Cybersicurezza: pubblicato il decreto che recepisce la direttiva NIS 2

---

Condividi l'articolo:

---

Nella Gazzetta Ufficiale n. 230 del 1° ottobre 2024 è stato pubblicato il Decreto legislativo n. 138 del 4 settembre 2024 di recepimento della Direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione (cosiddetta direttiva NIS 2 sulla cibersicurezza).

Il testo era stato definitivamente approvato dal Consiglio dei ministri nella seduta del 7 agosto 2024.

La Direttiva NIS2

La Direttiva NIS2 è la normativa dell’Unione Europea in materia di cybersicurezza, adottata il 14 dicembre 2022. Essa aggiorna e uniforma il quadro normativo introdotto nel 2016.

Entrata in vigore nel 2023, prevede l’obbligo per gli Stati Membri di recepirla entro il 18 ottobre 2024.

In Italia è stata recepita, appunto, con il D.lgs. 4 settembre 2024, n. 138, noto come decreto NIS, che disciplina l’applicazione della normativa a livello nazionale.

I principali elementi della nuova normativa NIS

La nuova normativa NIS mira a rafforzare la sicurezza cibernetica armonizzando le norme tra gli Stati membri e innalzando gli standard rispetto alla disciplina precedente. L’ambito di applicazione si amplia a oltre 80 tipologie di soggetti, suddivisi in 18 settori, tra cui 11 altamente critici. Include l’intera infrastruttura ICT e distingue i soggetti in essenziali e importanti sulla base di criteri oggettivi, escludendo le micro e piccole imprese, salvo eccezioni.

Prevede obblighi di sicurezza avanzati, con misure in almeno 10 ambiti, un sistema di notifica più strutturato e un rafforzamento dei poteri ispettivi e sanzionatori, allineando le sanzioni al GDPR. Introduce, infine, nuovi strumenti come la divulgazione coordinata delle vulnerabilità (CVD) e un sistema di gestione delle crisi cibernetiche, incluso il network CyCLONe.

Recepimento direttiva NIS 2

Le principali innovazioni introdotte dal Decreto di recepimento riguardano il rafforzamento del controllo e della vigilanza in materia di cibersicurezza, con un ruolo potenziato per l'Agenzia per la cybersicurezza nazionale (ACN), nonché la previsione di sanzioni elevate in caso di inosservanza della normativa sulla cibersicurezza, con possibilità di disporre la misura dell'incapacità temporanea per i dirigenti.

Ruolo centrale dell'ACN

L'Agenzia per la cybersicurezza nazionale assume un ruolo chiave nella supervisione dell'attuazione della Nis2, con poteri di vigilanza e sanzionatori, pur rispettando le competenze delle altre autorità di settore.

Estensione dell'ambito di applicazione

Il decreto legislativo di recepimento amplia il campo di applicazione della normativa, includendo sia enti pubblici che privati di diversi settori strategici, con specifiche riguardo alle dimensioni delle imprese (oltre 50 dipendenti o un fatturato annuo superiore a 10 milioni di euro).

I settori coinvolti includono energia, trasporti, bancario, sanità, acqua potabile e acque reflue, infrastrutture digitali e altri settori critici e altamente critici.

Tra i principali obblighi imposti ai soggetti interessati si annoverano la registrazione e aggiornamento dati (art. 7), la responsabilità degli organi amministrativi (art. 23), l'adozione di misure di sicurezza informatica (art. 24) e la notifica degli incidenti (art. 25). Inoltre, per alcune categorie di soggetti, sono previsti obblighi relativi alla banca dati dei nomi di dominio (art. 29) e alla categorizzazione delle attività e dei servizi (art. 30).

Incidenti informatici, notifiche

Le modalità di notifica degli incidenti informatici significativi sono strutturate in due fasi:

• una notifica preliminare entro 24 ore;
• una notifica dettagliata entro 72 ore dall’evento.

Le amministrazioni centrali, regionali e locali, comprese le ASL e i comuni con più di 100 mila abitanti, sono coinvolti in prima linea nella risposta.

Distinzione tra soggetti essenziali e importanti

Viene mantenuta la distinzione della Nis2 tra soggetti "essenziali" e "importanti", con obblighi diversi a seconda della loro classificazione.

Il decreto impone a questi soggetti di implementare misure adeguate per la gestione dei rischi per la sicurezza informatica.

La continuità dei servizi viene garantita secondo un approccio "multi-rischio" che protegge sia i sistemi informativi che l'ambiente fisico.

Sanzioni severe

Le sanzioni previste per la mancata osservanza degli obblighi di sicurezza informatica sono elevate:

• per i soggetti essenziali, possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale;
• per i soggetti importanti, fino a 7 milioni di euro o all'1,4% del fatturato annuo globale.

Viene introdotta anche la possibilità di incapacità temporanea per dirigenti che non rispettano le normative.

Data breach: ne bis in idem per le sanzioni

Tra le altre previsioni, il Governo ha stabilito che, in caso di data breach, si applichino solo le sanzioni previste dalla normativa sulla privacy.

In questo modo viene evitato il meccanismo della doppia punizione (ne bis in idem).

Per data breach si intende una violazione dei dati, ovvero un incidente di sicurezza in cui informazioni riservate, protette o sensibili vengono accessibili, rubate o esposte senza autorizzazione.

Le imprese e le pubbliche amministrazioni, in ogni caso, devono conformarsi:

• sia alle misure di cibersicurezza;
• sia agli obblighi del GDPR.

E' previsto, a tal fine, un coordinamento tra le autorità competenti per garantire un'applicazione coerente e non sovrapposta delle sanzioni.