Nella Gazzetta Ufficiale n. 230 del 1° ottobre 2024 è stato pubblicato il Decreto legislativo n. 138 del 4 settembre 2024 di recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione (cosiddetta direttiva NIS 2 sulla cibersicurezza).
Il testo era stato definitivamente approvato dal Consiglio dei ministri nella seduta del 7 agosto 2024.
Le principali innovazioni introdotte dal decreto riguardano il rafforzamento del controllo e della vigilanza in materia di cibersicurezza, con un ruolo potenziato per l'Agenzia per la cybersicurezza nazionale (ACN), nonché la previsione di sanzioni elevate in caso di inosservanza della normativa sulla cibersicurezza, con possibilità di disporre la misura dell'incapacità temporanea per i dirigenti.
L'Agenzia per la cybersicurezza nazionale assume un ruolo chiave nella supervisione dell'attuazione della Nis2, con poteri di vigilanza e sanzionatori, pur rispettando le competenze delle altre autorità di settore.
Il decreto legislativo di recepimento amplia il campo di applicazione della normativa, includendo sia enti pubblici che privati di diversi settori strategici, con specifiche riguardo alle dimensioni delle imprese (oltre 50 dipendenti o un fatturato annuo superiore a 10 milioni di euro).
I settori coinvolti includono energia, trasporti, bancario, sanità, acqua potabile e acque reflue, infrastrutture digitali e altri settori critici e altamente critici.
Le modalità di notifica degli incidenti informatici significativi sono strutturate in due fasi:
Le amministrazioni centrali, regionali e locali, comprese le ASL e i comuni con più di 100 mila abitanti, sono coinvolti in prima linea nella risposta.
Viene mantenuta la distinzione della Nis2 tra soggetti "essenziali" e "importanti", con obblighi diversi a seconda della loro classificazione.
Il decreto impone a questi soggetti di implementare misure adeguate per la gestione dei rischi per la sicurezza informatica.
La continuità dei servizi viene garantita secondo un approccio "multi-rischio" che protegge sia i sistemi informativi che l'ambiente fisico.
Le sanzioni previste per la mancata osservanza degli obblighi di sicurezza informatica sono elevate:
Viene introdotta anche la possibilità di incapacità temporanea per dirigenti che non rispettano le normative.
Tra le altre previsioni, il Governo ha stabilito che, in caso di data breach, si applichino solo le sanzioni previste dalla normativa sulla privacy.
In questo modo viene evitato il meccanismo della doppia punizione (ne bis in idem).
Per data breach si intende una violazione dei dati, ovvero un incidente di sicurezza in cui informazioni riservate, protette o sensibili vengono accessibili, rubate o esposte senza autorizzazione.
Le imprese e le pubbliche amministrazioni, in ogni caso, devono conformarsi:
E' previsto, a tal fine, un coordinamento tra le autorità competenti per garantire un'applicazione coerente e non sovrapposta delle sanzioni.
Il provvedimento era stato approvato in esame preliminare nella seduta del Governo del 10 giugno 2024.
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".