IL RECEPIMENTO IN ITALIA DELLA DIRETTIVA NIS 2: OBBLIGHI E SCADENZE
Il 16 ottobre 2024 è entrato in vigore il Decreto Legislativo 4 settembre 2024, n. 138, che ha recepito in Italia la Direttiva (UE) 2022/2555 (c.d. Direttiva NIS 2), volta a garantire a livello europeo un livello comune elevato di cibersicurezza (“Network and Information Security”).
Di seguito è riportata una panoramica dei principali adempimenti per garantire la compliance a tale normativa, con le relative scadenze.
Ambito di applicazione
In ambito privato, il Decreto si applica a tutta una serie di soggetti, che siano medie o grandi imprese (cioè con almeno 50 dipendenti e un fatturato annuo e/o un totale di bilancio annuo superiore a 10.000.000 €) – o rispettino tutta una serie di requisiti ulteriori, indipendentemente dalle loro dimensioni – e che operino nei settori di cui agli Allegati I e II, classificati come “critici” o “altamente critici”.
La normativa pone poi una distinzione tra soggetti “essenziali” e “importanti”, la quale, come vedremo, assume rilevanza soprattutto in relazione all’ammontare delle sanzioni previste in caso di inosservanza delle disposizioni.
Registrazione e comunicazioni
Tutti i soggetti che rientrano nell’ambito di applicazione della normativa sono chiamati, a partire dal 1° gennaio 2025, a registrarsi tramite una apposita piattaforma, predisposta dall’Autorità competente NIS (ACN).
Pertanto, tutti coloro che ritengono di essere potenzialmente coinvolti, dovranno avviare sin da subito un assessment, volto a verificare se si rientri nel novero dei soggetti interessati e da concludersi, indicativamente, entro il 31 dicembre 2024.
La registrazione alla piattaforma dovrà avvenire entro il 28 febbraio 2025. Tuttavia, per alcuni soggetti il termine è anticipato al 17 gennaio 2025. Inoltre, dal 1° gennaio al 28 febbraio di ogni anno successivo, occorrerà verificare ed eventualmente aggiornare i propri dati.
Entro il 31 marzo 2025 ed entro il 31 marzo di ogni anno successivo, ACN redigerà poi un elenco dei soggetti essenziali e importanti e, successivamente (indicativamente tra il 31 marzo e il 15 aprile di ogni anno), comunicherà ai soggetti l’inserimento, la permanenza o l’espunzione dall’elenco.
Dal 15 aprile al 31 maggio 2025 e dal 15 aprile al 31 maggio di ogni anno successivo, i soggetti che hanno ricevuto la comunicazione di inserimento o permanenza nell’elenco dovranno fornire o aggiornare una serie di informazioni ulteriori, di cui ai commi 4 e 5 dell’art. 7 del Decreto.
Infine, dal 1° maggio 2026 al 30 giugno 2026 e dal 1° maggio al 30 giugno di ogni anno successivo, si dovrà fornire o aggiornare, sempre tramite la piattaforma, un elenco delle attività e dei servizi prestati.
Governance
Sotto il profilo della Governance, assumono un ruolo centrale l’organo di amministrazione e/o quello direttivo (come, ad esempio, il CdA), che sono tenuti a garantire il rispetto della normativa e sono chiamati a rispondere di eventuali violazioni.
Inoltre, sia i componenti di tali organi che tutti i dipendenti dovranno essere sottoposti ad una formazione periodica in materia di cybersicurezza.
L’adeguamento rispetto a queste previsioni dovrà avvenire entro 18 mesi dalla ricezione della comunicazione di inserimento o eliminazione dall’elenco e quindi, indicativamente e salvo eventuali ritardi da parte di ACN, entro il 30 settembre 2026.
Misure di gestione del rischio
Il Decreto detta poi una serie di misure di gestione del rischio, da adottarsi entro 18 mesi dalla ricezione della comunicazione di inserimento o eliminazione dall’elenco e quindi, indicativamente, entro il 30 settembre 2026.
Si tratta, in particolare, delle misure tecniche, operative e organizzative idonee a gestire i rischi di sicurezza dei sistemi informatici e di rete, nonché a prevenire o ridurre al minimo l’impatto di possibili incidenti.
Tali misure dovranno essere adeguate, proporzionate e basate su una valutazione multirischio, da svolgersi in un’ottica di tutela della collettività, considerando quindi anche l’impatto sociale ed economico di eventuali incidenti.
Tra i rischi da considerare vi sono anche quelli relativi alla sicurezza fisica e dell’ambiente dei sistemi informatici e di rete, dovendo quindi prevedersi misure volte a proteggere detti sistemi da guasti del sistema, errori umani, azioni malevole o fenomeni naturali.
A tal proposito, le certificazioni europee e internazionali, come quelle sul rispetto dello standard di sicurezza informatica di cui alla serie ISO/IEC 27000, seppur si tratti di un requisito obbligatorio, rappresentano un importante elemento di compliance rispetto ai principi dettati dalla normativa.
Inoltre, la sicurezza informatica deve essere garantita lungo tutta la propria catena di approvvigionamento.
Pertanto, la valutazione del rischio dovrà riguardare anche tutti i fornitori (primi tra tutti quelli relativi a servizi e prodotti ICT) i cui eventuali problemi di sicurezza potrebbero ripercuotersi sui sistemi aziendali interni.
Segnalazione degli incidenti
Il Decreto individua poi i criteri per valutare se un incidente di sicurezza sia da considerarsi significativo.
Se soddisfatti, occorrerà rispettare tutta una serie di obblighi e scadenze per la segnalazione dell’incidente alle Autorità competenti, nell’ottica di una massima collaborazione.
Tali obblighi decorreranno a partire dai 9 mesi successivi alla comunicazione nell’inserimento nell’elenco e, quindi, indicativamente, dal 31 dicembre 2025.
Sanzioni
Per il mancato rispetto delle disposizioni relative a:
- obblighi in materia di Governance
- misure di gestione del rischio
- obblighi di segnalazione e di gestione degli incidenti
- inottemperanza alle indicazioni di ACN
potrà applicarsi una sanzione del valore massimo:
- per i soggetti essenziali: di 10.000.000 € o, se superiore, pari al 2% del fatturato mondiale annuo
- per i soggetti importanti: di 7.000.000 € o, se superiore, pari all’1,4% del fatturato mondiale annuo.
Invece, in caso di violazione degli obblighi in materia di:
- registrazione o aggiornamento alla piattaforma
- cooperazione con le competenti Autorità
- attuazione di schemi di certificazione
- altre previsioni settoriali
si potrà essere passibili di sanzioni del valore massimo:
- per soggetti essenziali, fino allo 0,1% del fatturato mondiale annuo;
- per i soggetti importanti, fino allo 0,07% del fatturato mondiale annuo.
Inoltre, nei casi più gravi, oltre alla sanzione pecuniaria potranno prevedersi anche di misure di vigilanza o di esecuzione, mentre per la reiterazione della medesima violazione la sanzione è aumentata fino al doppio. In caso di reiterazione della violazione di diverse previsioni, invece, si applicherà la sanzione più elevata, aumentata fino al triplo.
Piattaforma
Infine, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha recentemente reso disponibile la piattaforma sopra menzionata (https://www.acn.gov.it/portale/nis), tramite la quale è possibile:
- avere una panoramica sulla disciplina dettata dalla Direttiva NIS 2 e dal Decreto di recepimento (https://www.acn.gov.it/portale/nis/la-normativa), nonché sugli obblighi gravanti sui soggetti coinvolti, con l’indicazione della relativa timeline (https://www.acn.gov.it/portale/nis/obblighi);
- approfondire l’ambito di applicazione della normativa (https://www.acn.gov.it/portale/nis/ambito), con la precisazione dei soggetti che rientrano nelle seguenti sottocategorie:
a. settori critici, altamente critici e altri soggetti;b. soggetti essenziali e importanti; - registrarsi alla piattaforma (https://www.acn.gov.it/portale/nis/registrazione), accedendo con lo SPID o con username e password.
Sul punto, è anche presente un video tutorial sulle modalità di registrazione (https://www.youtube.com/watch?v=mKjvdyNbI4s); - consultare le FAQ (https://www.acn.gov.it/portale/faq/nis).
***
Il Dipartimento Data Protection dello Studio continuerà a monitorare l’applicazione del Decreto e le informazioni e linee guida di ACN.
Vi invitiamo a seguire il nostro blog per aggiornamenti.