizio.

DIS (Dipartimento delle Informazioni per la Sicurezza): è il Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio dei Ministri, responsabile per la raccolta, gestione e coordinamento delle informazioni rilevanti per la sicurezza nazionale.

ENISA: è l’Agenzia dell’Unione europea per la sicurezza informatica, che supporta gli Stati membri e le istituzioni dell’UE nella prevenzione, gestione e risposta agli incidenti di cybersicurezza.

EU-CyCLONe: secondo il Decreto NIS 2, è la rete delle organizzazioni di collegamento per le crisi informatiche a livello europeo, istituita per coordinare e supportare la gestione delle crisi di cybersicurezza che coinvolgono più Stati membri.

Evidenze: definite nel D.P.R. 5 febbraio 2021, n. 54, sono documenti, registrazioni e altri elementi utili per dimostrare l’adempimento degli obblighi di sicurezza stabiliti dal decreto-legge in materia di cybersicurezza.

Fornitore: secondo il D.P.R. 5 febbraio 2021, n. 54, per l’applicazione della normativa sul Perimetro di Sicurezza Nazionale Cibernetica, è la persona fisica o giuridica che fornisce beni, sistemi o servizi ICT destinati alle reti, sistemi informativi e servizi informatici dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica.

Fornitore di servizi gestiti: in base alla Direttiva NIS 2 e al Decreto NIS 2, è un soggetto che offre servizi di installazione, gestione, funzionamento o manutenzione di prodotti, reti o sistemi informativi, tramite assistenza o amministrazione a distanza o in loco.

Fornitore di servizi di sicurezza gestiti: definito nel Decreto NIS 2, è un fornitore di servizi gestiti che supporta la gestione dei rischi di sicurezza informatica per conto dei propri clienti, garantendo misure di protezione adeguate.

Fornitore di servizi di sistema dei nomi di dominio: definito nel Decreto NIS 2, è un soggetto che offre servizi di risoluzione dei nomi di dominio, inclusi i servizi di risoluzione ricorsiva accessibili al pubblico e i servizi di risoluzione autorevoli per uso da parte di terzi, escludendo i server dei nomi radice.

Fornitore di servizi fiduciari: in base al Regolamento (UE) n. 910/2014, è una persona fisica o giuridica che offre uno o più servizi fiduciari, come la creazione, verifica e validazione di firme elettroniche e sigilli elettronici.

Fornitore di servizi fiduciari qualificato: secondo il Regolamento (UE) n. 910/2014, è un prestatore di servizi fiduciari che soddisfa i requisiti stabiliti dal regolamento stesso, qualificato per operare con elevati standard di sicurezza e affidabilità.

Gestione degli incidenti: definita nella Direttiva NIS 2 e nel Decreto NIS 2, si riferisce alle azioni e procedure messe in atto per prevenire, rilevare, analizzare, contenere e rispondere a un incidente, e per recuperare l’operatività dopo l’evento.

Gestione del rischio: processo che comprende l’identificazione, valutazione e mitigazione dei rischi legati alla cybersicurezza. La gestione del rischio mira a ridurre le probabilità di incidenti significativi e a contenere gli impatti di eventuali compromissioni.

Gestore di registro dei nomi di dominio di primo livello: definito nel Decreto NIS 2, è il soggetto responsabile della gestione e amministrazione di un dominio di primo livello (TLD), comprese le operazioni tecniche come la registrazione dei nomi di dominio e la gestione dei server dei nomi.

Gruppo di cooperazione NIS: secondo la Direttiva NIS 2 e il Decreto NIS 2, è un gruppo istituito a livello europeo per agevolare la cooperazione strategica tra gli Stati membri in materia di cybersicurezza e per supportare la condivisione di informazioni.

Incidente: in base alla Direttiva NIS 2 e al Decreto NIS 2, è un evento che compromette la disponibilità, autenticità, integrità o riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete o accessibili attraverso di essi.

Incidente di sicurezza informatica su vasta scala: definito nel Decreto NIS 2, è un incidente che genera un livello di perturbazione tale da superare la capacità di risposta di uno Stato membro o da avere un impatto significativo su almeno due Stati membri.

Incidente significativo: come indicato nell’art. 25, comma 4 del Decreto NIS 2 e nella Direttiva NIS 2, è un incidente che: a) ha causato o potrebbe causare una grave perturbazione operativa dei servizi o rilevanti perdite finanziarie per il soggetto interessato; b) ha avuto o potrebbe avere ripercussioni su altre persone fisiche o giuridiche, con conseguenti perdite materiali o immateriali considerevoli.

Indicatori di compromissione (IOC): come indicato nel DPCM 14 aprile 2021, n. 81, sono indicatori tecnici utilizzati per rilevare una minaccia o compromissione nota, solitamente riconducibili a indirizzi IP, software o altri elementi utilizzati da attori malevoli.

