Adeguamento al Decreto di recepimento della NIS 2: obblighi per le imprese e responsabilità sulla sicurezza cibernetica

17 Ottobre 2024
, ,

Il 1° ottobre 2024 è stato pubblicato in Gazzetta ufficiale il D.Lgs. 138/2024 (il “Decreto”), che ha recepito la Direttiva (UE) 2555/2022, nota come “NIS 2” (Network and Information Security). Quest’ultima, in vigore dal 17 gennaio 223 e destinata a sostituire la precedente Direttiva (UE) 1148/2016 (“NIS 1”) mira a rafforzare la sicurezza informatica, introducendo una strategia cyber comune per tutti gli Stati membri.

Il Decreto, applicabile a partire dal prossimo 18 ottobre, risulta essere sostanzialmente in linea con le disposizioni della NIS 2, pur introducendo alcune specificità che saranno qui di seguito esaminate.

Gli obiettivi del nuovo quadro normativo

La NIS 2 impone agli Stati membri l’adozione di strategie nazionali in materia di cybersicurezza. In Italia, ciò dovrà concretizzarsi nella creazione di una strategia nazionale di cybersicurezza, intesa come quadro coerente che stabilisce obiettivi strategici, priorità in materia di cybersicurezza e meccanismi di governance per il loro conseguimento. In tale contesto, un ruolo chiave è attribuito all’Agenzia per la cybersicurezza nazionale (“ACN”). Quest’ultima funge da Autorità nazionale competente NIS e punto di contatto unico NIS, nonché, insieme al Ministero della difesa, da Autorità nazionale di gestione delle crisi informatiche su larga scala.

Un aspetto di rilievo, previsto sia dalla NIS 2 che dal Decreto, riguarda la cooperazione e condivisione di informazioni tra Autorità nazionali e Istituzioni dell’Unione europea[1]. Tale cooperazione verrà garantita attraverso il rafforzamento della rete di CSIRT (National Computer Security Incident Response Teams) e l’istituzione dell’EU-CyCLONe (European cyber crisis liaison organisation network) per facilitare la gestione coordinata degli incidenti[2] di cybersecurity su larga scala.

Nello specifico, la rete di CSIRT è composta dagli CSIRT nazionali e ha il compito di garantire un’efficace cooperazione in materia di sicurezza informatica. La rete di CSIRT, tra gli altri, promuove lo scambio di informazioni sulle capacità operative, facilita la condivisione di tecnologie e best practices, e fornisce supporto nella gestione degli incidenti informatici.

L’EU-CyCLONe, composta da rappresentanti delle autorità di gestione delle crisi informatiche degli Stati membri (per l’Italia, l’ACN)[3], ha l’obiettivo di migliorare la preparazione e la gestione coordinata di incidenti e crisi di cybersicurezza su larga scala, sviluppando una consapevolezza situazionale condivisa, valutando l’impatto degli incidenti e proponendo misure di mitigazione. Inoltre, facilita il processo decisionale politico a livello europeo, garantendo lo scambio regolare di informazioni tra gli Stati membri e le Istituzioni dell’UE.

La NIS 2 prevede altresì obblighi di sicurezza e comunicazione rafforzati, con particolare attenzione alla gestione del rischio[4] e alla sicurezza nell’ambito della supply-chain e delle relazioni con i fornitori. In particolare, vengono introdotti meccanismi più stringenti per la segnalazione di incidenti e potenziate le misure di vigilanza da parte delle Autorità nazionali, mirando la NIS 2 ad armonizzare i regimi sanzionatori in tutti gli Stati membri.

Infine, la NIS 2 individua i principali soggetti responsabili della divulgazione coordinata delle vulnerabilità scoperte in tutta l’UE e crea una banca dati per le vulnerabilità pubblicamente note nei prodotti e nei servizi TIC[5], che sarà gestita e mantenuta dall’agenzia dell’UE per la sicurezza informatica (“ENISA”).

A livello nazionale, anche il Decreto promuove, nell’ambito della strategia nazionale di cybersicurezza, la divulgazione coordinata delle vulnerabilità attraverso il CSIRT Italia. Tuttavia, il Decreto specifica che tale divulgazione debba avvenire in linea ad una politica nazionale di divulgazione coordinata delle vulnerabilità adottata dall’ACN (art. 16, co. 4, del Decreto).

L’ambito soggettivo di applicazione

Rispetto alla NIS 1, la NIS 2 introduce una significativa revisione della classificazione dei soggetti a cui la stessa si applica, eliminando la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali. Al suo posto, viene introdotta la distinzione tra soggetti essenziali e soggetti importanti. I primi sono rappresentati da quei soggetti rientranti nell’Allegato 1, dai fornitori di reti pubbliche di comunicazione elettronica e di servizi di comunicazione elettronica accessibili al pubblico, che superano i massimali per le medie imprese, nonché, indipendentemente dalle loro dimensioni, dai soggetti definiti critici ai sensi della Direttiva (UE) 2557/20022, dai prestatori di servizi fiduciari qualificati e dai gestori di registri dei nomi di dominio di primo livello, dai prestatori di servizi dei nomi di dominio e dalle pubbliche amministrazioni centrali. I soggetti importanti, invece, vengono definiti per esclusione come quei soggetti non rientranti tra i soggetti essenziali.

Inoltre, il perimetro applicativo della NIS 2 risulta essere più ampio e si basa ora sull’applicazione congiunta di tre criteri:

1. il criterio dimensionale, in base al quale le società in perimetro NIS sono le medie imprese (meno di 250 dipendenti, fatturato annuo che non supera i 50 milioni di euro oppure totale di bilancio annuo che non supera i 43 milioni di euro) o quelle che superano tali soglie. Tuttavia, la NIS 2 si applica anche a determinati soggetti indipendentemente dalle loro dimensioni, tra cui:

    • soggetti critici ai sensi della Direttiva (UE) 2557/2022[6];
    • fornitori di reti pubbliche di comunicazioni elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
    • prestatori di servizi fiduciari;
    • gestori di registri dei nomi di dominio di primo livello, fornitori di servizi di sistema dei nomi di dominio e fornitori di servizi di registrazione dei nomi di dominio.

    La normativa si applica inoltre a soggetti pubblici e privati rientranti nei settori indicati negli Allegati I e II che, indipendentemente dalle loro dimensioni, soddisfano specifici requisiti previsti dalla NIS 2 (ad es., nel caso in cui il soggetto sia l’unico fornitore nazionale di un servizio che è essenziale per il mantenimento di attività sociali o economiche fondamentali);

    2. il criterio settoriale, in base al quale la NIS 2 si applica ai soggetti pubblici o privati operanti in settori altamente critici (Allegato I), come energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi TIC (business-to-business), oppure operanti in settori critici (Allegato II), come servizi postali e di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, fabbricazione di determinati beni (ad es., dispositivi medici, computer e prodotti di elettronica e ottica), fornitori di servizi digitali, ricerca, anch’essi sopra i limiti dimensionali delle piccole imprese;

    3. il criterio territoriale, in base al quale rientrano nell’ambito di applicazione della NIS 2 i soggetti pubblici o privati appartenenti alle tipologie di cui all’Allegato I o II qualificati come medie imprese o più e che prestano i loro servizi o svolgono le loro attività all’interno dell’Unione europea.

      Il Decreto, pur recependo tali disposizioni, amplia ulteriormente l’ambito di applicazione della NIS 2, prevedendo che:

      1. l’elenco delle p.a. soggette all’applicazione del Decreto[7] possa essere esteso sulla base del criterio di gradualità, dell’evoluzione del grado di esposizione al rischio della p.a., della probabilità che si verifichino incidenti e della loro gravità;
      2. siano inclusi, indipendentemente dalle loro dimensioni, i soggetti elencati nell’Allegato IV del Decreto, qualii fornitori di servizi di trasporto pubblico locale, gli istituti di istruzione che svolgono attività di ricerca, i soggetti che svolgono attività di ricerca e di interesse culturale, le società in house, le società partecipate e le società a controllo pubblico, come definite nel D.Lgs. 175/2016[8];
      3. imprese collegate a soggetti essenziali o importanti possano essere soggette al Decreto, a condizione che soddisfino almeno uno dei criteri[9] previsti dal Decreto (ad es., l’adozione di decisioni o l’esercizio di un’influenza dominante sulle decisioni in materia di cybersecurity) e indipendentemente dalle loro dimensioni.

      I principali obblighi introdotti dal Decreto

      Il Decreto introduce obblighi stringenti per i soggetti essenziali e importati, tra cui l’obbligo di registrazione sulla piattaforma digitale resa disponibile dall’ACN per l’identificazione e l’elencazione di tali soggetti di cui all’art. 7 (la “Piattaforma”). Inoltre, il Capo IV del Decreto – riprendendo quanto disposto dalla NIS 2 all’interno del Capo IV – disciplina in modo dettagliato gli obblighi in materia di gestione del rischio per la sicurezza informatica e la notifica di incidenti:

      • gestione del rischio (art. 24): i soggetti essenziali e importanti sono tenuti a adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi alla sicurezza dei loro sistemi informativi e di rete. Tali misure devono essere proporzionate alla natura dei rischi e basarsi su un approccioall-hazard”, ossia considerando ogni tipologia di minaccia ai sistemi informativi e di rete nonché al loro contesto fisico, come furti, incendi, inondazioni, interruzioni, anche parziali, delle telecomunicazioni e della corrente elettrica, e accessi non autorizzati.
        Le misure richieste comprendono politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete, gestione degli incidenti, continuità operativa, politiche e procedure relative all’uso della crittografia.
        Per promuovere l’attuazione efficace e armonizzata di tali misure, la NIS 2 incoraggia l’uso di norme e specifiche tecniche europee e internazionali per la sicurezza dei sistemi di rete. Il Decreto, pur ribadendo tali tematiche, aggiunge che l’ACN può redigere un elenco non vincolante delle categorie di tecnologie idonee ad assicurare l’attivazione delle misure di gestione dei rischi;
      • notifica di incidenti (art. 25): i soggetti essenziali e importanti sono inoltre tenuti a notificare gli incidenti al CSIRT Italia in conformità agli obblighi stabiliti dall’ACN. Quest’ultima stabilisce obblighi proporzionati, prendendo in considerazione variabili come la dimensione dei soggetti, il grado di esposizione ai rischi, le probabilità che si verifichino incidenti e la loro gravità, incluso il loro impatto sociale ed economico (art. 31 del Decreto). Ad esempio, le imprese che erogano solo servizi di registrazione dei nomi di dominio sono esentate dagli obblighi di cui all’art. 24, dovendo tuttavia garantire livelli adeguati di sicurezza informatica.

      L’Agenzia per la cybersicurezza nazionale e le sanzioni

      L’ACN riveste un ruolo centrale nell’attuazione e implementazione del Decreto. In particolare, l’ACN ha il compito di predisporre i provvedimenti necessari all’attuazione del Decreto, svolgere funzioni e attività di regolamentazione (anche adottando linee guida, raccomandazioni e orientamenti non vincolanti) e individuare i soggetti essenziali e importanti. A tal fine, essa dispone di ampi poteri di monitoraggio, vigilanza ed esecuzione (Capo V del Decreto).

      L’attività di monitoraggio dell’ACN si concretizza nell’analisi e nel supporto ai soggetti coinvolti, nella verifica del rispetto degli obblighi e nella valutazione degli effetti sulla sicurezza dei sistemi informativi e di rete. Questa attività può includere ispezioni, audit e la richiesta di rendicontazioni periodiche sullo stato di attuazione delle misure di sicurezza. Inoltre, l’ACN può emanare raccomandazioni e avvertimenti riguardo a possibili violazioni del Decreto (art. 35).

      In caso di violazione degli obblighi, l’ACN gode di poteri esecutivi per imporre misure correttive. Può intimare ai soggetti di adottare specifiche misure, come eseguire audit sulla sicurezza o cessare comportamenti che violano il Decreto (art. 37). Se tali misure non vengono rispettate, l’ACN può adottare sanzioni amministrative di natura interdittiva (ad esempio, la sospensione di certificati o autorizzazioni) o pecuniaria, che possono raggiungere fino a €10 milioni o al 2% del fatturato annuo globale del soggetto, se superiore[10] (art. 38).

      Le scadenze annuali e la fase di prima applicazione del Decreto

      Come anticipato, il Decreto introduce una serie di obblighi operativi per garantire la sicurezza informatica dei soggetti essenziali e importanti. Tuttavia, molti di questi obblighi richiedono ulteriori atti normativi per essere pienamente implementati. Questi saranno emanati entro 6 o 18 mesi dall’entrata in vigore del Decreto. Ad esempio, entro aprile 2025 saranno definiti i criteri e le procedure per lo svolgimento delle attività, l’esercizio dei poteri e l’adozione dei provvedimenti da parte dell’ACN, previsti dall’art. 34 del Decreto.

