Entra in vigore anche in Italia la Direttiva NIS 2

Il recepimento della Direttiva NIS2

Il decreto legislativo 4 settembre 2024 n. 138  – Pubblicato con la Gazzetta Ufficiale, n. 230 del 1° ottobre 2024 – (d’ora in avanti anche “Decreto”) che recepisce la Direttiva europea 2022/2555 (d’ora in avanti “Direttiva”), meglio conosciuta come NIS (Network and Information Security) 2, e che è entrata in vigore lo scorso 16 ottobre.

La Direttiva in parola, che abroga la precedente Direttiva (UE) 2016/1148 (nota come Direttiva NIS), si pone come obiettivo il miglioramento della capacità di risposta e di resilienza agli attacchi di cibersicurezza da parte degli operatori, siano essi pubblici o privati, che forniscono servizi di particolare importanza all’interno dello Stato membro. La Direttiva cerca, inoltre, di unificare le procedure in materia di cibersicurezza in tutti gli Stati.

Gli obiettivi della Direttiva NIS 2

Nello specifico, gli obiettivi e il campo di applicazione della Direttiva – sorta appunto per contrastare l’aumento e la sofisticazione degli attacchi informatici – vengono dalla stessa individuati nell’articolo 1, e riguardano: i) gli “obblighi che impongono agli Stati membri di adottare strategie nazionali in materia di cibersicurezza e di designare o creare autorità nazionali competenti, autorità di gestione delle crisi informatiche, punti di contatto unici in materia di cibersicurezza (punti di contatto unici) e team di risposta agli incidenti di sicurezza informatica (CSIRT)”, ii) le misure da adottare per la gestione dei rischi di cibersicurezza e gli obblighi di segnalazione; iii) le norme e gli obblighi relativi alla condivisione delle informazioni sulla cibersicurezza; iv) gli obblighi in materia di vigilanza ed esecuzione per gli Stati membri.

L’ambito di applicazione: i soggetti essenziali e importanti

Inoltre, la NIS 2 ha ampliato anche i soggetti che sono obbligati ad adeguarsi a quanto dalla stessa previsto (art. 3 del Decreto).

Invero, secondo la Direttiva la norma trova applicazione sia nei confronti dei soggetti pubblici che di quelli privati che operano nei settori ad Alta Criticità di cui all’allegato I (ovvero nel settore Energia, Trasporto, Bancario, Infrastrutture dei mercati finanziari, sanitario, acqua potabile, acque reflue, infrastrutture digitali, Gestione dei servizi TIC (business-to-business), Pubblica amministrazione e Spazio) e alle imprese che svolgono attività qualificata come critica dall’allegato II (tra i quali il settore di poste e corrieri, gestione dei rifiuti, alimentare, ricerca, etc.).

Nel Decreto, fermo gli allegati sopra citati, le categorie di pubbliche amministrazioni e le ulteriori tipologie di soggetto a cui si applica il decreto sono state esemplificate negli ulteriori allegati III e IV.

Per le attività di cui agli allegati I e II viene previsto il limite dimensionale dell’impresa di medie dimensioni (articolo 2, paragrafo 1, dell’allegato alla raccomandazione 2003/361/CE), al di sotto del quale la norma non trova applicazione. Sempre in ordine all’ambito di applicazione, all’articolo 2, commi 2 e seguenti, della Direttiva, ovvero all’art. 3, commi 5 e seguenti, del Decreto, vengono indicati i casi in cui la normativa trova sempre operatività, indipendentemente dalla dimensione dell’impresa.

Inoltre, il Decreto all’art. 6 recepisce la distinzione tra soggetti essenziali e soggetti importanti prevista all’art. 3 della Direttiva, per il cui distinguo – essendo particolarmente strutturato – si rinvia alla lettura. All’art. 7 del Decreto vengono, quindi, definite le modalità per l’identificazione ed elencazione dei soggetti essenziali e importanti.

La Direttiva NIS 2 e la Pubblica Amministrazione

Invece, all’art. 4, comma 3, della normativa italiana di recepimento della Direttiva, viene escluso l’ambito di applicazione della norma agli enti, organi e articolazioni della pubblica amministrazione che operano nei settori della pubblica sicurezza, della difesa nazionale, o dell’attività di contrasto nonché agli organismi di informazione per la sicurezza. Detta previsione era stata prevista all’art. 2, comma 7, della Direttiva.

Le sanzioni applicabili

Da non sottovalutare anche il nuovo trattamento sanzionatorio diversificato a seconda che se si tratti di soggetto essenziale o soggetto importante. Nel primo caso le sanzioni possono arrivare a 10.000.000 di euro o il 2% del fatturato annuo se tale importo è superiore; per i soggetti importanti le sanzioni possono giungere siano a 7.000.000 Euro o all’1,4% del fatturato annuo.

Per quanto riguarda le pubbliche amministrazioni, lo Stato italiano ha ritenuto, invece, di applicare un regime diverso (art. 38 del Decreto), e ciò in conformità al comma 6 dell’art. 34 della Direttiva.

La Rete Europea delle Organizzazioni di Collegamento per le Crisi Informatiche

Un’ulteriore novità della NIS 2, così come recepita dallo Stato italiano, è l’istituzione di una rete europea delle organizzazioni di collegamento per le crisi informatiche, definita EU-CyCLONe, volta a sostenere la gestione coordinata degli incidenti di cibersicurezza su vasta scala e di garantire il regolare scambio di informazioni pertinenti tra gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione.

Cosa fare

Il lettore, forse, si starà chiedendo cosa cambia in concreto.

Ebbene, i soggetti “chiamati” dalla Direttiva dovranno farsi trovare preparati alle novità introdotte, attivandosi con le attività ivi previste, fermo restando che occorrerà attendere anche gli ulteriori e successivi atti normativi complementari previsti dal Decreto.