Internet Exchange Point (IXP): secondo la Direttiva NIS 2 e il Decreto NIS 2, è un’infrastruttura di rete che consente l’interconnessione di reti indipendenti, facilitando lo scambio di traffico Internet senza alterare o interferire con i dati scambiati.

Laboratorio accreditato di prova (LAP): come definito nel D.P.R. 5 febbraio 2021, n. 54, è un laboratorio indipendente dai soggetti inclusi nel Perimetro di Sicurezza, accreditato dal Centro di Valutazione e Certificazione Nazionale per effettuare verifiche tecniche.

Mercato online: secondo la Direttiva NIS 2 e il Decreto NIS 2, è una piattaforma digitale che permette ai consumatori di concludere contratti a distanza con altri professionisti o consumatori, solitamente tramite un sito web o un’applicazione.

Minaccia informatica: definita nel Regolamento (UE) 2019/881 e nel Decreto NIS 2, è qualsiasi circostanza, evento o azione che possa danneggiare, perturbare o avere un impatto negativo sui sistemi informativi e di rete o sugli utenti di tali sistemi.

Minaccia informatica significativa: in base al Decreto NIS 2, è una minaccia informatica con caratteristiche tali da poter causare un grave impatto sui sistemi informativi e di rete di un soggetto, con conseguenti perdite materiali o immateriali considerevoli.

Misure di sicurezza: le azioni, procedure e tecnologie per proteggere i sistemi informativi e di rete. Queste misure mirano a prevenire e gestire eventi che possano compromettere la riservatezza, integrità, disponibilità e autenticità dei dati e dei servizi offerti, e per assicurarne la continuità operativa.

Motore di ricerca online: secondo la Direttiva NIS 2 e il Regolamento (UE) 2019/1150, è un servizio digitale che consente agli utenti di effettuare ricerche su siti web tramite parole chiave, frasi o altri input, restituendo risultati in vari formati relativi ai contenuti richiesti.

Notifica di incidente: obbligo per i soggetti destinatari della disciplina di segnalare prontamente gli incidenti significativi alle autorità competenti, come stabilito – ad esempio – dall’art. 25 del Decreto NIS 2. La notifica deve avvenire entro i termini specificati per consentire una risposta tempestiva e coordinata a livello nazionale e, se necessario, europeo.

Nucleo per la cybersicurezza: definito nel Decreto NIS 2, è l’organo operativo, istituito per coordinare la gestione delle crisi informatiche a livello nazionale, istituito all’interno dell’Agenzia per la cybersicurezza nazionale come stabilito dal decreto-legge 14 giugno 2021, n. 82.

Operatore di servizi essenziali: come indicato nella Direttiva NIS 1, è un soggetto che fornisce servizi essenziali per la società e l’economia, e che opera in uno dei settori indicati dalla Direttiva stessa e dai suoi allegati.

Organismo di informazione per la sicurezza: secondo il DPCM 30 luglio 2020, n. 131, include il Dipartimento delle informazioni per la sicurezza (DIS) e le agenzie di intelligence italiane, responsabili per la sicurezza nazionale.

Organismo di ricerca: definito nel Decreto NIS 2, è un ente che si occupa principalmente di ricerca applicata e sviluppo sperimentale per scopi commerciali, ma non comprende gli istituti di istruzione.

Perimetro di Sicurezza Nazionale Cibernetica: istituito dal Decreto-legge 21 settembre 2019, n. 105, rappresenta l’insieme di misure e soggetti critici per la sicurezza nazionale cibernetica, volti a prevenire e mitigare i rischi per la sicurezza informatica nazionale.

Piattaforma di servizi di social network: come indicato nella Direttiva NIS 2 e nel Decreto NIS 2, è una piattaforma che consente agli utenti di comunicare, condividere e interagire tra loro, tipicamente attraverso post, video, chat e altre modalità.

Piattaforma digitale per la registrazione dei soggetti NIS: prevista dall’art. 7 del Decreto NIS 2, è una piattaforma digitale per la registrazione dei soggetti NIS.

Processo TIC: secondo il Regolamento (UE) 2019/881 e il Decreto NIS 2, è l’insieme di attività per progettare, sviluppare, fornire o mantenere un prodotto o servizio TIC.

Prodotto TIC: definito nel Regolamento (UE) 2019/881 e nel Decreto NIS 2, è un elemento o un gruppo di elementi di un sistema informativo o di rete, utilizzato per la trasmissione, conservazione o elaborazione di informazioni.