      Il Decreto stabilisce inoltre un cronoprogramma per l’attuazione dei vari obblighi. Alcune scadenze chiave includono:  

      • la registrazione o l’aggiornamento delle informazioni sulla Piattaforma: ogni anno, dal 1° gennaio al 28 febbraio, i soggetti privati e pubblici di cui all’art. 3 devono registrarsi (o aggiornare la propria registrazione) sulla Piattaforma fornendo le informazioni richieste dal Decreto (tra cui, ad esempio, la ragione sociale, l’indirizzo e i recapiti aggiornati);
      • la registrazione sulla Piattaforma di specifici soggetti operanti in settori altamente critici o critici: entro il 17 gennaio 2025, specifici fornitori di infrastrutture digitali (quali fornitori di servizi di sistema dei nomi di dominio; gestori di registri dei nomi di dominio di primo livello; fornitori di servizi di cloud computing; fornitori di servizi di data center; fornitori di reti di distribuzione dei contenuti) e di gestione dei servizi TIC – business-to-business (quali fornitori di servizi gestiti e fornitori di servizi di sicurezza gestiti), nonché i fornitori di servizi digitali (quali fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network; fornitori di servizi di registrazione dei nomi di dominio), devono registrarsi sulla Piattaforma;
      • la comunicazione delle informazioni sui servizi e attività svolte: dal 1° maggio al 30 giugno di ogni anno, a partire dalla ricezione della prima comunicazione dell’ACN di essere inseriti nell’elenco dei soggetti essenziali o importanti, tali soggetti devono comunicare le informazioni relative ai servizi e alle attività svolte, in modo da consentire alla loro caratterizzazione e relativa attribuzione di una categoria di rilevanza;
      • l’elenco dei soggetti essenziali e importanti: entro il 31 marzo 2025 (e per ogni anno successivo) l’ACN dovrà compilare l’elenco dei soggetti essenziali e importanti sulla base delle registrazioni ricevute sulla piattaforma;
      • la comunicazione delle informazioni richieste dal Decreto: dal 15 aprile al 31 maggio 2025 (e per ogni anno successivo) i soggetti che hanno ricevuto la comunicazione tramite la Piattaforma (di essere inseriti nell’elenco dei soggetti essenziali o importanti, o di permanere o essere espunti da tale elenco) dovranno fornire le informazioni richieste dal Decreto (tra cui, ad esempio, lo spazio di indirizzamento IP pubblico e i nomi di domino in uso o nella disponibilità del soggetto).

      Il Decreto stabilisce altresì i termini di applicazione degli obblighi di cui agli artt. 23 (organi di amministrazione e direttivi), 24 (obblighi in materia di misure di gestione dei rischi per la sicurezza informatica), 25 (obblighi in materia di notifica di incidente) e 29 (banca dei dati di registrazione dei nomi di dominio). Nello specifico, il Decreto prevede che fino al 31 dicembre 2025:

      • il termine per l’adempimento degli obblighi in materia di notifica degli incidenti è fissato in 9 mesi dalla ricezione della comunicazione di iscrizione o permanenza nell’elenco dei soggetti essenziali o importanti;
      • il termine per l’adempimento degli obblighi relativi agli organi di amministrazione e direttivi, in materia di misure di gestione dei rischi per la sicurezza informatica e per la realizzazione della banca dati di registrazione dei nomi di dominio, è fissato in 18 mesi dalla ricezione della comunicazione citata.

      Ma cosa comporta tutto ciò per le aziende?

      Per adeguarsi alle disposizioni del Decreto, le aziende sono chiamate innanzitutto a svolgere un’attività di autovalutazione, volta a verificare se la propria struttura rientri nell’ambito di applicazione del Decreto. In caso di esito positivo, come anche in caso di dubbio, sarà necessario procedere con la registrazione sulla Piattaforma. L’ACN notificherà l’inclusione o meno tra i soggetti regolamentati dal Decreto.

      Una volta confermata l’applicabilità del Decreto, l’azienda dovrà predisporre l’implementazione delle misure di gestione del rischio di cui all’art. 24 del Decreto. Tali misure, che devono essere approvate dagli organi di amministrazione, richiedono l’adozione di strumenti adeguati per garantire la sicurezza dei sistemi informativi e di rete. A questo si aggiunge l’obbligo di assicurare un’adeguata formazione del personale, affinché le misure di sicurezza siano correttamente applicate e integrate nelle procedure aziendali.

      Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e importanti avranno inoltre un ruolo cruciale nella supervisione e approvazione delle politiche di sicurezza. In caso di mancato rispetto delle prescrizioni, questi soggetti potrebbero essere ritenuti direttamente responsabili, con la possibilità di incorrere in sanzioni amministrative, sia per l’impresa nel suo complesso che per le persone fisiche coinvolte (artt. 23 e 38, co. 5, del Decreto).

