Cybersecurity - decreto di recepimento della Direttiva NIS2
Decorre dal: 18 ottobre 2024
Le nuove disposizioni, oltre ad essere applicabili ai settori originariamente previsti (energia, telecomunicazioni, trasporti, bancario e dei mercati finanziari, sanitario) interessano anche alcuni comparti manifatturieri.
Sulla G.U. del 1° ottobre 2024 è stato pubblicato il D.Lgs. n. 138/2024, che recepisce la Direttiva (UE) 2022/2555, recante misure per un livello comune elevato di cybersicurezza nell’Unione europea (c.d. "Direttiva NIS2"). Il Decreto ha inserito nel campo di applicazione anche ulteriori soggetti attivi in settori definiti “ad alta criticità”, ovvero quelli delle acque reflue, della gestione dei servizi ICT (business-to-business), della pubblica amministrazione e dello spazio.
Inoltre, ha previsto anche la tipologia dei c.d. “altri settori critici”, includendovi:
- i servizi postali e di corriere;
- la gestione dei rifiuti;
- la fabbricazione, la produzione e la distribuzione di sostanze chimiche;
- la produzione, la trasformazione e la distribuzione di alimenti;
- la fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro;
- la fabbricazione di computer e prodotti di elettronica e ottica;
- la fabbricazione di apparecchiature elettriche;
la fabbricazione di macchinari e apparecchiature n.c.a.; - la fabbricazione di autoveicoli, rimorchi e semirimorchi;
- la fabbricazione di altri specifici mezzi di trasporto;
- i fornitori di servizi digitali;
- le organizzazioni di ricerca.
Il Decreto NIS 2 stabilisce alcuni criteri uniformi per permettere una più coerente e organica identificazione degli operatori pubblici e privati da includere in due nuove categorie di attori: quella dei “soggetti essenziali” e quella dei “soggetti importanti”.
In particolare, il legislatore ha optato, anzitutto, per l’utilizzo del criterio della dimensione del soggetto da ritenere come essenziale o importante, affermando che essa si applica a tutti quei soggetti pubblici o privati ricompresi nelle tipologie denominate “alta criticità” o “altri settori critici” che:
- prestino i loro servizi o svolgano le loro attività all’interno dell’Unione;
- siano considerati medie imprese o che superino i massimali per le medie imprese.
Inoltre, al di là delle dimensioni, vengono comunque assoggettate alla Decreto NIS2 anche ulteriori particolari tipologie di soggetti, quali ad esempio i fornitori di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico, coloro che forniscono servizi di registrazione dei nomi di dominio, taluni enti della pubblica amministrazione, nonché i soggetti definiti c.d. “critici” dalla Direttiva (UE) 2022/2557.
Il Decreto mira ad imporre ai soggetti essenziali e importanti l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e delle reti che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi .
Il Decreto prevede, inoltre, che nell’analisi della adeguatezza delle misure di sicurezza si debba tener conto anche delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi.
Un altro adempimento cardinale all’interno dell’impianto regolatorio del Decreto è quello legato all’obbligo di segnalazione degli incidenti. E' previsto che i soggetti interessati da qualsivoglia “incidente significativo” siano assoggettati ad un iter di notifica alle autorità competenti organizzato in più fasi, il quale prevede la trasmissione di:
- un preallarme entro il termine di 24 ore dalla conoscenza dell’incidente;
- una notifica entro il termine di 72 ore dalla conoscenza dell’incidente, che aggiorni, se necessario, le informazioni del preallarme;
- una relazione finale entro un mese dalla trasmissione della notifica, il cui contenuto minimo è dettagliato dal legislatore.
In ultimo, particolare importanza assumono anche le misure di vigilanza e di esecuzione, alle quali saranno sottoposti, in misura differente, i soggetti essenziali e importanti. Esse includeranno audit regolari e mirati sulla sicurezza, scansioni di sicurezza, ovvero ispezioni in loco, vigilanza e richieste di informazioni (solo ex post, in caso di soggetti importanti).
Le sanzioni per la violazione delle misure di gestione dei rischi di cybersecurity o degli obblighi di segnalazione potranno arrivare a un massimo di almeno 10 milioni di euro (ridotti a 7, in caso di soggetti importanti) o a un massimo di almeno il 2 % (ridotto all’1,4%, in caso di soggetti importanti) del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto appartiene, se superiore.
Se un incidente informatico comporta anche una violazione di dati personali ai sensi del GDPR (Reg. 2016/679), le sanzioni amministrative previste dalla Direttiva non sono applicabili in quanto prevalgono quelle previste dal GDPR. Tuttavia è importante precisare che il Decreto NIS2 trova applicazione anche in caso di incidenti che non hanno comportato una violazione dei dati personali.
Al fine di rendere operativi molti degli obblighi che avranno un impatto diretto sulle aziende e sulle pubbliche amministrazioni – come quello di notifica degli incidenti o di implementazione delle misure di sicurezza – il Decreto NIS 2 richiede l’emanazione di ulteriori e successivi atti normativi.
Le scadenze possono essere riassunte così:
- entro il 31 dicembre 2024, aziende e pubbliche amministrazioni dovranno svolgere un assessment per comprendere se siano o meno soggette agli obblighi della Direttiva NIS 2, seguendo il dettato degli artt. 6 e 7, degli Allegati I, II, III e IV, nonché di ogni altro atto che verrà emanato;
- tra il 1° gennaio e il 28 febbraio 2025, i soggetti privati e pubblici – che a seguito dell’assessment ritengano di rientrare nell’ambito di applicazione del decreto – dovranno registrarsi sulla piattaforma digitale resa disponibile da ACN fornendo le informazioni richieste dalla normativa.
- entro il 17 gennaio 2025, dovranno registrarsi sulla piattaforma i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network;
- entro il 31 marzo 2025, l’ACN redigerà l’elenco dei soggetti essenziali e dei soggetti importanti sulla base delle registrazioni ricevute attraverso la piattaforma;
- tra il 1° aprile 2025 e il 15 aprile 2025, attraverso la piattaforma, l’ACN comunicherà ai soggetti registrati l’inserimento nell’elenco dei soggetti essenziali o importanti;
- entro il 15 aprile 2025, i soggetti che avranno ricevuto la comunicazione dovranno nominare con un apposito atto un soggetto che abbia la responsabilità dell’adempimento degli obblighi del decreto;
- tra il 15 aprile e il 31 maggio 2025, i soggetti che avranno ricevuto la comunicazione attraverso la piattaforma dovranno fornire le ulteriori informazioni richieste dalla normativa.
- entro il primo gennaio 2026, i soggetti a cui si applica la NIS2 devono adeguarsi all’articolo 25 relativo alla notifica degli incidenti;
- entro il primo gennaio 2026, i soggetti a cui si applica la NIS2 devono adeguarsi all’art. 30 e quindi aggiornare ogni anno le informazioni richieste dalla piattaforma ACN con l’elenco di attività e servizi e la descrizione delle loro caratteristiche;
- entro ottobre 2026, i soggetti a cui si applica la NIS2 devono adeguarsi agli articoli 23 (sugli obblighi degli organi di amministrazione e direttivi), 24 (gestione dei rischi e implementazione delle misure di sicurezza) e 29 (relativo alla banca dati dei nomi a dominio).
Allegati
Documenti correlati
Riferimenti
ANDREA BEGAL - a.begal@confindustriatoscananord.it - tel. 0574455202DANIELE CHERSI - d.chersi@confindustriatoscananord.it - tel. 0583444217
VALENTINA NICCOLAI - v.niccolai@confindustriatoscananord.it - tel. 0573991729