Punto di contatto unico NIS: secondo il Decreto NIS 2, è l’Agenzia per la cybersicurezza nazionale, designata come punto di contatto per la cooperazione e il coordinamento con gli altri Stati membri e le istituzioni dell’UE nell’ambito della direttiva NIS.

Quasi-incidente: definito nella Direttiva NIS 2 e nel Decreto NIS 2, è un evento, anche detto near-miss, che avrebbe potuto configurare un incidente informatico ma che è stato evitato o non si è verificato.

Registro dei nomi TLD: in base al Decreto NIS 2, è il gestore responsabile di un dominio di primo livello (Top-Level Domain – TLD), incaricato di amministrare e mantenere il funzionamento tecnico e la registrazione dei nomi di dominio sotto tale TLD.

Resilienza: capacità di un sistema informativo o di rete di mantenere il funzionamento o di recuperare rapidamente operatività dopo un incidente.

Rete di distribuzione dei contenuti (CDN): secondo il Decreto NIS 2, è una rete di server distribuiti geograficamente, progettata per garantire un’elevata disponibilità e accessibilità, oltre a una rapida distribuzione di contenuti e servizi digitali agli utenti di internet per conto di fornitori di contenuti e servizi.

Rete pubblica di comunicazione elettronica: come definito nella Direttiva (UE) 2018/1972, è una rete di comunicazione utilizzata per fornire servizi accessibili al pubblico e supporta il trasferimento di informazioni tra punti terminali di rete.

Rete e sistema informativo: secondo la Direttiva NIS 2 e il Decreto NIS 2, è costituito da una rete di comunicazione elettronica e da dispositivi interconnessi o collegati, che includono il trattamento e la protezione dei dati digitali per il loro funzionamento e manutenzione.

Rete di CSIRT nazionali: definita nella Direttiva NIS 2 e nel Decreto NIS 2, è una rete europea di gruppi di risposta agli incidenti di sicurezza informatica (CSIRT), che collabora per migliorare la resilienza e coordinare la gestione delle crisi di cybersicurezza a livello UE.

Riservatezza, Integrità e Disponibilità (RID): secondo le normative di cybersicurezza, sono i principi fondamentali che garantiscono la protezione dei dati e dei sistemi informativi, assicurando che i dati siano accessibili solo agli autorizzati (riservatezza), non alterati (integrità) e sempre disponibili (disponibilità).

Rischio: in base alla Direttiva NIS 2 e al Decreto NIS 2, è la combinazione della probabilità che un incidente si verifichi e della gravità del danno o della perturbazione che ne deriverebbe per i sistemi informativi o i servizi.

Sanzioni amministrative: conseguenze economiche previste per i soggetti che non rispettano gli obblighi di cybersicurezza e di notifica, come stabilito dalle principali normative di settore. Le sanzioni sono applicate dall’autorità competente secondo una procedura disciplinata dalla legge e dalla norme secondarie.

Servizio fiduciario: definito nel Regolamento (UE) n. 910/2014, è un servizio che riguarda la creazione, verifica e convalida di firme elettroniche, sigilli elettronici, validazioni temporali, certificati e altri elementi di fiducia per le transazioni digitali.

Servizio fiduciario qualificato: secondo il Regolamento (UE) n. 910/2014, è un servizio fiduciario che soddisfa i requisiti stabiliti nel regolamento e che offre elevate garanzie di sicurezza, certificato come “qualificato” dall’organismo di vigilanza.

Servizio di cloud computing: in base alla Direttiva NIS 2 e al Decreto NIS 2, è un servizio digitale che permette la gestione su richiesta di un pool scalabile di risorse di calcolo condivisibili e accessibili da remoto, anche se distribuite in varie ubicazioni.

Servizio di comunicazione elettronica: secondo la Direttiva (UE) 2018/1972 e il Decreto NIS 2, è un servizio che consiste nella trasmissione di segnali elettronici per facilitare la comunicazione tra utenti tramite reti pubbliche di comunicazione elettronica.

Servizio di data center: come indicato nella Direttiva NIS 2 e nel Decreto NIS 2, è un servizio che comprende strutture dedicate all’hosting centralizzato, interconnessione e funzionamento di apparecchiature informatiche e di rete, fornendo servizi di conservazione, elaborazione e trasporto di dati.

Servizio digitale: definito nella Direttiva (UE) 2015/1535, è un servizio della società dell’informazione, generalmente fornito a pagamento, erogato a distanza e su richiesta individuale tramite mezzi elettronici.

Servizio informatico: secondo il DPCM 30 luglio 2020, n. 131 e il D.P.R. 5 febbraio 2021, n. 54, è un servizio che consiste nel trattamento di informazioni tramite rete e sistemi informativi, incluso il cloud computing.

