Cybersicurezza: pubblicato il decreto che recepisce la direttiva NIS 2

---

Condividi l'articolo:

---

Nella Gazzetta Ufficiale n. 230 del 1° ottobre 2024 è stato pubblicato il Decreto legislativo n. 138 del 4 settembre 2024 di recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione (cosiddetta direttiva NIS 2 sulla cibersicurezza).

Il testo era stato definitivamente approvato dal Consiglio dei ministri nella seduta del 7 agosto 2024.

Recepimento direttiva NIS 2

Le principali innovazioni introdotte dal decreto riguardano il rafforzamento del controllo e della vigilanza in materia di cibersicurezza, con un ruolo potenziato per l'Agenzia per la cybersicurezza nazionale (ACN), nonché la previsione di sanzioni elevate in caso di inosservanza della normativa sulla cibersicurezza, con possibilità di disporre la misura dell'incapacità temporanea per i dirigenti.

Ruolo centrale dell'ACN

L'Agenzia per la cybersicurezza nazionale assume un ruolo chiave nella supervisione dell'attuazione della Nis2, con poteri di vigilanza e sanzionatori, pur rispettando le competenze delle altre autorità di settore.

Estensione dell'ambito di applicazione

Il decreto legislativo di recepimento amplia il campo di applicazione della normativa, includendo sia enti pubblici che privati di diversi settori strategici, con specifiche riguardo alle dimensioni delle imprese (oltre 50 dipendenti o un fatturato annuo superiore a 10 milioni di euro).

I settori coinvolti includono energia, trasporti, bancario, sanità, acqua potabile e acque reflue, infrastrutture digitali e altri settori critici e altamente critici.

Incidenti informatici, notifiche

Le modalità di notifica degli incidenti informatici significativi sono strutturate in due fasi:

• una notifica preliminare entro 24 ore;
• una notifica dettagliata entro 72 ore dall’evento.

Le amministrazioni centrali, regionali e locali, comprese le ASL e i comuni con più di 100 mila abitanti, sono coinvolti in prima linea nella risposta.

Distinzione tra soggetti essenziali e importanti

Viene mantenuta la distinzione della Nis2 tra soggetti "essenziali" e "importanti", con obblighi diversi a seconda della loro classificazione.

Il decreto impone a questi soggetti di implementare misure adeguate per la gestione dei rischi per la sicurezza informatica.

La continuità dei servizi viene garantita secondo un approccio "multi-rischio" che protegge sia i sistemi informativi che l'ambiente fisico.

Sanzioni severe

Le sanzioni previste per la mancata osservanza degli obblighi di sicurezza informatica sono elevate:

• per i soggetti essenziali, possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale;
• per i soggetti importanti, fino a 7 milioni di euro o all'1,4% del fatturato annuo globale.

Viene introdotta anche la possibilità di incapacità temporanea per dirigenti che non rispettano le normative.

Data breach: ne bis in idem per le sanzioni

Tra le altre previsioni, il Governo ha stabilito che, in caso di data breach, si applichino solo le sanzioni previste dalla normativa sulla privacy.

In questo modo viene evitato il meccanismo della doppia punizione (ne bis in idem).

Per data breach si intende una violazione dei dati, ovvero un incidente di sicurezza in cui informazioni riservate, protette o sensibili vengono accessibili, rubate o esposte senza autorizzazione.

Le imprese e le pubbliche amministrazioni, in ogni caso, devono conformarsi:

• sia alle misure di cibersicurezza;
• sia agli obblighi del GDPR.

E' previsto, a tal fine, un coordinamento tra le autorità competenti per garantire un'applicazione coerente e non sovrapposta delle sanzioni.

Il provvedimento era stato approvato in esame preliminare nella seduta del Governo del 10 giugno 2024.