La Direttiva NIS 2 nell'ordinamento italiano: analisi e prospettive

***

Direttiva NIS 2: introduzione e quadro normativo

L'Italia ha recentemente recepito la Direttiva (UE) 2022/2555 (cd. NIS 2), con cui l’Unione Europea si pone l'obiettivo di rafforzare il suo livello di sicurezza informatica.

Dopo la proposta della Commissione Europea del 16 dicembre 2020, la Direttiva NIS 2 era stata definitivamente approvata il 14 dicembre 2022 per poi entrare in vigore il 16 gennaio 2023; il termine di recepimento per gli Stati Membri era stato fissato al 17 ottobre 2024.

L'Italia, dimostrando particolare attenzione alla materia, ha anticipato tale scadenza: lo schema di decreto era già stato approvato dal Consiglio dei Ministri il 25 luglio 2024, per poi giungere all'approvazione definitiva il 4 settembre 2024, dopo aver acquisito i necessari pareri della Conferenza Stato-Regioni, del Garante Privacy e delle competenti Commissioni parlamentari. Giunto infine in Gazzetta Ufficiale il 1° ottobre 2024, il Decreto Legislativo n.138/2024 ha dato attuazione alla normativa unionale, segnando un importante passo avanti nel rafforzamento della sicurezza delle reti e dei sistemi informativi nazionali.

La normativa europea e quella nazionale di recepimento sono volte a migliorare la resilienza informatica delle infrastrutture critiche e a garantire un elevato livello di protezione per i servizi essenziali.

Ambito di applicazione e novità

Il D.Lgs. 138/2024, all’articolo 3, amplia significativamente il perimetro dei soggetti destinatari rispetto alla precedente normativa.

Possono essere ricondotti all’area di applicazione del decreto:

• gli operatori di servizi essenziali, in settori come energia, trasporti, sanità e finanza;
• i fornitori di servizi digitali, come i cloud provider e i motori di ricerca;
• le imprese che operano in settori critici per la sicurezza e la continuità dei servizi.

Una novità significativa riguarda l'inclusione delle pubbliche amministrazioni e l'estensione a nuovi settori, tra cui spazio e produzione farmaceutica.

Il decreto introduce inoltre criteri dimensionali specifici, prevedendo tuttavia deroghe per enti considerati critici indipendentemente dalle loro dimensioni.

Obblighi e adempimenti

Il decreto prevede un articolato sistema di obblighi sia di carattere preventivo sia in relazione a casi di incidenti.

In particolare, sono in primo luogo previste quelle che sono chiamate misure di sicurezza.

Consistono in misure tecniche e organizzative adeguate ai rischi, quali: risk assesment condotti in modo continuativo e sistematico; politiche di sicurezza delle informazioni; procedure di gestione delle crisi; piani di continuità operativa.

Inoltre, sono previsti obblighi di notifica in caso di incidenti significativi.

In particolare, devono essere effettuati:

1. una notifica iniziale entro ventiquattr’ore dalla conoscenza dell'incidente;
2. un aggiornamento intermedio entro settantadue ore;
3. una relazione finale entro un mese.

L'Agenzia per la Cybersicurezza Nazionale (ACN) è designata come punto di contatto unico per queste comunicazioni.

Regime sanzionatorio

Il Capo V del decreto prevede un’articolata disciplina di vigilanza e introduce un rigoroso apparato sanzionatorio:

• Sanzioni amministrative pecuniarie fino al 2% del fatturato mondiale per le violazioni più gravi;
• Responsabilità degli organi di gestione, con possibili profili civilistici e, in casi specifici, penalistici.

Coordinamento con altre normative

Un aspetto cruciale del decreto riguarda il suo coordinamento con altre normative rilevanti.

In primo luogo, l'articolo 33 del D.Lgs. 138/2024 stabilisce un meccanismo di raccordo con il D.L. 105/2019 sul Perimetro di Sicurezza Nazionale Cibernetica.

Per i soggetti sottoposti a entrambe le normative, si applica il principio di assorbimento, per cui prevalgono gli obblighi più stringenti. Quindi, se un'organizzazione è soggetta a entrambe le normative, deve conformarsi a tutte le prescrizioni, ma dovrà seguire le misure più severe per garantire un livello di protezione adeguato. Per esempio, un operatore di servizi essenziali che gestisce anche una infrastruttura critica potrebbe trovarsi a dover rispettare sia gli obblighi di sicurezza del D.Lgs. 138/2024 sia quelli del D.L. 105/2019. In questo caso, se una specifica misura di sicurezza richiesta dal D.L. 105/2019 è più rigorosa rispetto a quella richiesta dal D.Lgs. 138/2024, l'ente dovrà attuare la misura più severa prevista dal D.L. 105/2019.

Inoltre, il decreto prevede forme di raccordo con la disciplina GDPR e privacy, in particolare:

• coordinando gli obblighi di notifica degli incidenti con quelli relativi ai data breach;
• armonizzando le misure di sicurezza richieste dalle due normative.

Azioni raccomandate e prospettive

Per adeguarsi efficacemente alla nuova normativa, si raccomanda alle organizzazioni di:

1. Condurre una gap analysis approfondita;
2. Aggiornare politiche e procedure di sicurezza;
3. Implementare un sistema di governance della cybersecurity;
4. Predisporre piani di formazione specifici.

È previsto un periodo transitorio di 6 mesi per l'adeguamento, ma la complessità degli adempimenti suggerisce di avviare quanto prima le attività necessarie.

Conclusioni

Il recepimento della Direttiva NIS 2 rappresenta un significativo passo avanti per la cybersicurezza nazionale. La sfida ora è quella dell'implementazione efficace, che richiederà un impegno significativo da parte di tutti i soggetti coinvolti. L'ACN avrà un ruolo cruciale nel fornire linee guida e supporto, mentre si attendono ulteriori provvedimenti attuativi per chiarire alcuni aspetti operativi della normativa.

In un contesto di minacce informatiche in continua evoluzione, questa riforma fornisce un framework robusto per migliorare la resilienza del sistema-Paese, pur comportando sfide significative in termini di adeguamento e costi di compliance.