Servizio TIC: come definito nel Regolamento (UE) 2019/881 e nel Decreto NIS 2, è un servizio che consiste interamente o prevalentemente nella trasmissione, conservazione, recupero o elaborazione di informazioni per mezzo dei sistemi informativi e di rete.

Sicurezza dei sistemi informativi e di rete: secondo la Direttiva NIS 2 e il Decreto NIS 2, è la capacità dei sistemi informativi e di rete di resistere a eventi che potrebbero compromettere la disponibilità, autenticità, integrità o riservatezza dei dati o dei servizi offerti.

Sicurezza informatica: come definito nel Regolamento (UE) 2019/881 e nel Decreto NIS 2, è l’insieme delle attività necessarie per proteggere le reti, i sistemi informativi e i relativi utenti dalle minacce informatiche.

Singoli punti di malfunzionamento (Single Points of Failure): secondo il Decreto NIS 2, sono i componenti critici di un sistema informativo o di rete da cui dipende il funzionamento complessivo del sistema stesso e che, se compromessi, possono causare un’interruzione del servizio.

Sistema di gestione della sicurezza delle informazioni (SGSI): framework organizzativo, come lo standard ISO/IEC 27001, che guida la gestione e la protezione delle informazioni.

Sistema informativo e di rete: come indicato nel Decreto NIS 2, è costituito da una rete di comunicazione elettronica, dispositivi interconnessi o collegati che eseguono trattamenti automatici di dati digitali, e dai dati digitali conservati, elaborati, estratti o trasmessi per il funzionamento, uso, protezione e manutenzione del sistema stesso.

Soggetti essenziali: sono soggetti, pubblici o privati, che operano in settori ritenuti critici per il funzionamento della società e dell’economia, individuati secondo alcuni criteri e operanti nei settori di cui all’Allegato I del Decreto NIS 2.

Soggetti importanti: sono soggetti, pubblici o privati, che operano in settori ritenuti rilevanti per il funzionamento della società e dell’economia, individuati secondo alcuni criteri e operanti nei settori di cui all’Allegato II del Decreto NIS 2.

Soggetti inclusi nel perimetro: definiti nel DPCM 14 aprile 2021, n. 81, sono i soggetti designati dal decreto-legge per il perimetro di sicurezza nazionale cibernetica, individuati sulla base di criteri specifici stabiliti dalla regolazione settoriale.

Strategia nazionale di cybersicurezza: in base al Decreto NIS 2 e al Decreto Legge 82/2021, è il quadro coerente che stabilisce obiettivi strategici e priorità in materia di cybersicurezza, inclusa la governance per garantirne l’implementazione.

Tavolo interministeriale: secondo il DPCM 30 luglio 2020, n. 131, è il Tavolo interministeriale istituito per coordinare l’attuazione delle misure di cybersicurezza previste dal perimetro di sicurezza nazionale cibernetica.

Valutazione della conformità: definita nel Regolamento (CE) n. 765/2008 e richiamata in altri testi normativi, è il processo di verifica per determinare se un prodotto, servizio o sistema TIC soddisfa i requisiti di sicurezza e conformità previsti dal quadro normativo applicabile.

Verifica ispettiva: controllo formale delle misure di cybersicurezza adottate dai soggetti NIS, effettuato dalle autorità competenti per valutare la conformità agli obblighi di legge. Le verifiche ispettive mirano a garantire che i soggetti mantengano un livello adeguato di sicurezza per prevenire e gestire rischi informatici.

Vulnerabilità: in base alla Direttiva NIS 2 e al Decreto NIS 2, è un punto debole, una suscettibilità o un difetto di prodotti o servizi TIC che può essere sfruttato da una minaccia informatica per compromettere la sicurezza di sistemi informativi e di rete.

Conclusioni. Le nozioni della Cyber security nel Decreto NIS 2 e oltre

Il glossario delle definizioni essenziali fornite in questo articolo rappresenta un supporto alla comprensione delle nozioni fondamentali che governano la cyber security nell’ambito del Decreto NIS 2 e delle altri principali normative europee e italiane. La crescente complessità del panorama normativo impone agli operatori di familiarizzare con termini e obblighi sempre più dettagliati, indispensabili per garantire la protezione e la resilienza dei sistemi informativi.

Le disposizioni contenute nel Decreto NIS 2, nella Direttiva NIS 2 e nella normativa sul Perimetro di Sicurezza Nazionale Cibernetica rappresentano un solido corpus normativa, che i destinatari della disciplina devono ben conoscere e governare.

Il nostro Studio Legale, grazie all’esperienza maturata negli anni dall’Avv. Luca D’Agostino, offre assistenza legale qualificata e supporto strategico per garantire la compliance alle normative di cybersicurezza, affiancando le organizzazioni nella gestione dei rischi e nell’implementazione delle migliori pratiche in ambito di sicurezza informatica.