La NIS 2 si avvicina: cosa prevede la Direttiva UE sulla cybersicurezza ​

Il 16 ottobre è entrato in vigore in Italia il Decreto Legislativo di recepimento della direttiva (UE) 2022/2555, c.d. “Direttiva NIS 2”, che punta a stabilire standard elevati per la cyber sicurezza di soggetti essenziali e importanti che operano nell’Unione Europea.

Il Decreto Legislativo (D.lgs. 138/2024, “Decreto NIS 2”, link esterno) è infatti stato pubblicato in Gazzetta Ufficiale il 1° ottobre.

Le nuove disposizioni normative, rispetto alle precedenti (Direttiva e Decreto NIS), ampliano la platea dei soggetti pubblici e privati che devono rispettare la normativa, prevedendo l’obbligo di comunicare incidenti gravi e di introdurre stringenti misure di gestione dei rischi informatici.

Ruolo centrale nell’applicazione di queste disposizioni sarà ricoperto dall’Autorità nazionale competente NIS, che per l’Italia è individuata nell’ACN – Agenzia per la Cibersicurezza Nazionale (link esterno), che avrà poteri di controllo e di sanzione rispetto agli obblighi previsti dalla normativa NIS 2.

In questo approfondimento vedremo quali sono i soggetti tenuti al rispetto della norma, gli obblighi in capo alle aziende e i successivi passaggi che porteranno all’esecuzione della direttiva sul territorio italiano.

La NIS 2 si avvicina: cosa prevede la Direttiva UE sulla cybersicurezza ​

Il 16 ottobre è entrato in vigore in Italia il Decreto Legislativo di recepimento della direttiva (UE) 2022/2555, c.d. “Direttiva NIS 2”, che punta a stabilire standard elevati per la cyber sicurezza di soggetti essenziali e importanti che operano nell’Unione Europea.

Il Decreto Legislativo (D.lgs. 138/2024, “Decreto NIS 2”, link esterno) è infatti stato pubblicato in Gazzetta Ufficiale il 1° ottobre.

Le nuove disposizioni normative, rispetto alle precedenti (Direttiva e Decreto NIS), ampliano la platea dei soggetti pubblici e privati che devono rispettare la normativa, prevedendo l’obbligo di comunicare incidenti gravi e di introdurre stringenti misure di gestione dei rischi informatici.

Ruolo centrale nell’applicazione di queste disposizioni sarà ricoperto dall’Autorità nazionale competente NIS, che per l’Italia è individuata nell’ACN – Agenzia per la Cibersicurezza Nazionale (link esterno), che avrà poteri di controllo e di sanzione rispetto agli obblighi previsti dalla normativa NIS 2.

In questo approfondimento vedremo quali sono i soggetti tenuti al rispetto della norma, gli obblighi in capo alle aziende e i successivi passaggi che porteranno all’esecuzione della direttiva sul territorio italiano.

Mentre la prima versione della NIS lasciava ampi margini agli Stati membri di individuare i soggetti essenziali ed importanti, il Decreto NIS 2 prevede due criteri per determinare se un soggetto pubblico o privato è tenuto al rispetto della norma: un criterio settoriale e un criterio dimensionale.

CRITERIO SETTORIALE

La normativa prevede un criterio settoriale, cioè individua alcuni settori critici che necessitano  di essere protetti adeguatamente dal punto di vista cibersicurezza. Questi sono definiti all’interno di due allegati (I e II) al Decreto stesso, che sintetizziamo di seguito:

Allegato I
Settori ad alta criticità

Individua i settori ad alta criticità, per cui una perturbazione del servizio a seguito di incidente informatico potrebbe determinare gravi conseguenze. Racchiude i settori:

  • Energia
  • Trasporti (in ambito aereo, ferroviario, per vie d’acqua e su strada – autorità stradali e gestori di sistemi di traffico intelligenti)
  • Bancario
  • Infrastrutture dei mercati finanziari
  • Settore sanitario
  • Acqua potabile
  • Acque reflue
  • Infrastrutture digitali
  • Gestione dei servizi TlC (business-to-business)
  • Pubblica amministrazione
  • Spazio

Allegato II
Altri settori critici

Individua i settori critici, per cui una perturbazione del servizio a seguito di incidente informatico potrebbe determinare conseguenze rilevanti. Racchiude i settori:

  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Fabbricazione, produzione e distribuzione di sostanze chimiche
  • Produzione, trasformazione e distribuzione degli alimenti
  • Fabbricazione di dispositivi medici
  • Fabbricazione di computer e prodotti di elettronica
  • Fabbricazione di apparecchiature elettriche
  • Fabbricazione di macchinari e apparecchiature n.c.a.
  • Fabbricazione di autoveicoli, rimorchi e semirimorchi
  • Fabbricazione di altri mezzi di trasporto
  • Fornitori di servizi digitali (di mercati online, di motori di ricerca online e di piattaforme social network)
  • Ricerca (organizzazioni di ricerca)

Il Decreto, infine, agli allegati III e IV stabilisce quali pubbliche amministrazioni sono tenute al rispetto della norma.

CRITERIO DIMENSIONALE

Le organizzazioni private tenute al rispetto del Decreto NIS 2 sono classificate come segue:

SOGGETTI ESSENZIALI

Tutte le grandi imprese che rientrano nel criterio settoriale e superano i massimali per le medie imprese:

  • che impiegano oltre 250 dipendenti;
  • che abbiano un fatturato di oltre 50 milioni di euro oppure un totale di bilancio annuo di oltre 43 milioni di euro.

Per particolari settori, il soggetto è considerato “essenziale” a prescindere dalla dimensione, vista la criticità dell’attività svolta (per esempio, i fornitori di servizi fiduciari qualificati, di registri dei nomi a dominio di primo livello o prestatori di servizi DNS).

SOGGETTI IMPORTANTI

Gli altri soggetti tenuti al rispetto della normativa, che rientrano nel criterio settoriale e di “media impresa“:

  • che impiegano oltre 50 dipendenti;
  • che abbiano un fatturato di oltre 10 milioni di € oppure un totale di bilancio annuo di oltre 10 milioni di €.

Per particolari settori, il soggetto è considerato “importante” a prescindere dalla dimensione, la criticità dell’attività svolta (nel caso in cui sia l’unico fornitore nello Stato membro di un servizio essenziale o una perturbazione del servizio fornito determini un impatto significativo per la sicurezza pubblica o transfrontaliero.

Questi due criteri devono essere considerati congiuntamente al fine di determinare se una organizzazione rientra nell’ambito di applicazione della normativa.

Nel caso in cui si rientri nel campo di applicazione del Decreto, il soggetto deve porre in essere due tipi di obblighi: predisporre adeguate misure di gestione dei rischi di cibersicurezza e segnalare eventuali incidenti significativi.

MISURE PER LA GESTIONE DEI RISCHI CYBER

Il Decreto NIS 2 si concentra specificamente sulle tipologie di misure di sicurezza che il soggetto deve mettere in atto per:

  • analizzare, mappare e ridurre i rischi di cibersicurezza;
  • gestire gli incidenti riducendo al minimo l’impatto per i destinatari dei propri servizi.

Queste devono essere adeguate e proporzionate rispetto ai sistemi informativi e reti oggetto di protezione.

L’onere di individuare queste misure è in capo al soggetto medesimo, basandosi su un approccio multirischio volto a proteggere i sistemi informativi e le reti, comprendendo almeno i seguenti elementi:

  • politiche di analisi e gestione dei rischi e di sicurezza dei sistemi informativi: il soggetto deve provvedere a mappare i sistemi a informativi, individuare i sistemi critici ed analizzare i rischi connessi periodicamente;
  • gestione degli incidenti: il soggetto deve essere in grado di mettere in atto azioni risolutive e riparative in caso di incidenti;
  • continuità operativa: anche in caso di incidente, il soggetto deve essere in grado di mantenere attivi i propri sistemi informativi, al fine di non interrompere la propria attività;
  • sicurezza della catena di approvvigionamento: poter garantire che non ci siano vulnerabilità nella propria catena di fornitura;
  • sicurezza dell’acquisizione, dello sviluppo e della manutenzione del sistema informativo;
  • strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi: il soggetto non deve solo implementare delle misure di sicurezza, ma deve adottare strumenti idonei a valutare che siano efficaci e procedure per farle rispettare;
  • pratiche di igiene informatica di base e formazione in materia di cibersicurezza: incrementare la sicurezza del fattore umano è fondamentale per ridurre il rischio di incidenti, grazie al rispetto di buone pratiche e alla consapevolezza dei rischi che si corrono;
  • politiche e procedure relative all’uso di crittografia e, se nel caso, della cifratura;
  • sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
  • uso di soluzioni di autenticazione a più fattori o di autenticazione continuativa. 

Il soggetto non deve solo implementare queste misure, ma deve comprovare con atti, procedure e report che queste siano effettivamente applicate ed efficaci.

La portata degli adempimenti, specie in questo ambito, deve comunque essere bilanciata considerando la dimensione e criticità del soggetto essenziale o importante.

OBBLIGO DI SEGNALAZIONE DEGLI INCIDENTI

I soggetti coinvolti dal Decreto hanno l’obbligo di segnalare senza indebito ritardo al CSIRT (nucleo dell’ACN che si occupa di gestire gli incidenti a livello nazionale) incidenti che hanno un impatto significativo sulla fornitura dei loro servizi. 

Gli incidenti sono considerati significativi quando hanno avuto un impatto significativo sulla fornitura dei loro servizi o potrebbero ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

I soggetti coinvolti devono trasmettere al CSIRT: 

  • entro 24 ore dalla scoperta dell’incidente significativo un preallarme che indichi anche se si sospetta che l’incidente sia frutto di attacco informatico o può avere impatto transfrontaliero;
  • entro 72 ore dalla scoperta dell’incidente significativo una notifica dell’incidente che aggiorni le informazioni trasmesse nel preallarme e indichi una valutazione preliminare comprensiva di gravità, impatto e ove possibile gli indicatori di compromissione;
  • una relazione intermedia, se richiesta dal CSIRT;
  • entro un mese dalla trasmissione della notifica una relazione finale sull’incidente; se, raggiunto questo termine, l’incidente è ancora in corso, il soggetto deve comunque trasmettere una relazione intermedia.

Qualora il soggetto coinvolto dalla normativa NIS 2 non ottemperi agli obblighi di implementazione di misure per la gestione dei rischi cyber o non segnali incidenti significativi all’autorità, può incorrere in sanzioni amministrative anche rilevanti, alle seguenti condizioni – differenziate in base alla categoria di soggetto:

SOGGETTI ESSENZIALI

Un massimo

  • di 10.000.000 di Euro 

oppure

  • pari al 2%  del fatturato mondiale annuo dell’impresa cui il soggetto appartiene, se tale importo è superiore.

 

Il Decreto NIS 2 prevede inoltre ulteriori sanzioni per la mancata comunicazione al portale nazionale e non-collaborazione con le autorità competenti:

  • fino allo 0,1 % del fatturato mondiale annuo.

 

SOGGETTI IMPORTANTI

Un massimo  

  • di 7.000.000 di Euro 

oppure

  • pari al 1,4% del fatturato mondiale annuo dell’impresa cui il soggetto appartiene, se tale importo è superiore.

 

Il Decreto NIS 2 prevede inoltre ulteriori sanzioni per la mancata comunicazione al portale nazionale e non-collaborazione con le autorità competenti:

  • fino allo 0,07% del fatturato mondiale annuo.

Il Decreto prevede espressamente che gli organi di amministrazione e direzione debbano approvare le modalità di implementazione delle misure di gestione dei rischi informatici previste dal Decreto, nonché sovraintendere la loro applicazione

Questi devono ricevere una specifica formazione sulla sicurezza informatica e, analogamente, organizzare attività formative verso i loro dipendenti.

Una importante e rilevante novità del Decreto NIS 2 è che possono essere sottoposti a sanzioni dirette anche gli amministratori, i legali rappresentati e gli organi direttivi e di amministrazione del soggetto essenziale o importante. Il Decreto prevede due modalità di sanzione per queste figure dirigenziali:

Tali soggetti possono essere ritenuti responsabili dell’inadempimento in caso di violazione del Decreto NIS 2 da parte del soggetto di cui hanno rappresentanza.

Può essere applicata una sanzione accessoria di incapacità a svolgere funzioni dirigenziali, mediante una sospensione temporanea fino all’effettivo adempimento.

Il Decreto prevede per i soggetti coinvolti dalla normativa NIS 2 una serie di passaggi che poteranno alla compiuta esecuzione del Decreto:

  • dal 1° gennaio 2025 al 28 febbraio 2025 (e per ogni anno successivo) i soggetti essenziali ed importanti si registrano o aggiornano la propria registrazione sulla piattaforma digitale resa disponibile dall’autorità competente NIS (ACN), indicando o aggiornando le seguenti informazioni:
    • ragione sociale, indirizzo e recapiti;
    • designazione di un punto di contatto (con ruolo e recapiti);
    • i pertinenti settori, sottosettori e tipologie di soggetti tenuto al rispetto della normativa (allegati I, II, III, IV del Decreto);
  • entro il 31 marzo 2025 (e per ogni anno successivo) l’autorità competente NIS redige l’elenco dei soggetti essenziali ed importanti, sulla base delle registrazioni. Tramite la piattaforma, l’autorità comunica ai soggetti registrati la loro iscrizione o permanenza in tale elenco, nonché l’eventuale esclusione;
  • dal 15 aprile al 31 maggio 2025 (e per ogni anno successivo), i soggetti presenti nell’elenco forniscono o aggiornano:
    • il proprio IP pubblico e i nomi a dominio in uso o in propria disponibilità;
    • l’elenco degli stati membri UE in cui fornisce servizi;
    • i responsabili o legali rappresentanti del soggetto;
    • un sostituto del punto di contatto indicato in fase di registrazione;
    • l’indirizzo della sede principale o delle altre sedi nell’Unione Europea, se il soggetto fornisce servizi informatici;
  • per permettere a tutti di confermarsi alla normativa, è introdotto una entrata in vigore graduale degli obblighi. I soggetti iscritti entro il 31 dicembre 2025, dalla ricezione della comunicazione di avvenuto inserimento nella lista, hanno:
    • 9 mesi per conformarsi all’obbligo di notifica degli incidenti;
    • 18 mesi per conformarsi agli obblighi in capo agli organi di amministrazione e direttivi ed in materia di misure di gestione dei rischi.

Attualmente, la piattaforma per registrarsi non è ancora online. Si suggerisce tuttavia di monitorare il sito dell’ACN per eventuali aggiornamenti, che comunicheremo tempestivamente (link esterno). ACN ha inoltre creato una pagina informativa ad hoc sulla NIS, raggiungibile attraverso questo link esterno.

Cosa devo fare come azienda?

Il primo passaggio è verificare se rientro in uno dei settori e sottosettori previsti dalla normativa. 

Come abbiamo visto, il Decreto prevede alcuni settori che potrebbero interessare anche associati a CNA (ad esempio, operanti nel settore della trasformazione degli alimenti o della produzione di macchinari).

Se la mia attività rientra in uno di quelli previsti, è necessario verificare il requisito dimensionale, in quanto la NIS 2 si applica anche alle medie imprese (più di 50 dipendenti e 10 mln € di fatturato).

Mentre la prima versione della NIS lasciava ampi margini agli Stati membri di individuare i soggetti essenziali ed importanti, il Decreto NIS 2 prevede due criteri per determinare se un soggetto pubblico o privato è tenuto al rispetto della norma: un criterio settoriale e un criterio dimensionale.

CRITERIO SETTORIALE

La normativa prevede un criterio settoriale, cioè individua alcuni settori critici che necessitano  di essere protetti adeguatamente dal punto di vista cibersicurezza. Questi sono definiti all’interno di due allegati (I e II) al Decreto stesso, che sintetizziamo di seguito:

Allegato I
Settori ad alta criticità

Individua i settori ad alta criticità, per cui una perturbazione del servizio a seguito di incidente informatico potrebbe determinare gravi conseguenze. Racchiude i settori:

  • Energia
  • Trasporti (in ambito aereo, ferroviario, per vie d’acqua e su strada – autorità stradali e gestori di sistemi di traffico intelligenti)
  • Bancario
  • Infrastrutture dei mercati finanziari
  • Settore sanitario
  • Acqua potabile
  • Acque reflue
  • Infrastrutture digitali
  • Gestione dei servizi TlC (business-to-business)
  • Pubblica amministrazione
  • Spazio

Allegato II
Altri settori critici

Individua i settori critici, per cui una perturbazione del servizio a seguito di incidente informatico potrebbe determinare conseguenze rilevanti. Racchiude i settori:

  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Fabbricazione, produzione e distribuzione di sostanze chimiche
  • Produzione, trasformazione e distribuzione degli alimenti
  • Fabbricazione di dispositivi medici
  • Fabbricazione di computer e prodotti di elettronica
  • Fabbricazione di apparecchiature elettriche
  • Fabbricazione di macchinari e apparecchiature n.c.a.
  • Fabbricazione di autoveicoli, rimorchi e semirimorchi
  • Fabbricazione di altri mezzi di trasporto
  • Fornitori di servizi digitali (di mercati online, di motori di ricerca online e di piattaforme social network)
  • Ricerca (organizzazioni di ricerca)

Il Decreto, infine, agli allegati III e IV stabilisce quali pubbliche amministrazioni sono tenute al rispetto della norma.

CRITERIO DIMENSIONALE

Le organizzazioni private tenute al rispetto del Decreto NIS 2 sono classificate come segue:

SOGGETTI ESSENZIALI

Tutte le grandi imprese che rientrano nel criterio settoriale e superano i massimali per le medie imprese:

  • che impiegano oltre 250 dipendenti;
  • che abbiano un fatturato di oltre 50 milioni di euro oppure un totale di bilancio annuo di oltre 43 milioni di euro.

Per particolari settori, il soggetto è considerato “essenziale” a prescindere dalla dimensione, vista la criticità dell’attività svolta (per esempio, i fornitori di servizi fiduciari qualificati, di registri dei nomi a dominio di primo livello o prestatori di servizi DNS).

SOGGETTI IMPORTANTI

Gli altri soggetti tenuti al rispetto della normativa, che rientrano nel criterio settoriale e di “media impresa“:

  • che impiegano oltre 50 dipendenti;
  • che abbiano un fatturato di oltre 10 milioni di € oppure un totale di bilancio annuo di oltre 10 milioni di €.

Per particolari settori, il soggetto è considerato “importante” a prescindere dalla dimensione, la criticità dell’attività svolta (nel caso in cui sia l’unico fornitore nello Stato membro di un servizio essenziale o una perturbazione del servizio fornito determini un impatto significativo per la sicurezza pubblica o transfrontaliero.

Questi due criteri devono essere considerati congiuntamente al fine di determinare se una organizzazione rientra nell’ambito di applicazione della normativa.

Nel caso in cui si rientri nel campo di applicazione del Decreto, il soggetto deve porre in essere due tipi di obblighi: predisporre adeguate misure di gestione dei rischi di cibersicurezza e segnalare eventuali incidenti significativi.

MISURE PER LA GESTIONE DEI RISCHI CYBER

Il Decreto NIS 2 si concentra specificamente sulle tipologie di misure di sicurezza che il soggetto deve mettere in atto per:

  • analizzare, mappare e ridurre i rischi di cibersicurezza;
  • gestire gli incidenti riducendo al minimo l’impatto per i destinatari dei propri servizi.

Queste devono essere adeguate e proporzionate rispetto ai sistemi informativi e reti oggetto di protezione.

L’onere di individuare queste misure è in capo al soggetto medesimo, basandosi su un approccio multirischio volto a proteggere i sistemi informativi e le reti, comprendendo almeno i seguenti elementi:

  • politiche di analisi e gestione dei rischi e di sicurezza dei sistemi informativi: il soggetto deve provvedere a mappare i sistemi a informativi, individuare i sistemi critici ed analizzare i rischi connessi periodicamente;
  • gestione degli incidenti: il soggetto deve essere in grado di mettere in atto azioni risolutive e riparative in caso di incidenti;
  • continuità operativa: anche in caso di incidente, il soggetto deve essere in grado di mantenere attivi i propri sistemi informativi, al fine di non interrompere la propria attività;
  • sicurezza della catena di approvvigionamento: poter garantire che non ci siano vulnerabilità nella propria catena di fornitura;
  • sicurezza dell’acquisizione, dello sviluppo e della manutenzione del sistema informativo;
  • strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi: il soggetto non deve solo implementare delle misure di sicurezza, ma deve adottare strumenti idonei a valutare che siano efficaci e procedure per farle rispettare;
  • pratiche di igiene informatica di base e formazione in materia di cibersicurezza: incrementare la sicurezza del fattore umano è fondamentale per ridurre il rischio di incidenti, grazie al rispetto di buone pratiche e alla consapevolezza dei rischi che si corrono;
  • politiche e procedure relative all’uso di crittografia e, se nel caso, della cifratura;
  • sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
  • uso di soluzioni di autenticazione a più fattori o di autenticazione continuativa. 

Il soggetto non deve solo implementare queste misure, ma deve comprovare con atti, procedure e report che queste siano effettivamente applicate ed efficaci.

La portata degli adempimenti, specie in questo ambito, deve comunque essere bilanciata considerando la dimensione e criticità del soggetto essenziale o importante.

OBBLIGO DI SEGNALAZIONE DEGLI INCIDENTI

I soggetti coinvolti dal Decreto hanno l’obbligo di segnalare senza indebito ritardo al CSIRT (nucleo dell’ACN che si occupa di gestire gli incidenti a livello nazionale) incidenti che hanno un impatto significativo sulla fornitura dei loro servizi. 

Gli incidenti sono considerati significativi quando hanno avuto un impatto significativo sulla fornitura dei loro servizi o potrebbero ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

I soggetti coinvolti devono trasmettere al CSIRT: 

  • entro 24 ore dalla scoperta dell’incidente significativo un preallarme che indichi anche se si sospetta che l’incidente sia frutto di attacco informatico o può avere impatto transfrontaliero;
  • entro 72 ore dalla scoperta dell’incidente significativo una notifica dell’incidente che aggiorni le informazioni trasmesse nel preallarme e indichi una valutazione preliminare comprensiva di gravità, impatto e ove possibile gli indicatori di compromissione;
  • una relazione intermedia, se richiesta dal CSIRT;
  • entro un mese dalla trasmissione della notifica una relazione finale sull’incidente; se, raggiunto questo termine, l’incidente è ancora in corso, il soggetto deve comunque trasmettere una relazione intermedia.

Qualora il soggetto coinvolto dalla normativa NIS 2 non ottemperi agli obblighi di implementazione di misure per la gestione dei rischi cyber o non segnali incidenti significativi all’autorità, può incorrere in sanzioni amministrative anche rilevanti, alle seguenti condizioni – differenziate in base alla categoria di soggetto:

SOGGETTI ESSENZIALI

Un massimo

  • di 10.000.000 di Euro 

oppure

  • pari al 2%  del fatturato mondiale annuo dell’impresa cui il soggetto appartiene, se tale importo è superiore.

 

Il Decreto NIS 2 prevede inoltre ulteriori sanzioni per la mancata comunicazione al portale nazionale e non-collaborazione con le autorità competenti:

  • fino allo 0,1 % del fatturato mondiale annuo.

 

SOGGETTI IMPORTANTI

Un massimo  

  • di 7.000.000 di Euro 

oppure

  • pari al 1,4% del fatturato mondiale annuo dell’impresa cui il soggetto appartiene, se tale importo è superiore.

 

Il Decreto NIS 2 prevede inoltre ulteriori sanzioni per la mancata comunicazione al portale nazionale e non-collaborazione con le autorità competenti:

  • fino allo 0,07% del fatturato mondiale annuo.

Il Decreto prevede espressamente che gli organi di amministrazione e direzione debbano approvare le modalità di implementazione delle misure di gestione dei rischi informatici previste dal Decreto, nonché sovraintendere la loro applicazione

Questi devono ricevere una specifica formazione sulla sicurezza informatica e, analogamente, organizzare attività formative verso i loro dipendenti.

Una importante e rilevante novità del Decreto NIS 2 è che possono essere sottoposti a sanzioni dirette anche gli amministratori, i legali rappresentati e gli organi direttivi e di amministrazione del soggetto essenziale o importante. Il Decreto prevede due modalità di sanzione per queste figure dirigenziali:

Tali soggetti possono essere ritenuti responsabili dell’inadempimento in caso di violazione del Decreto NIS 2 da parte del soggetto di cui hanno rappresentanza.

Può essere applicata una sanzione accessoria di incapacità a svolgere funzioni dirigenziali, mediante una sospensione temporanea fino all’effettivo adempimento.

Il Decreto prevede per i soggetti coinvolti dalla normativa NIS 2 una serie di passaggi che poteranno alla compiuta esecuzione del Decreto:

  • dal 1° gennaio 2025 al 28 febbraio 2025 (e per ogni anno successivo) i soggetti essenziali ed importanti si registrano o aggiornano la propria registrazione sulla piattaforma digitale resa disponibile dall’autorità competente NIS (ACN), indicando o aggiornando le seguenti informazioni:
    • ragione sociale, indirizzo e recapiti;
    • designazione di un punto di contatto (con ruolo e recapiti);
    • i pertinenti settori, sottosettori e tipologie di soggetti tenuto al rispetto della normativa (allegati I, II, III, IV del Decreto);
  • entro il 31 marzo 2025 (e per ogni anno successivo) l’autorità competente NIS redige l’elenco dei soggetti essenziali ed importanti, sulla base delle registrazioni. Tramite la piattaforma, l’autorità comunica ai soggetti registrati la loro iscrizione o permanenza in tale elenco, nonché l’eventuale esclusione;
  • dal 15 aprile al 31 maggio 2025 (e per ogni anno successivo), i soggetti presenti nell’elenco forniscono o aggiornano:
    • il proprio IP pubblico e i nomi a dominio in uso o in propria disponibilità;
    • l’elenco degli stati membri UE in cui fornisce servizi;
    • i responsabili o legali rappresentanti del soggetto;
    • un sostituto del punto di contatto indicato in fase di registrazione;
    • l’indirizzo della sede principale o delle altre sedi nell’Unione Europea, se il soggetto fornisce servizi informatici;
  • per permettere a tutti di confermarsi alla normativa, è introdotto una entrata in vigore graduale degli obblighi. I soggetti iscritti entro il 31 dicembre 2025, dalla ricezione della comunicazione di avvenuto inserimento nella lista, hanno:
    • 9 mesi per conformarsi all’obbligo di notifica degli incidenti;
    • 18 mesi per conformarsi agli obblighi in capo agli organi di amministrazione e direttivi ed in materia di misure di gestione dei rischi.

Attualmente, la piattaforma per registrarsi non è ancora online. Si suggerisce tuttavia di monitorare il sito dell’ACN per eventuali aggiornamenti, che comunicheremo tempestivamente (link esterno). ACN ha inoltre creato una pagina informativa ad hoc sulla NIS, raggiungibile attraverso questo link esterno.

Cosa devo fare come azienda?

Il primo passaggio è verificare se rientro in uno dei settori e sottosettori previsti dalla normativa. 

Come abbiamo visto, il Decreto prevede alcuni settori che potrebbero interessare anche associati a CNA (ad esempio, operanti nel settore della trasformazione degli alimenti o della produzione di macchinari).

Se la mia attività rientra in uno di quelli previsti, è necessario verificare il requisito dimensionale, in quanto la NIS 2 si applica anche alle medie imprese (più di 50 dipendenti e 10 mln € di fatturato).

Chiedi informazioni

Per qualsiasi ulteriore informazione sul Decreto e per valutare se la vostra organizzazione rientra nel campo di applicazione della NIS 2, vi invitiamo a contattare i nostri consulenti all’indirizzo e-mail: gdpr@cnare.it

Chiedi informazioni

Per qualsiasi ulteriore informazione sul Decreto e per valutare se la vostra organizzazione rientra nel campo di applicazione della NIS 2, vi invitiamo a contattare i nostri consulenti all’indirizzo e-mail: gdpr@cnare.it

© 2023 CNA Reggio Emilia — Tutti i diritti riservati.

© 2023 CNA Reggio Emilia — Tutti i diritti riservati.