Nella Gazzetta Ufficiale n. 230 del 1° ottobre 2024 è stato pubblicato il Decreto legislativo n. 138 del 4 settembre 2024 di recepimento della Direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione (cosiddetta direttiva NIS 2 sulla cibersicurezza).
Il testo era stato definitivamente approvato dal Consiglio dei ministri nella seduta del 7 agosto 2024.
La Direttiva NIS2 è la normativa dell’Unione Europea in materia di cybersicurezza, adottata il 14 dicembre 2022. Essa aggiorna e uniforma il quadro normativo introdotto nel 2016.
Entrata in vigore nel 2023, prevede l’obbligo per gli Stati Membri di recepirla entro il 18 ottobre 2024.
In Italia è stata recepita, appunto, con il D.lgs. 4 settembre 2024, n. 138, noto come decreto NIS, che disciplina l’applicazione della normativa a livello nazionale.
La nuova normativa NIS mira a rafforzare la sicurezza cibernetica armonizzando le norme tra gli Stati membri e innalzando gli standard rispetto alla disciplina precedente. L’ambito di applicazione si amplia a oltre 80 tipologie di soggetti, suddivisi in 18 settori, tra cui 11 altamente critici. Include l’intera infrastruttura ICT e distingue i soggetti in essenziali e importanti sulla base di criteri oggettivi, escludendo le micro e piccole imprese, salvo eccezioni.
Prevede obblighi di sicurezza avanzati, con misure in almeno 10 ambiti, un sistema di notifica più strutturato e un rafforzamento dei poteri ispettivi e sanzionatori, allineando le sanzioni al GDPR. Introduce, infine, nuovi strumenti come la divulgazione coordinata delle vulnerabilità (CVD) e un sistema di gestione delle crisi cibernetiche, incluso il network CyCLONe.
Le principali innovazioni introdotte dal Decreto di recepimento riguardano il rafforzamento del controllo e della vigilanza in materia di cibersicurezza, con un ruolo potenziato per l'Agenzia per la cybersicurezza nazionale (ACN), nonché la previsione di sanzioni elevate in caso di inosservanza della normativa sulla cibersicurezza, con possibilità di disporre la misura dell'incapacità temporanea per i dirigenti.
L'Agenzia per la cybersicurezza nazionale assume un ruolo chiave nella supervisione dell'attuazione della Nis2, con poteri di vigilanza e sanzionatori, pur rispettando le competenze delle altre autorità di settore.
Il decreto legislativo di recepimento amplia il campo di applicazione della normativa, includendo sia enti pubblici che privati di diversi settori strategici, con specifiche riguardo alle dimensioni delle imprese (oltre 50 dipendenti o un fatturato annuo superiore a 10 milioni di euro).
I settori coinvolti includono energia, trasporti, bancario, sanità, acqua potabile e acque reflue, infrastrutture digitali e altri settori critici e altamente critici.
Tra i principali obblighi imposti ai soggetti interessati si annoverano la registrazione e aggiornamento dati (art. 7), la responsabilità degli organi amministrativi (art. 23), l'adozione di misure di sicurezza informatica (art. 24) e la notifica degli incidenti (art. 25). Inoltre, per alcune categorie di soggetti, sono previsti obblighi relativi alla banca dati dei nomi di dominio (art. 29) e alla categorizzazione delle attività e dei servizi (art. 30).
Le modalità di notifica degli incidenti informatici significativi sono strutturate in due fasi:
Le amministrazioni centrali, regionali e locali, comprese le ASL e i comuni con più di 100 mila abitanti, sono coinvolti in prima linea nella risposta.
Viene mantenuta la distinzione della Nis2 tra soggetti "essenziali" e "importanti", con obblighi diversi a seconda della loro classificazione.
Il decreto impone a questi soggetti di implementare misure adeguate per la gestione dei rischi per la sicurezza informatica.
La continuità dei servizi viene garantita secondo un approccio "multi-rischio" che protegge sia i sistemi informativi che l'ambiente fisico.
Le sanzioni previste per la mancata osservanza degli obblighi di sicurezza informatica sono elevate:
Viene introdotta anche la possibilità di incapacità temporanea per dirigenti che non rispettano le normative.
Tra le altre previsioni, il Governo ha stabilito che, in caso di data breach, si applichino solo le sanzioni previste dalla normativa sulla privacy.
In questo modo viene evitato il meccanismo della doppia punizione (ne bis in idem).
Per data breach si intende una violazione dei dati, ovvero un incidente di sicurezza in cui informazioni riservate, protette o sensibili vengono accessibili, rubate o esposte senza autorizzazione.
Le imprese e le pubbliche amministrazioni, in ogni caso, devono conformarsi:
E' previsto, a tal fine, un coordinamento tra le autorità competenti per garantire un'applicazione coerente e non sovrapposta delle sanzioni.
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".