Pubblicato nella Gazzetta Ufficiale, Serie Generale, n. 230 del 01 ottobre 2024 il Decreto Legislativo 4 settembre 2024, n. 138, che recepisce la Direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione (anche nota come NIS2).
Il Decreto, strutturato in sei capi, prevede l’abrogazione del D. Lgs. 65/2018, che aveva recepito la prima direttiva in materia, ovvero la Direttiva (UE) 2016/1148 (c.d. NIS), abrogata dal Direttiva NIS2.
Il decreto stabilisce misure volte a garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea in modo da migliorare il funzionamento del mercato interno.
Le definizioni più rilevanti
Con il decreto di recepimento delal Direttiva NIS 2vengono introdotte alcune rilevanti definizione attinenti al mondo della cibersicurezza, che, fra gli operatori economici, rilevano in particolare altresì per i soggetti già obbligati al rispetto del Regolamento DORA, ovvero gli operatori bancari e finanziari, fra cui:
- Sicurezza dei sistemi informativi e di rete: la capacità dei sistemi informativi e di rete di resistere, con un determinato livello di affidabilità, agli eventi che potrebbero compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti da tali sistemi informativi e di rete o accessibili attraverso di essi;
- Sicurezza informatica: l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche, cosi’ come definito dall’articolo 2, punto 1), del regolamento (UE) 2019/881;
- Cybersicurezza: ferme restando le definizioni di cui alle lettere q) e r), l’insieme delle Attivita’ di cui all’articolo 1, comma 1, lettera a), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;
- Incidente: un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete o accessibili attraverso di essi;
- Quasi-incidente: cd. near-miss, un evento che avrebbe potuto configurare un incidente senza che quest’ultimo si sia tuttavia verificato, ivi incluso il caso in cui l’incidente sia stato efficacemente evitato;
- Incidente di sicurezza informatica su vasta scala: un incidente che causa un livello di perturbazione superiore alla capacità di uno Stato membro di rispondervi o che ha un impatto significativo su almeno due Stati membri;
- Gestione degli incidenti: le azioni e le procedure volte a prevenire, rilevare, analizzare e contenere un incidente o a rispondervi e recuperare da esso;
- Minaccia informatica: qualsiasi circostanza, evento o azione che potrebbe danneggiare, perturbare o avere un impatto negativo di altro tipo su sistemi informativi e di rete, sugli utenti di tali sistemi e altre persone, così come definita dall’articolo 2, punto 8), del Regolamento (UE) 2019/881;
- Minaccia informatica significativa: una minaccia informatica che, in base alle sue caratteristiche tecniche, si presume possa avere un grave impatto sui sistemi informativi e di rete di un soggetto o sugli utenti dei servizi erogati da un soggetto causando perdite materiali o immateriali considerevoli;
- Prodotto TIC: un elemento o un gruppo di elementi di un sistema informativo o di rete, così come definito dall’articolo 2, punto 12), del regolamento (UE) 2019/881;
- Servizio TIC: un servizio consistente interamente o prevalentemente nella trasmissione, conservazione, recupero o elaborazione di informazioni per mezzo dei sistemi informativi e di rete così come definito dall’articolo 2, punto 13), del regolamento (UE) 2019/881;
- Processo TIC: un insieme di attività svolte per progettare, sviluppare, fornire o mantenere un prodotto TIC o servizio TIC, così come definito dall’articolo 2, punto 14), del regolamento (UE) 2019/881;
I soggetti obbligati nel decreto di recepimento della Direttiva NIS2
Nell’ambito di applicazione del decreto rientrano i soggetti pubblici e privati delle tipologie di cui agli allegati I, II, III e IV del decreto stesso.
- Gli allegati I e II descrivono i settori ritenuti altamente critici e critici, nonché i relativi sottosettori e le tipologie di soggetti: fra i settori altamente critici, si segnala il settore bancario (soggetti di cui all’art. 4 Regolamento 575/2013) e delle infrastrutture dei mercati finanziari (gestori delle sedi di negoziazione di cui all’art. 4, punto 24) Direttiva 2014/65/UE e controparti centrali)
- Gli allegati III e IV descrivono invece le categorie di pubbliche amministrazioni e le ulteriori tipologie di soggetto a cui si applica il presente decreto.
In sintesi, fra i soggetti obbligati vi rientrano:
- le PA centrali (lasciando discrezionalità agli Stati membri di inserire le PA locali in base ad una valutazione sul rischio di impatti significativi su attività sociali o economiche critiche in caso di perturbazione)
- le piccole e micro-imprese operanti in settori chiave
- tutti i soggetti privati che superano i massimali comunitari per le piccole imprese, ovvero oltre 50 dipendenti e un fatturato annuo superiore a 10 milioni di euro o un totale di bilancio annuo superiore a 43 milioni di euro.
