In data 7 agosto 2024 è stata recepita dal Governo italiano la direttiva europea NIS2, con la quale si introducono misure per un livello comune elevato di cybersicurezza nell’Unione Europea: gli obblighi previsti dovrebbero entrare in vigore dal prossimo 18 ottobre.
I nuovi soggetti coinvolti, circa 50mila, che vanno ad aggiungersi a quelli già interessati dalla precedente direttiva NIS, sono considerati «essenziali» ed «importanti» per il Paese, poichè forniscono servizi critici, come, per esempio, quelli postali e dei corrieri, di gestione dei rifiuti, di fabbricazione di dispositivi medici, di computer e prodotti di elettronica ed ottica, oppure ancora quelli legati alla grande distribuzione alimentare. Tuttavia, il nuovo testo normativo non si rivolge indistintamente a tutte le società che insistono all’interno dei suddetti settori, ma specifica in maniera precisa delle “regole”, basate principalmente sulla dimensione del soggetto e sul suo fatturato.
L’Agenzia per la Cybersicurezza Nazionale (ACN) realizzerà una piattaforma ad hoc, che sarà attiva dal 18 ottobre 2024, sulla quale tutti i soggetti che ritengono di essere coinvolti dalle prescrizioni della NIS2 dovranno “auto-registrarsi”, dal 1 gennaio al 28 febbraio 2025, indicando un elenco delle proprie attività e dei propri servizi, comprensivo di tutti gli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza.
Successivamente, entro il 31 marzo 2025, l’ACN andrà a stabilire le categorie di rilevanza nonché il processo, le modalità ed i criteri per l’elencazione, caratterizzazione e categorizzazione delle attività e dei servizi da registrare sulla piattaforma. Concretamente, dunque, la NIS2 in Italia avrà il via il 31 marzo 2025, quando l’ACN avrà completato la lista dei soggetti che dovranno attenersi alla Direttiva.
La direttiva NIS 2 prevede poi che gli operatori inclusi nel suo campo di applicazione dovranno adottare misure tecniche, operative ed organizzative adeguate e proporzionate per gestire i rischi connessi alla sicurezza dei sistemi informatici e delle reti: tra queste misure rientrano a pieno titolo i corsi di formazione obbligatori per il personale. In particolare, gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti:
In aggiunta, gli interessati saranno obbligati a notificare all’ACN eventuali incidenti che abbiano un impatto significativo sulla fornitura dei loro servizi.
Nel caso di specie, i soggetti essenziali ed importanti dovranno:
In ultimo, si segnala che gli operatori inclusi potranno essere soggetti ad attività di vigilanza, tra cui ispezioni in loco e vigilanza a distanza, nonché audit sulla sicurezza periodici e mirati, effettuati da organismi indipendenti o dall’autorità competente.
La Direttiva prevede diverse sanzioni in funzione del fatto che un operatore sia qualificato come «essenziale» o come «importante».
Nel merito, queste le sanzioni comminate da parte dell’ACN, dopo la diffida: