Il 1° ottobre 2024 è stato pubblicato in Gazzetta ufficiale il D.Lgs. 138/2024 (il “Decreto”), che ha recepito la Direttiva (UE) 2555/2022, nota come “NIS 2” (Network and Information Security). Quest’ultima, in vigore dal 17 gennaio 2023 e destinata a sostituire la precedente Direttiva (UE) 1148/2016 (“NIS 1”) mira a rafforzare la sicurezza informatica, introducendo una strategia cyber comune per tutti gli Stati membri. Il Decreto, applicabile a partire dal prossimo 18 ottobre, risulta essere sostanzialmente in linea con le disposizioni della NIS 2, pur introducendo alcune specificità che saranno qui di seguito esaminate. Gli obiettivi del nuovo quadro normativo La NIS 2 impone agli Stati membri l’adozione di strategie nazionali in materia di cybersicurezza. In Italia, ciò dovrà concretizzarsi nella creazione di una strategia nazionale di cybersicurezza, intesa come quadro coerente che stabilisce obiettivi strategici, priorità in materia di cybersicurezza e meccanismi di governance per il loro conseguimento. In tale contesto, un ruolo chiave è attribuito all’Agenzia per la cybersicurezza nazionale (“ACN”). Quest’ultima funge da Autorità nazionale competente NIS e punto di contatto unico NIS, nonché, insieme al Ministero della difesa, da Autorità nazionale di gestione delle crisi informatiche su larga scala. Un aspetto di rilievo, previsto sia dalla NIS 2 che dal Decreto, riguarda la cooperazione e condivisione di informazioni tra Autorità nazionali e Istituzioni dell’Unione europea[1]. Tale cooperazione verrà garantita attraverso il rafforzamento della rete di CSIRT (National Computer Security Incident Response Teams) e l’istituzione dell’EU-CyCLONe (European cyber crisis liaison organisation network) per facilitare la gestione coordinata degli incidenti[2] di cybersecurity su larga scala. Nello specifico, la rete di CSIRT è composta dagli CSIRT nazionali e ha il compito di garantire un’efficace cooperazione in materia di sicurezza informatica. La rete di CSIRT, tra gli altri, promuove lo scambio di informazioni sulle capacità operative, facilita la condivisione di tecnologie e best practices, e fornisce supporto nella gestione degli incidenti informatici. L’EU-CyCLONe, composta da rappresentanti delle autorità di gestione delle crisi informatiche degli Stati membri (per l’Italia, l’ACN)[3], ha l’obiettivo di migliorare la preparazione e la gestione coordinata di incidenti e crisi di cybersicurezza su larga scala, sviluppando una consapevolezza situazionale condivisa, valutando l’impatto degli incidenti e proponendo misure di mitigazione. Inoltre, facilita il processo decisionale politico a livello europeo, garantendo lo scambio regolare di informazioni tra gli Stati membri e le Istituzioni dell’UE. La NIS 2 prevede altresì obblighi di sicurezza e comunicazione rafforzati, con particolare attenzione alla gestione del rischio[4] e alla sicurezza nell’ambito della supply-chain e delle relazioni con i fornitori. In particolare, vengono introdotti meccanismi più stringenti per la segnalazione di incidenti e potenziate le misure di vigilanza da parte delle Autorità nazionali, mirando la NIS 2 ad armonizzare i regimi sanzionatori in tutti gli Stati membri. Infine, la NIS 2 individua i principali soggetti responsabili della divulgazione coordinata delle vulnerabilità scoperte in tutta l’UE e crea una banca dati per le vulnerabilità pubblicamente note nei prodotti e nei servizi TIC[5], che sarà gestita e mantenuta dall’agenzia dell’UE per la sicurezza informatica (“ENISA”). A livello nazionale, anche il Decreto promuove, nell’ambito della strategia nazionale di cybersicurezza, la divulgazione coordinata delle vulnerabilità attraverso il CSIRT Italia. Tuttavia, il Decreto specifica che tale divulgazione debba avvenire in linea ad una politica nazionale di divulgazione coordinata delle vulnerabilità adottata dall’ACN (art. 16, co. 4, del Decreto). L’ambito soggettivo di applicazione Rispetto alla NIS 1, la NIS 2 introduce una significativa revisione della classificazione dei soggetti a cui la stessa si applica, eliminando la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali. Al suo posto, viene introdotta la distinzione tra soggetti essenziali e soggetti importanti. I primi sono rappresentati da quei soggetti rientranti nell’Allegato 1, dai fornitori di reti pubbliche di comunicazione elettronica e di servizi di comunicazione elettronica accessibili al pubblico, che superano i massimali per le medie imprese, nonché, indipendentemente dalle loro dimensioni, dai soggetti definiti critici ai sensi della Direttiva (UE) 2557/20022, dai prestatori di servizi fiduciari qualificati e dai gestori di registri dei nomi di dominio di primo livello, dai prestatori di servizi dei nomi di dominio e dalle pubbliche amministrazioni centrali. I soggetti importanti, invece, vengono definiti per esclusione come quei soggetti non rientranti tra i soggetti essenziali. Inoltre, il perimetro applicativo della NIS 2 risulta essere più ampio e si basa ora sull’applicazione congiunta di tre criteri: 1. il criterio dimensionale, in base al quale le società in perimetro NIS sono le medie imprese (meno di 250 dipendenti, fatturato annuo che non supera i 50 milioni di euro oppure totale di bilancio annuo che non supera i 43 milioni di euro) o quelle che superano tali soglie. Tuttavia, la NIS 2 si applica anche a determinati soggetti indipendentemente dalle loro dimensioni, tra cui: La normativa si applica inoltre a soggetti pubblici e privati rientranti nei settori indicati negli Allegati I e II che, indipendentemente dalle loro dimensioni, soddisfano specifici requisiti previsti dalla NIS 2 (ad es., nel caso in cui il soggetto sia l’unico fornitore nazionale di un servizio che è essenziale per il mantenimento di attività sociali o economiche fondamentali); 2. il criterio settoriale, in base al quale la NIS 2 si applica ai soggetti pubblici o privati operanti in settori altamente critici (Allegato I), come energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi TIC (business-to-business), oppure operanti in settori critici (Allegato II), come servizi postali e di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, fabbricazione di determinati beni (ad es., dispositivi medici, computer e prodotti di elettronica e ottica), fornitori di servizi digitali, ricerca, anch’essi sopra i limiti dimensionali delle piccole imprese; 3. il criterio territoriale, in base al quale rientrano nell’ambito di applicazione della NIS 2 i soggetti pubblici o privati appartenenti alle tipologie di cui all’Allegato I o II qualificati come medie imprese o più e che prestano i loro servizi o svolgono le loro attività all’interno dell’Unione europea. Il Decreto, pur recependo tali disposizioni, amplia ulteriormente l’ambito di applicazione della NIS 2, prevedendo che: I principali obblighi introdotti dal Decreto Il Decreto introduce obblighi stringenti per i soggetti essenziali e importati, tra cui l’obbligo di registrazione sulla piattaforma digitale resa disponibile dall’ACN per l’identificazione e l’elencazione di tali soggetti di cui all’art. 7 (la “Piattaforma”). Inoltre, il Capo IV del Decreto – riprendendo quanto disposto dalla NIS 2 all’interno del Capo IV – disciplina in modo dettagliato gli obblighi in materia di gestione del rischio per la sicurezza informatica e la notifica di incidenti: L’Agenzia per la cybersicurezza nazionale e le sanzioni L’ACN riveste un ruolo centrale nell’attuazione e implementazione del Decreto. In particolare, l’ACN ha il compito di predisporre i provvedimenti necessari all’attuazione del Decreto, svolgere funzioni e attività di regolamentazione (anche adottando linee guida, raccomandazioni e orientamenti non vincolanti) e individuare i soggetti essenziali e importanti. A tal fine, essa dispone di ampi poteri di monitoraggio, vigilanza ed esecuzione (Capo V del Decreto). L’attività di monitoraggio dell’ACN si concretizza nell’analisi e nel supporto ai soggetti coinvolti, nella verifica del rispetto degli obblighi e nella valutazione degli effetti sulla sicurezza dei sistemi informativi e di rete. Questa attività può includere ispezioni, audit e la richiesta di rendicontazioni periodiche sullo stato di attuazione delle misure di sicurezza. Inoltre, l’ACN può emanare raccomandazioni e avvertimenti riguardo a possibili violazioni del Decreto (art. 35). In caso di violazione degli obblighi, l’ACN gode di poteri esecutivi per imporre misure correttive. Può intimare ai soggetti di adottare specifiche misure, come eseguire audit sulla sicurezza o cessare comportamenti che violano il Decreto (art. 37). Se tali misure non vengono rispettate, l’ACN può adottare sanzioni amministrative di natura interdittiva (ad esempio, la sospensione di certificati o autorizzazioni) o pecuniaria, che possono raggiungere fino a €10 milioni o al 2% del fatturato annuo globale del soggetto, se superiore[10] (art. 38). Le scadenze annuali e la fase di prima applicazione del Decreto Come anticipato, il Decreto introduce una serie di obblighi operativi per garantire la sicurezza informatica dei soggetti essenziali e importanti. Tuttavia, molti di questi obblighi richiedono ulteriori atti normativi per essere pienamente implementati. Questi saranno emanati entro 6 o 18 mesi dall’entrata in vigore del Decreto. Ad esempio, entro aprile 2025 saranno definiti i criteri e le procedure per lo svolgimento delle attività, l’esercizio dei poteri e l’adozione dei provvedimenti da parte dell’ACN, previsti dall’art. 34 del Decreto. Il Decreto stabilisce inoltre un cronoprogramma per l’attuazione dei vari obblighi. Alcune scadenze chiave includono: Il Decreto stabilisce altresì i termini di applicazione degli obblighi di cui agli artt. 23 (organi di amministrazione e direttivi), 24 (obblighi in materia di misure di gestione dei rischi per la sicurezza informatica), 25 (obblighi in materia di notifica di incidente) e 29 (banca dei dati di registrazione dei nomi di dominio). Nello specifico, il Decreto prevede che fino al 31 dicembre 2025: Ma cosa comporta tutto ciò per le aziende? Per adeguarsi alle disposizioni del Decreto, le aziende sono chiamate innanzitutto a svolgere un’attività di autovalutazione, volta a verificare se la propria struttura rientri nell’ambito di applicazione del Decreto. In caso di esito positivo, come anche in caso di dubbio, sarà necessario procedere con la registrazione sulla Piattaforma. L’ACN notificherà l’inclusione o meno tra i soggetti regolamentati dal Decreto. Una volta confermata l’applicabilità del Decreto, l’azienda dovrà predisporre l’implementazione delle misure di gestione del rischio di cui all’art. 24 del Decreto. Tali misure, che devono essere approvate dagli organi di amministrazione, richiedono l’adozione di strumenti adeguati per garantire la sicurezza dei sistemi informativi e di rete. A questo si aggiunge l’obbligo di assicurare un’adeguata formazione del personale, affinché le misure di sicurezza siano correttamente applicate e integrate nelle procedure aziendali. Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e importanti avranno inoltre un ruolo cruciale nella supervisione e approvazione delle politiche di sicurezza. In caso di mancato rispetto delle prescrizioni, questi soggetti potrebbero essere ritenuti direttamente responsabili, con la possibilità di incorrere in sanzioni amministrative, sia per l’impresa nel suo complesso che per le persone fisiche coinvolte (artt. 23 e 38, co. 5, del Decreto). Pertanto, onde evitare spiacevoli conseguenze, sia in termini economici che di reputazione, le aziende dovranno analizzare l’applicabilità del nuovo quadro normativo alla propria organizzazione, mappare il proprio livello di cybersicurezza e adottare tempestivamente le misure necessarie al fine di assicurare la necessaria compliance normativa. [1] A tal proposito, l’ACN è tenuta a collaborare, ad esempio, con il Garante per la protezione dei dati personali e, in qualità di autorità nazionale di gestione delle crisi informatiche, a partecipare all’EU-CyCLONe. [2] La NIS 2 e il Decreto definisco un “incidente” come un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete o accessibili attraverso di essi. [3] Nei casi in cui un (potenziale) incidente di sicurezza informatica su larga scala abbia o possa avere un impatto significativo sui servizi e sulle attività che rientrano nell’ambito di applicazione della NIS 2, fa parte dell’EU-CyCLONe anche la Commissione europea. [4] Nello specifico, la NIS 2 prevede un elenco minimo di elementi di sicurezza di base che devono essere applicati e introduce disposizioni più precise sul processo di segnalazione degli incidenti, sul contenuto delle relazioni e sulle scadenze. [5] Si tratta di un servizio consistente interamente o prevalentemente nella trasmissione, conservazione, recupero o elaborazione di informazioni per mezzo dei sistemi informativi e di rete. [6] La Direttiva (UE) 2557/2022, relativa alla resilienza dei soggetti critici, è stata recepita in Italia con il D.Lgs. 134/2024. Tali normative definiscono “soggetto critico” un soggetto pubblico o privato individuato, nell’ambito delle categorie di soggetti che operano nei settori o sottosettori di cui all’Allegato A (quali, energia; trasporti; settore bancario; infrastrutture dei mercati finanziari; salute; acqua potabile; acque reflue; infrastrutture digitali; enti della p.a.; produzione, trasformazione e distribuzione di alimenti; acque irrigue). [7] Occorre notare che il Decreto, a differenza della NIS 2 elenca in un apposito allegato le amministrazioni centrali, regionali e locali a cui lo stesso si applica (Allegato III del Decreto). [8] Si tratta del testo unico in materia di società a partecipazione pubblica. [9] Tali criteri sono elencati nell’art. 3, co. 10, del Decreto. Essi riguardano: (i) l’adozione di decisioni o l’esercizio di un’influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale; (ii) la detenzione o gestione di sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale; (iii) il compimento di operazioni di sicurezza informatica del soggetto importante o essenziale; (iv) la fornitura di servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale. [10] Le sanzioni del Decreto sono diverse in base alla tipologia di soggetto che commette l’infrazione e alla tipologia di violazione. Nello specifico, gli importi citati si riferiscono ai soggetti essenziali (escluse le p.a.) e alle violazioni di cui all’art. 38, co. 8, del Decreto, tra cui rientra, a mero titolo esemplificativo, la mancata osservanza degli obblighi relativi alla gestione del rischio per la sicurezza informatica e alla notifica di incidente, di cui agli artt. 24 e 25 del Decreto. Per i soggetti importanti, escluse le p.a., le sanzioni arrivano fino a un massimo di € 7.000.000,00 o dell’1,4% del totale del fatturato annuo su scala mondiale se superiore. Per le p.a. di cui all’Allegato III del Decreto e per i soggetti di cui all’Allegato IV, punto 1, partecipanti o sottoposti a controllo pubblico, e punto 4, che sono soggetti essenziali, sono previste sanzioni amministrative pecuniarie da € 25.000,00 a € 125.000,00. Laddove tali p.a. o soggetti siano soggetti importanti le sanzioni sono ridotte di un terzo.
Le misure richieste comprendono politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete, gestione degli incidenti, continuità operativa, politiche e procedure relative all’uso della crittografia.
Per promuovere l’attuazione efficace e armonizzata di tali misure, la NIS 2 incoraggia l’uso di norme e specifiche tecniche europee e internazionali per la sicurezza dei sistemi di rete. Il Decreto, pur ribadendo tali tematiche, aggiunge che l’ACN può redigere un elenco non vincolante delle categorie di tecnologie idonee ad assicurare l’attivazione delle misure di gestione dei rischi;