Il decreto di recepimento della NIS2 si applica altresì, indipendentemente dalle loro dimensioni:
- ai soggetti che sono identificati come soggetti critici ai sensi del decreto legislativo di recepimento della Direttiva CER (2022/2557)
- ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
- ai prestatori di servizi fiduciari;
- ai gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;
- ai fornitori di servizi di registrazione dei nomi di dominio
- ai soggetti identificati prima della data di entrata in vigore del presente decreto come operatore di servizi essenziali ai sensi del D. Lgs. 65/2018;
- ai soggetti che siano gli unici fornitori nazionali di un servizio che è essenziale per il mantenimento di attività sociali o economiche fondamentali;
- ai soggetti per cui una perturbazione del servizio da loro fornito potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica;
- ai soggetti per cui una perturbazione del servizio da loro fornito potrebbe comportare un rischio sistemico significativo, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero;
- il soggetto sia critico in ragione della sua particolare importanza a livello nazionale o regionale per quel particolare settore o tipo di servizio o per altri settori indipendenti nel territorio dello Stato;
- il soggetto sia considerato critico ai sensi del presente decreto, quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti.
Restano esclusi i soggetti operanti nella sicurezza nazionale, pubblica sicurezza e difesa, il Parlamento, l’Autorità Giudiziaria e la Banca Centrale.
La definizione di soggetti essenziali ed importanti nel recepimento della Direttiva NIS2
Lo schema di decreto di recepimento della Direttiva NIS2 considera essenziali:
- i soggetti di cui all’Allegato I che superino i massimali per le medie imprese
- i soggetti identificati come soggetti critici ai sensi del decreto legislativo di recepimento della Direttiva CER
- i fornitori di reti pubbliche di comunicazione elettronica e i fornitori di servizi di comunicazione elettronica accessibili al pubblico che si considerano medie imprese
- i prestatori di servizi fiduciari qualificati
- i gestori di registri dei nomi di dominio di primo livello, nonché i prestatori di servizi di sistema dei nomi di dominio
- le PA centrali di cui all’Allegato III, comma 1, lettera a)
- i soggetti individuati come critici dall’ACN.
Tutti gli altri soggetti destinatari del disegno di legge non definiti soggetti essenziali, sono da considerarsi soggetti importanti.
Le misure organizzative, tecniche ed operative richieste
I soggetti essenziali e importanti dovranno adottare misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete, che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.
Tali misure, ai sensi dell’art. 24 del d.d.l., devono assicurare un livello di sicurezza dei sistemi informativi e di rete adeguato ai rischi esistenti.
In particolare, le misure tecniche richieste comprendono:
- politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete
- la gestione degli incidenti
- politiche di continuità operativa, ivi inclusa la gestione di backup,il ripristino in caso di disastro e gestione delle crisi
- politiche di sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi
- pratiche di igiene di base e di formazione in materia di sicurezza informatica
- uso della crittografia e autenticazione a più fattori
- sicurezza e affidabilità del personale, politiche di controllo dell’accesso e gestione dei beni e degli assetti
Obblighi proporzionati e graduali per imprese e PA
L’Agenzia per la Cybersicurezza Nazionale dovrà stabilire obblighi proporzionati:
- al grado di esposizione dei soggetti ai rischi
- alle dimensioni dei soggetti ed alla probabilità che si verifichino incidenti
- alla loro gravità (come l’impatto sociale ed economico).
Ciò, al fine di definire termini, modalità e tempi graduali di implementazione degli obblighi.
Le Autorità Nazionali competenti ai fini della Direttiva NIS2
In base al decreto di recepimento della NIS2:
- L’Agenzia per la Cybersicurezza Nazionale (ACNS) è designata l’Autorità nazionale competente NIS di cui all’art. 8, paragrafo 1 della Direttiva, nonché il Punto di contatto unico NIS di cui all’art. 8, paragrafo 3 della Direttiva: svolgerà una funzione di collegamento per la cooperazione transfrontaliera delle Autorità nazionali con le autorità nazionali pertinenti degli altri Stati membri, la Commissione e l’ENISA
- Il CSIRT Italia (Gruppo nazionale di risposta agli incidenti di sicurezza informatica) è organo preposto alle funzioni di gestione degli incidenti di sicurezza informatica per i soggetti di cui agli allegati I, II, III, e IV.
Gli obblighi dei soggetti nei confronti dell’Autorità Nazionali
I soggetti essenziali ed importanti dovranno, in sintesi:
- registrarsi nella piattaforma ACNS, identificando un punto di contatto dell’ente con il relativo ruolo
- notificare al CSIRT Italia ogni incidente con impatto significativo nella fornitura dei servizi
- aggiornare l’Autorità con una relazione intermedia
- stendere una relazione finale entro un mese dalla notifica dell’incidente
Le sanzioni previste nel decreto di recepimento della Direttiva NIS2
L’Agenzia per la cybersicurezza nazionale può specificare laddove necessario i criteri per la determinazione dell’importo delle sanzioni per le violazioni, adottando tutte le misure necessarie per assicurarne l’effettività, la proporzionalità, la dissuasività e l’applicazione.
Qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni di cui al decreto: tali persone fisiche possono essere ritenute responsabili dell’inadempimento in caso di violazione del decreto, da parte del soggetto di cui hanno rappresentanza.
Le sanzioni, per i soggetti per i soggetti essenziali, escluse le pubbliche amministrazioni, possono giungere sino ad un massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto.
Per i soggetti importanti, sino a un massimo di euro 7.000.000 o dell’1,4% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto.