Il 16 ottobre è entrato in vigore in Italia il Decreto Legislativo di recepimento della direttiva (UE) 2022/2555, c.d. “Direttiva NIS 2”, che punta a stabilire standard elevati per la cyber sicurezza di soggetti essenziali e importanti che operano nell’Unione Europea.
Il Decreto Legislativo (D.lgs. 138/2024, “Decreto NIS 2”, link esterno) è infatti stato pubblicato in Gazzetta Ufficiale il 1° ottobre.
Le nuove disposizioni normative, rispetto alle precedenti (Direttiva e Decreto NIS), ampliano la platea dei soggetti pubblici e privati che devono rispettare la normativa, prevedendo l’obbligo di comunicare incidenti gravi e di introdurre stringenti misure di gestione dei rischi informatici.
Ruolo centrale nell’applicazione di queste disposizioni sarà ricoperto dall’Autorità nazionale competente NIS, che per l’Italia è individuata nell’ACN – Agenzia per la Cibersicurezza Nazionale (link esterno), che avrà poteri di controllo e di sanzione rispetto agli obblighi previsti dalla normativa NIS 2.
In questo approfondimento vedremo quali sono i soggetti tenuti al rispetto della norma, gli obblighi in capo alle aziende e i successivi passaggi che porteranno all’esecuzione della direttiva sul territorio italiano.
Il 16 ottobre è entrato in vigore in Italia il Decreto Legislativo di recepimento della direttiva (UE) 2022/2555, c.d. “Direttiva NIS 2”, che punta a stabilire standard elevati per la cyber sicurezza di soggetti essenziali e importanti che operano nell’Unione Europea.
Il Decreto Legislativo (D.lgs. 138/2024, “Decreto NIS 2”, link esterno) è infatti stato pubblicato in Gazzetta Ufficiale il 1° ottobre.
Le nuove disposizioni normative, rispetto alle precedenti (Direttiva e Decreto NIS), ampliano la platea dei soggetti pubblici e privati che devono rispettare la normativa, prevedendo l’obbligo di comunicare incidenti gravi e di introdurre stringenti misure di gestione dei rischi informatici.
Ruolo centrale nell’applicazione di queste disposizioni sarà ricoperto dall’Autorità nazionale competente NIS, che per l’Italia è individuata nell’ACN – Agenzia per la Cibersicurezza Nazionale (link esterno), che avrà poteri di controllo e di sanzione rispetto agli obblighi previsti dalla normativa NIS 2.
In questo approfondimento vedremo quali sono i soggetti tenuti al rispetto della norma, gli obblighi in capo alle aziende e i successivi passaggi che porteranno all’esecuzione della direttiva sul territorio italiano.
Mentre la prima versione della NIS lasciava ampi margini agli Stati membri di individuare i soggetti essenziali ed importanti, il Decreto NIS 2 prevede due criteri per determinare se un soggetto pubblico o privato è tenuto al rispetto della norma: un criterio settoriale e un criterio dimensionale.
CRITERIO SETTORIALE
La normativa prevede un criterio settoriale, cioè individua alcuni settori critici che necessitano di essere protetti adeguatamente dal punto di vista cibersicurezza. Questi sono definiti all’interno di due allegati (I e II) al Decreto stesso, che sintetizziamo di seguito:
Allegato I
Settori ad alta criticità
Individua i settori ad alta criticità, per cui una perturbazione del servizio a seguito di incidente informatico potrebbe determinare gravi conseguenze. Racchiude i settori:
Allegato II
Altri settori critici
Individua i settori critici, per cui una perturbazione del servizio a seguito di incidente informatico potrebbe determinare conseguenze rilevanti. Racchiude i settori:
Il Decreto, infine, agli allegati III e IV stabilisce quali pubbliche amministrazioni sono tenute al rispetto della norma.
CRITERIO DIMENSIONALE
Le organizzazioni private tenute al rispetto del Decreto NIS 2 sono classificate come segue:
SOGGETTI ESSENZIALI
Tutte le grandi imprese che rientrano nel criterio settoriale e superano i massimali per le medie imprese:
Per particolari settori, il soggetto è considerato “essenziale” a prescindere dalla dimensione, vista la criticità dell’attività svolta (per esempio, i fornitori di servizi fiduciari qualificati, di registri dei nomi a dominio di primo livello o prestatori di servizi DNS).
SOGGETTI IMPORTANTI
Gli altri soggetti tenuti al rispetto della normativa, che rientrano nel criterio settoriale e di “media impresa“:
Per particolari settori, il soggetto è considerato “importante” a prescindere dalla dimensione, la criticità dell’attività svolta (nel caso in cui sia l’unico fornitore nello Stato membro di un servizio essenziale o una perturbazione del servizio fornito determini un impatto significativo per la sicurezza pubblica o transfrontaliero.
Questi due criteri devono essere considerati congiuntamente al fine di determinare se una organizzazione rientra nell’ambito di applicazione della normativa.
Nel caso in cui si rientri nel campo di applicazione del Decreto, il soggetto deve porre in essere due tipi di obblighi: predisporre adeguate misure di gestione dei rischi di cibersicurezza e segnalare eventuali incidenti significativi.
MISURE PER LA GESTIONE DEI RISCHI CYBER
Il Decreto NIS 2 si concentra specificamente sulle tipologie di misure di sicurezza che il soggetto deve mettere in atto per:
Queste devono essere adeguate e proporzionate rispetto ai sistemi informativi e reti oggetto di protezione.
L’onere di individuare queste misure è in capo al soggetto medesimo, basandosi su un approccio multirischio volto a proteggere i sistemi informativi e le reti, comprendendo almeno i seguenti elementi:
Il soggetto non deve solo implementare queste misure, ma deve comprovare con atti, procedure e report che queste siano effettivamente applicate ed efficaci.
La portata degli adempimenti, specie in questo ambito, deve comunque essere bilanciata considerando la dimensione e criticità del soggetto essenziale o importante.
OBBLIGO DI SEGNALAZIONE DEGLI INCIDENTI
I soggetti coinvolti dal Decreto hanno l’obbligo di segnalare senza indebito ritardo al CSIRT (nucleo dell’ACN che si occupa di gestire gli incidenti a livello nazionale) incidenti che hanno un impatto significativo sulla fornitura dei loro servizi.
Gli incidenti sono considerati significativi quando hanno avuto un impatto significativo sulla fornitura dei loro servizi o potrebbero ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.
I soggetti coinvolti devono trasmettere al CSIRT:
Qualora il soggetto coinvolto dalla normativa NIS 2 non ottemperi agli obblighi di implementazione di misure per la gestione dei rischi cyber o non segnali incidenti significativi all’autorità, può incorrere in sanzioni amministrative anche rilevanti, alle seguenti condizioni – differenziate in base alla categoria di soggetto:
SOGGETTI ESSENZIALI
Un massimo
| oppure
|
Il Decreto NIS 2 prevede inoltre ulteriori sanzioni per la mancata comunicazione al portale nazionale e non-collaborazione con le autorità competenti:
SOGGETTI IMPORTANTI
Un massimo
oppure
Il Decreto NIS 2 prevede inoltre ulteriori sanzioni per la mancata comunicazione al portale nazionale e non-collaborazione con le autorità competenti:
Il Decreto prevede espressamente che gli organi di amministrazione e direzione debbano approvare le modalità di implementazione delle misure di gestione dei rischi informatici previste dal Decreto, nonché sovraintendere la loro applicazione.
Questi devono ricevere una specifica formazione sulla sicurezza informatica e, analogamente, organizzare attività formative verso i loro dipendenti.
Una importante e rilevante novità del Decreto NIS 2 è che possono essere sottoposti a sanzioni dirette anche gli amministratori, i legali rappresentati e gli organi direttivi e di amministrazione del soggetto essenziale o importante. Il Decreto prevede due modalità di sanzione per queste figure dirigenziali:
Tali soggetti possono essere ritenuti responsabili dell’inadempimento in caso di violazione del Decreto NIS 2 da parte del soggetto di cui hanno rappresentanza.
Può essere applicata una sanzione accessoria di incapacità a svolgere funzioni dirigenziali, mediante una sospensione temporanea fino all’effettivo adempimento.
Il Decreto prevede per i soggetti coinvolti dalla normativa NIS 2 una serie di passaggi che poteranno alla compiuta esecuzione del Decreto:
Attualmente, la piattaforma per registrarsi non è ancora online. Si suggerisce tuttavia di monitorare il sito dell’ACN per eventuali aggiornamenti, che comunicheremo tempestivamente (link esterno). ACN ha inoltre creato una pagina informativa ad hoc sulla NIS, raggiungibile attraverso questo link esterno.
Cosa devo fare come azienda?
Il primo passaggio è verificare se rientro in uno dei settori e sottosettori previsti dalla normativa.
Come abbiamo visto, il Decreto prevede alcuni settori che potrebbero interessare anche associati a CNA (ad esempio, operanti nel settore della trasformazione degli alimenti o della produzione di macchinari).
Se la mia attività rientra in uno di quelli previsti, è necessario verificare il requisito dimensionale, in quanto la NIS 2 si applica anche alle medie imprese (più di 50 dipendenti e 10 mln € di fatturato).
Mentre la prima versione della NIS lasciava ampi margini agli Stati membri di individuare i soggetti essenziali ed importanti, il Decreto NIS 2 prevede due criteri per determinare se un soggetto pubblico o privato è tenuto al rispetto della norma: un criterio settoriale e un criterio dimensionale.
CRITERIO SETTORIALE
La normativa prevede un criterio settoriale, cioè individua alcuni settori critici che necessitano di essere protetti adeguatamente dal punto di vista cibersicurezza. Questi sono definiti all’interno di due allegati (I e II) al Decreto stesso, che sintetizziamo di seguito:
Allegato I
Settori ad alta criticità
Individua i settori ad alta criticità, per cui una perturbazione del servizio a seguito di incidente informatico potrebbe determinare gravi conseguenze. Racchiude i settori:
Allegato II
Altri settori critici
Individua i settori critici, per cui una perturbazione del servizio a seguito di incidente informatico potrebbe determinare conseguenze rilevanti. Racchiude i settori:
Il Decreto, infine, agli allegati III e IV stabilisce quali pubbliche amministrazioni sono tenute al rispetto della norma.
CRITERIO DIMENSIONALE
Le organizzazioni private tenute al rispetto del Decreto NIS 2 sono classificate come segue:
SOGGETTI ESSENZIALI
Tutte le grandi imprese che rientrano nel criterio settoriale e superano i massimali per le medie imprese:
Per particolari settori, il soggetto è considerato “essenziale” a prescindere dalla dimensione, vista la criticità dell’attività svolta (per esempio, i fornitori di servizi fiduciari qualificati, di registri dei nomi a dominio di primo livello o prestatori di servizi DNS).
SOGGETTI IMPORTANTI
Gli altri soggetti tenuti al rispetto della normativa, che rientrano nel criterio settoriale e di “media impresa“:
Per particolari settori, il soggetto è considerato “importante” a prescindere dalla dimensione, la criticità dell’attività svolta (nel caso in cui sia l’unico fornitore nello Stato membro di un servizio essenziale o una perturbazione del servizio fornito determini un impatto significativo per la sicurezza pubblica o transfrontaliero.
Questi due criteri devono essere considerati congiuntamente al fine di determinare se una organizzazione rientra nell’ambito di applicazione della normativa.
Nel caso in cui si rientri nel campo di applicazione del Decreto, il soggetto deve porre in essere due tipi di obblighi: predisporre adeguate misure di gestione dei rischi di cibersicurezza e segnalare eventuali incidenti significativi.
MISURE PER LA GESTIONE DEI RISCHI CYBER
Il Decreto NIS 2 si concentra specificamente sulle tipologie di misure di sicurezza che il soggetto deve mettere in atto per:
Queste devono essere adeguate e proporzionate rispetto ai sistemi informativi e reti oggetto di protezione.
L’onere di individuare queste misure è in capo al soggetto medesimo, basandosi su un approccio multirischio volto a proteggere i sistemi informativi e le reti, comprendendo almeno i seguenti elementi:
Il soggetto non deve solo implementare queste misure, ma deve comprovare con atti, procedure e report che queste siano effettivamente applicate ed efficaci.
La portata degli adempimenti, specie in questo ambito, deve comunque essere bilanciata considerando la dimensione e criticità del soggetto essenziale o importante.
OBBLIGO DI SEGNALAZIONE DEGLI INCIDENTI
I soggetti coinvolti dal Decreto hanno l’obbligo di segnalare senza indebito ritardo al CSIRT (nucleo dell’ACN che si occupa di gestire gli incidenti a livello nazionale) incidenti che hanno un impatto significativo sulla fornitura dei loro servizi.
Gli incidenti sono considerati significativi quando hanno avuto un impatto significativo sulla fornitura dei loro servizi o potrebbero ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.
I soggetti coinvolti devono trasmettere al CSIRT:
Qualora il soggetto coinvolto dalla normativa NIS 2 non ottemperi agli obblighi di implementazione di misure per la gestione dei rischi cyber o non segnali incidenti significativi all’autorità, può incorrere in sanzioni amministrative anche rilevanti, alle seguenti condizioni – differenziate in base alla categoria di soggetto:
SOGGETTI ESSENZIALI
Un massimo
| oppure
|
Il Decreto NIS 2 prevede inoltre ulteriori sanzioni per la mancata comunicazione al portale nazionale e non-collaborazione con le autorità competenti:
SOGGETTI IMPORTANTI
Un massimo
oppure
Il Decreto NIS 2 prevede inoltre ulteriori sanzioni per la mancata comunicazione al portale nazionale e non-collaborazione con le autorità competenti:
Il Decreto prevede espressamente che gli organi di amministrazione e direzione debbano approvare le modalità di implementazione delle misure di gestione dei rischi informatici previste dal Decreto, nonché sovraintendere la loro applicazione.
Questi devono ricevere una specifica formazione sulla sicurezza informatica e, analogamente, organizzare attività formative verso i loro dipendenti.
Una importante e rilevante novità del Decreto NIS 2 è che possono essere sottoposti a sanzioni dirette anche gli amministratori, i legali rappresentati e gli organi direttivi e di amministrazione del soggetto essenziale o importante. Il Decreto prevede due modalità di sanzione per queste figure dirigenziali:
Tali soggetti possono essere ritenuti responsabili dell’inadempimento in caso di violazione del Decreto NIS 2 da parte del soggetto di cui hanno rappresentanza.
Può essere applicata una sanzione accessoria di incapacità a svolgere funzioni dirigenziali, mediante una sospensione temporanea fino all’effettivo adempimento.
Il Decreto prevede per i soggetti coinvolti dalla normativa NIS 2 una serie di passaggi che poteranno alla compiuta esecuzione del Decreto:
Attualmente, la piattaforma per registrarsi non è ancora online. Si suggerisce tuttavia di monitorare il sito dell’ACN per eventuali aggiornamenti, che comunicheremo tempestivamente (link esterno). ACN ha inoltre creato una pagina informativa ad hoc sulla NIS, raggiungibile attraverso questo link esterno.
Cosa devo fare come azienda?
Il primo passaggio è verificare se rientro in uno dei settori e sottosettori previsti dalla normativa.
Come abbiamo visto, il Decreto prevede alcuni settori che potrebbero interessare anche associati a CNA (ad esempio, operanti nel settore della trasformazione degli alimenti o della produzione di macchinari).
Se la mia attività rientra in uno di quelli previsti, è necessario verificare il requisito dimensionale, in quanto la NIS 2 si applica anche alle medie imprese (più di 50 dipendenti e 10 mln € di fatturato).
Per qualsiasi ulteriore informazione sul Decreto e per valutare se la vostra organizzazione rientra nel campo di applicazione della NIS 2, vi invitiamo a contattare i nostri consulenti all’indirizzo e-mail: gdpr@cnare.it
Per qualsiasi ulteriore informazione sul Decreto e per valutare se la vostra organizzazione rientra nel campo di applicazione della NIS 2, vi invitiamo a contattare i nostri consulenti all’indirizzo e-mail: gdpr@cnare.it
© 2023 CNA Reggio Emilia — Tutti i diritti riservati.