I nuovi obblighi in materia di cybersecurity della Direttiva NIS2

Avv. Lucio Di Biase
I nuovi obblighi in materia di cybersecurity della Direttiva NIS2

Immagine estratta da https://it.freepik.com/

Con il Decreto Legislativo 4 settembre 2024, n. 138, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024, l’Italia ha recepito la Direttiva UE 2022/2555, nota come NIS 2, in materia di cybersecurity.

Con la nuova normativa portata dal decreto, entrato in vigore il 16 ottobre 2024 (e che sostituisce, sostanzialmente, il vecchio D.lgs. 65-2018 che recepiva la precedente Direttiva NIS), l’Italia mira a rafforzare la sicurezza delle reti e dei sistemi informativi nel Paese, adeguandosi alle disposizioni europee in materia di sicurezza informatica, adottando misure concrete per la gestione delle crisi informatiche, la designazione di autorità competenti e la definizione di obblighi cybersecurity per soggetti pubblici e privati, al fine di migliorare la resilienza delle reti e dei sistemi informativi a livello nazionale ed europeo, sostanzialmente allineandosi agli standard europei.

Ambito di Applicazione

Il Decreto Legislativo 138/2024 amplia l’ambito di applicazione rispetto al D.lgs. 65-2018, includendo una gamma più vasta di soggetti sia pubblici che privati. Oltre alle amministrazioni pubbliche centrali e locali, sono coinvolte anche le società in house, le società partecipate e quelle a controllo pubblico.

La direttiva si applica principalmente a organizzazioni di medie e grandi dimensioni, con esclusione delle imprese con meno di 50 dipendenti o un fatturato annuo inferiore a 10 milioni di euro, a meno che non siano considerate di importanza critica (acque reflue, gestione dei servizi ICT B2B, nonché servizi postali, gestione dei rifiuti, chimica, alimentare, produzione di dispositivi medici, elettronica, apparecchiature elettriche, macchinari, autoveicoli, trasporti specializzati, fornitori di servizi digitali e organizzazioni di ricerca). Dunque, anche le piccole imprese potrebbero essere coinvolte se operano in settori critici o fanno parte della catena di approvvigionamento di soggetti essenziali.

Obblighi per i Soggetti Coinvolti

I soggetti sono distinti in “essenziali” e “importanti”, con obblighi proporzionali al livello di criticità. Essi sono tenuti ad adottare misure tecniche, operative e organizzative idonee a gestire i rischi legati alla sicurezza informatica (implementazione di politiche di gestione del rischio, notifica tempestiva di incidenti e la formazione specifica per il personale). Particolare attenzione è rivolta alla sicurezza della catena di approvvigionamento, richiedendo un approccio multi-rischio nella valutazione e gestione delle minacce.

In particolare, i destinatari degli obblighi previsti dalla Direttiva NIS2 devono:

  • adottare misure tecniche e organizzative adeguate a gestire i rischi di sicurezza informatica
  • implementare un approccio alla gestione dei rischi basato su un’analisi approfondita delle minacce informatiche e della vulnerabilità dei sistemi
  • disporre un piano di gestione degli incidenti informatici, che includa procedure per la rilevazione, la risposta e il recupero da un incidente
  • svolgere audit cybersecurity periodici per verificare l’adeguatezza delle misure di sicurezza adottate e garantire la conformità alla normativa
  • garantire una formazione cybersecurity continua per tutto personale dipendente ed i collaboratori al fine di prevenire e gestire eventuali incidenti di cybersicurezza
  • notificare tempestivamente gli incidenti di sicurezza informatica significativi all’Agenzia per la Cybersicurezza Nazionale (ACN).

La direttiva impone anche l’adozione di piani di Business Continuity per garantire la continuità operativa in caso di incidenti. È necessario mappare i processi critici, testare regolarmente i piani e valutare i rischi lungo la catena di fornitura.

