BCA News

Recepimento della Direttiva NIS2 in tema di Cybersicurezza

In data 7 agosto 2024 è stata recepita dal Governo italiano la direttiva europea NIS2, con la quale si introducono misure per un livello comune elevato di cybersicurezza nell’Unione Europea: gli obblighi previsti dovrebbero entrare in vigore dal prossimo 18 ottobre.

I nuovi soggetti coinvolti, circa 50mila, che vanno ad aggiungersi a quelli già interessati dalla precedente direttiva NIS, sono considerati «essenziali» ed «importanti» per il Paese, poichè forniscono servizi critici, come, per esempio, quelli postali e dei corrieri, di gestione dei rifiuti, di fabbricazione di dispositivi medici, di computer e prodotti di elettronica ed ottica, oppure ancora quelli legati alla grande distribuzione alimentare. Tuttavia, il nuovo testo normativo non si rivolge indistintamente a tutte le società che insistono all’interno dei suddetti settori, ma specifica in maniera precisa delle “regole”, basate principalmente sulla dimensione del soggetto e sul suo fatturato.

L’Agenzia per la Cybersicurezza Nazionale (ACN) realizzerà una piattaforma ad hoc, che sarà attiva dal 18 ottobre 2024, sulla quale tutti i soggetti che ritengono di essere coinvolti dalle prescrizioni della NIS2 dovranno “auto-registrarsi”, dal 1 gennaio al 28 febbraio 2025, indicando un elenco delle proprie attività e dei propri servizi, comprensivo di tutti gli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza.

Successivamente, entro il 31 marzo 2025, l’ACN andrà a stabilire le categorie di rilevanza nonché il processo, le modalità ed i criteri per l’elencazione, caratterizzazione e categorizzazione delle attività e dei servizi da registrare sulla piattaforma. Concretamente, dunque, la NIS2 in Italia avrà il via il 31 marzo 2025, quando l’ACN avrà completato la lista dei soggetti che dovranno attenersi alla Direttiva.

La direttiva NIS 2 prevede poi che gli operatori inclusi nel suo campo di applicazione dovranno adottare misure tecniche, operative ed organizzative adeguate e proporzionate per gestire i rischi connessi alla sicurezza dei sistemi informatici e delle reti: tra queste misure rientrano a pieno titolo i corsi di formazione obbligatori per il personale. In particolare, gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti:

· sono tenuti a seguire una formazione in materia di sicurezza informatica;
· promuovono l’offerta periodica di una formazione coerente ai loro dipendenti.

In aggiunta, gli interessati saranno obbligati a notificare all’ACN eventuali incidenti che abbiano un impatto significativo sulla fornitura dei loro servizi.

Nel caso di specie, i soggetti essenziali ed importanti dovranno:

· senza ingiustificato ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo, inviare una pre-notifica che, ove possibile, indichi se l’incidente possa ritenersi il risultato di atti illegittimi o malevoli o possa avere un impatto transfrontaliero;
· senza ingiustificato ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell’incidente significativo, inviare una notifica dell’incidente che, ove possibile, aggiorni le informazioni di cui sopra ed indichi una valutazione iniziale dell’incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione;
· su richiesta del CSIRT Italia, redigere una relazione intermedia sui pertinenti aggiornamenti della situazione;
· redigere una relazione finale entro un mese dalla trasmissione della notifica dell’incidente, che comprenda: una descrizione dettagliata dell’incidente, ivi inclusi la sua gravità ed il suo impatto, il tipo di minaccia o la causa originale che ha probabilmente innescato l’incidente, le misure di attenuazione adottate e in corso e, ove noto, l’impatto transfrontaliero dell’incidente. In caso di incidente in corso al momento della trasmissione della relazione finale, si dovrà redigere una relazione mensile sui progressi ed un’ulteriore relazione finale entro un mese dalla conclusione della gestione dell’incidente.

In ultimo, si segnala che gli operatori inclusi potranno essere soggetti ad attività di vigilanza, tra cui ispezioni in loco e vigilanza a distanza, nonché audit sulla sicurezza periodici e mirati, effettuati da organismi indipendenti o dall’autorità competente.

La Direttiva prevede diverse sanzioni in funzione del fatto che un operatore sia qualificato come «essenziale» o come «importante».

Nel merito, queste le sanzioni comminate da parte dell’ACN, dopo la diffida:

· per i soggetti essenziali, escluse le pubbliche amministrazioni, sanzioni amministrative pecuniarie fino a un massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, se tale importo è superiore;
· per i soggetti importanti, escluse le pubbliche amministrazioni, sanzioni amministrative pecuniarie fino a un massimo di euro 7.000.000 o dell’1,4% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, se tale importo è superiore;
· per le pubbliche amministrazioni, sanzioni amministrative pecuniarie da euro 25.000 a euro 125.000.