      Pertanto, onde evitare spiacevoli conseguenze, sia in termini economici che di reputazione, le aziende dovranno analizzare l’applicabilità del nuovo quadro normativo alla propria organizzazione, mappare il proprio livello di cybersicurezza e adottare tempestivamente le misure necessarie al fine di assicurare la necessaria compliance normativa.

      [1] A tal proposito, l’ACN è tenuta a collaborare, ad esempio, con il Garante per la protezione dei dati personali e, in qualità di autorità nazionale di gestione delle crisi informatiche, a partecipare all’EU-CyCLONe.

      [2] La NIS 2 e il Decreto definisco un “incidente” come un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete o accessibili attraverso di essi.

      [3] Nei casi in cui un (potenziale) incidente di sicurezza informatica su larga scala abbia o possa avere un impatto significativo sui servizi e sulle attività che rientrano nell’ambito di applicazione della NIS 2, fa parte dell’EU-CyCLONe anche la Commissione europea.

      [4] Nello specifico, la NIS 2 prevede un elenco minimo di elementi di sicurezza di base che devono essere applicati e introduce disposizioni più precise sul processo di segnalazione degli incidenti, sul contenuto delle relazioni e sulle scadenze.

      [5] Si tratta di un servizio consistente interamente o prevalentemente nella trasmissione, conservazione, recupero o elaborazione di informazioni per mezzo dei sistemi informativi e di rete.

      [6] La Direttiva (UE) 2557/2022, relativa alla resilienza dei soggetti critici, è stata recepita in Italia con il D.Lgs. 134/2024. Tali normative definiscono “soggetto critico” un soggetto pubblico o privato individuato, nell’ambito delle categorie di soggetti che operano nei settori o sottosettori di cui all’Allegato A (quali, energia; trasporti; settore bancario; infrastrutture dei mercati finanziari; salute; acqua potabile; acque reflue; infrastrutture digitali; enti della p.a.; produzione, trasformazione e distribuzione di alimenti; acque irrigue).

      [7] Occorre notare che il Decreto, a differenza della NIS 2 elenca in un apposito allegato le amministrazioni centrali, regionali e locali a cui lo stesso si applica (Allegato III del Decreto).

      [8] Si tratta del testo unico in materia di società a partecipazione pubblica.

      [9] Tali criteri sono elencati nell’art. 3, co. 10, del Decreto. Essi riguardano: (i) l’adozione di decisioni o l’esercizio di un’influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale; (ii) la detenzione o gestione di sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale; (iii) il compimento di operazioni di sicurezza informatica del soggetto importante o essenziale; (iv) la fornitura di servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale.

      [10] Le sanzioni del Decreto sono diverse in base alla tipologia di soggetto che commette l’infrazione e alla tipologia di violazione. Nello specifico, gli importi citati si riferiscono ai soggetti essenziali (escluse le p.a.) e alle violazioni di cui all’art. 38, co. 8, del Decreto, tra cui rientra, a mero titolo esemplificativo, la mancata osservanza degli obblighi relativi alla gestione del rischio per la sicurezza informatica e alla notifica di incidente, di cui agli artt. 24 e 25 del Decreto. Per i soggetti importanti, escluse le p.a., le sanzioni arrivano fino a un massimo di € 7.000.000,00 o dell’1,4% del totale del fatturato annuo su scala mondiale se superiore. Per le p.a. di cui all’Allegato III del Decreto e per i soggetti di cui all’Allegato IV, punto 1, partecipanti o sottoposti a controllo pubblico, e punto 4, che sono soggetti essenziali, sono previste sanzioni amministrative pecuniarie da € 25.000,00 a € 125.000,00. Laddove tali p.a. o soggetti siano soggetti importanti le sanzioni sono ridotte di un terzo.

      2024 - Morri Rossetti

      I contenuti pubblicati nel presente sito sono protetti da diritto di autore, in base alle disposizioni nazionali e delle convenzioni internazionali, e sono di titolarità esclusiva di Morri Rossetti e Associati.
      È vietato utilizzare qualsiasi tipo di tecnica di web scraping, estrazione di dati o qualsiasi altro mezzo automatizzato per raccogliere informazioni da questo sito senza il nostro esplicito consenso scritto.
      Ogni comunicazione e diffusione al pubblico e ogni riproduzione parziale o integrale, se non effettuata a scopo meramente personale, dei contenuti presenti nel sito richiede la preventiva autorizzazione di Morri Rossetti e Associati.

      cross