Scadenze e Adempimenti

Il decreto stabilisce precise scadenze per l’adeguamento alle nuove disposizioni. A partire dal 1° gennaio 2025, i soggetti interessati devono registrarsi su una piattaforma digitale predisposta dall’Agenzia per la Cybersicurezza Nazionale (ACN), fornendo informazioni essenziali come ragione sociale, recapiti aggiornati e designazione di un punto di contatto. Per alcune categorie specifiche, come i fornitori di servizi di sistema dei nomi di dominio, cloud computing e data center, la registrazione deve avvenire entro il 17 gennaio 2025. Per gli altri soggetti, il termine è fissato al 28 febbraio 2025.

A partire dal 1° gennaio 2026 diviene obbligatoria la notifica degli incidenti ed entro il 1° ottobre 2026 dovrà completarsi l’implementazione delle misure di sicurezza.

Sanzioni

Le violazioni della NIS 2 possono portare a sanzioni severe:

  • fino a 10 milioni di euro o il 2% del fatturato annuo per i soggetti essenziali.
  • fino a 7 milioni di euro o l’1,4% del fatturato annuo per i soggetti importanti.
  • Sanzioni accessorie per i dirigenti, inclusa l’incapacità a svolgere funzioni dirigenziali.

Clausola di Salvaguardia

Il Decreto Legislativo 138/2024 introduce una clausola di salvaguardia, prevista dal DPCM n. 221/2024, che consente ad alcune imprese di derogare alla definizione di “impresa collegata” secondo la Raccomandazione 2003/361/CE. Questo meccanismo normativo mira a garantire un’applicazione proporzionata della normativa NIS, evitando che aziende formalmente collegate a grandi gruppi societari, ma operativamente indipendenti, siano soggette a obblighi più stringenti rispetto alla loro reale struttura.

Non tutti, evidentemente, possono derogare alla normativa, ma solo chi è in grado di dimostrare una totale indipendenza tanto dei sistemi informativi e di rete rispetto a quelli delle imprese collegate, quanto operativa nelle attività e nei servizi NIS2 (dunque non possono mai derogare i soggetti che rientrano espressamente tra gli “operatori essenziali o importanti nel contesto della sicurezza nazionale”, quali software house, fornitori di prodotti/servizi del settore ICT nei confronti di PA eccetera).

La clausola di salvaguardia, dunque, non può essere richiesta da tutte quelle imprese collegate ad un “soggetto essenziale o importante”, qualora:

  • adottino decisioni o esercitino una influenza dominante sulle decisioni circa le misure di sicurezza e gestione del rischio per la cyber security di un soggetto importante o essenziale;
  • detengano o gestiscano sistemi informativi e di rete dai quali dipende la fornitura dei servizi del soggetto importante o essenziale;
  • effettuino operazioni di cybersecurity del soggetto importante o essenziale nonché forniscano servizi TIC o di sicurezza, anche gestiti, al medesimo soggetto.

Il soggetto che rientri tra coloro che possono beneficiare della clausola dovrà farne richiesta attraverso la registrazione alla piattaforma digitale a cui seguirà, una volta completata, esplicito riconoscimento da parte di ACN se vengono riscontrati i presupposti (valutati caso per caso).

Con l’adozione del Decreto Legislativo 138/2024, l’Italia compie un passo significativo nel rafforzamento della propria sicurezza informatica, allineandosi alle direttive europee e potenziando la protezione delle infrastrutture critiche e dei servizi essenziali nel contesto digitale.

Articoli

Altri articoli

LUCIO DI BIASE

AVVOCATO

Mobile: (+39) 335 325 917

E-mail: info@studiolegaledibiase.it

Iscritto all’Ordine degli Avvocati di Lanciano, negli ultimi venti l’Avv. Lucio Di Biase anni ha aiutato privati, professionisti, imprese, cooperative ed enti pubblici a risolvere i loro problemi legali prestando attività di consulenza e assistenza nelle principali aree del diritto civile e nel relativo contenzioso su tutto il territorio nazionale.
Dal 17/02/2014 all’11/03/2021 è stato consulente e legale esterno dell’ Azienda Territoriale per l’Edilizia Residenziale (ATER) di Lanciano (CH) per il recupero dei crediti nei confronti degli assegnatari di alloggi di ERP a titolo di canoni di locazione degli immobili strumentali di proprietà dell’Ente e per il rilascio forzoso dei medesimi.

.

Post in primo piano

Categorie