Il decreto di attuazione della direttiva europea Nis 2: impatto e scenari

Il panorama degli attacchi cyber è in continua e costante evoluzione e pone molteplici sfide alle nostre imprese. La Direttiva (UE) 2022/2555  “NiS 2” è finalizzata a definiremisure volte a garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea in modo da migliorare il funzionamento del mercato interno.

Il Decreto Legislativo n. 138/2024 specifica il proprio ambito di applicazione che ricomprende i soggetti privati e pubblici che operano nei settori indicati rispettivamente dagli allegati I-II e III-IV del decreto.

L’allegato I riguarda i settori ad alta criticità che ricomprende: Energia, Trasporti Settore bancario, Infrastrutture dei mercati finanziari, Settore sanitario, Acque potabile e acque reflue, Infrastrutture digitali, Gestione dei servizi delle tecnologie dell’informazione e della comunicazione (Tic) e Spazio.

L’allegato II “Altri Servizi critici ricomprende: Servizi postali e di corriere, Gestione dei rifiuti, Produzione, trasformazione e distribuzione di alimenti

Fabbricazione, Fornitori di servizi digitali e Ricerca".

L’allegato III riguarda le amministrazioni centrali, regionali, locali e di altro tipo.

L’allegato IV ha ad oggetto “Ulteriori tipologie di soggetti”: ricomprende soggetti che forniscono servizi di trasporto pubblico locale, Istituti di istruzione che svolgono attività di ricerca, soggetti che svolgono attività di interesse culturale, società in house, società partecipate e società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175.

Il decreto non si applica alle piccole e medie imprese, salvo specifiche eccezioni.

Il decreto si applica, infine, indipendentemente dalle sue dimensioni, all’impresa collegata ad un soggetto essenziale o importante, se soddisfa almeno uno dei seguenti criteri: adotta decisioni o esercita una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale; detiene o gestisce sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale; effettua operazioni di sicurezza informatica del soggetto importante o essenziale; fornisce servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale.

Gli enti ad alta criticità e critici si dividono in soggetti essenziali ed importanti a seconda delle dimensioni e dei servizi erogati come indicato dall’art. 6. Tra i soggetti essenziali sono ricomprende gli enti che superano i massimali per le medie imprese di cui all'articolo 2, paragrafo 1, dell'allegato della raccomandazione 2003/361/CE.

Le aziende e le pubbliche amministrazioni dovranno effettuare entro il 31 dicembre un’analisi preventiva e un assessment per comprendere e stabilire se siano o meno soggette agli obblighi della Direttiva NIS 2, alla luce delle disposizioni degli artt. 6 e 7, degli Allegati I, II, III e IV.

 I soggetti essenziali e importanti dovranno dal 1° gennaio al 28 febbraio di ogni anno registrarsi sulla piattaforma digitale resa disponibile da ACN fornendo le informazioni richieste dalla normativa o aggiornare la propria registrazione sulla piattaforma digitale resa disponibile 

dall’Autorità nazionale competente NIS ai fini dello svolgimento delle funzioni attribuite all’Agenzia per la cybersicurezza nazionale.

La normativa si focalizza anche sui fornitori dei soggetti ad alta criticità o soggetti critici.

Tra le novità più rilevanti del decreto attuativo emerge la responsabilizzazione della governance delle società: gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti hanno precise responsabilità in materia di cybersecurity e rispondono di persona.

La cybersecurity non è, più, più una materia che si può delegare all’ICT ma costituisce una materia strategica al pari del bilancio e del personale di un’azienda, non rappresenta, pertanto, più una materia per gli addetti ai lavori.

Il coinvolgimento della governance viene previsto in quattro ambiti: misure di sicurezza, formazione, incidenti, responsabilità.

Gli organi di gestione devono pertanto definire le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica adottate da tali soggetti ai sensi dell’articolo 24, devono sovrintendere all’implementazione degli obblighi della registrazione al portale di Acn (previsto dall’art.7).

Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti: sono tenuti a seguire una formazione in materia di sicurezza informatica e a promuovere l’offerta periodica di una formazione coerente a quella impartita ai loro dipendenti, per favorire l’acquisizione di conoscenze e competenze sufficienti al fine di individuare i rischi e valutare le pratiche di gestione dei rischi per la sicurezza informatica e il loro impatto sulle attività del soggetto e sui servizi offerti.

Viene previsto che gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti 

importanti sono informati su base periodica o, se opportuno, tempestivamente, degli incidenti e delle notifiche indicate agli articoli 25 e 26.

I componenti degli organi di gestione sono responsabili delle violazioni del decreto.

Qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni previste dal decreto. Tali persone fisiche possono essere ritenute responsabili dell’inadempimento in caso di violazione del decreto da parte del soggetto di cui hanno rappresentanza.

Gli obblighi sopra illustrati relativi agli organi di amministrazione scatteranno dal 1 ottobre 2026.

L’attuazione della direttiva Nis costituisce una pietra angolare della diffusione della cultura informatica e della cybersecurity: l’inizio di un lungo percorso per la difesa delle nostre aziende caratterizzato da un approccio multirischio e dall’adozione di misure non solo tecniche ma organizzative, gestionali e giuridiche e costituisce, pertanto, un’importante opportunità di crescita professionale per gli operatori: secondo una prima proiezione e studio di Acn, la nuova direttiva impatterà su circa 50.000 imprese.

(Fonte: Diritto e Giustizia)