Il 28 febbraio 2025 – per le imprese operanti nei settori considerati essenziali – è scaduto il termine per aderire al nuovo impianto delineato dal D. Lgs. 138/2024, che recepisce la così detta Direttiva NIS 2, vale a dire la Direttiva UE n. 2555/2022.
Il decreto è volto a elevare la tutela del nostro tessuto produttivo nell’ambito della cybersicurezza. L’obiettivo della NIS 2 infatti è quello di giungere a un elevato livello comune di cybersicurezza nell’Unione Europea. A questo scopo vengono individuati dei settori considerati essenziali per l’economia, distinti in “altamente critici” e “critici” e individuati in modo analitico negli allegati I, II, III e IV del decreto.
Quali sono i settori interessati dalla Direttiva NIS 2?
Il D. Lgs. 138/2024 interessa numerosi settori e non solo quelli nominati negli allegati I, II, III e IV. Infatti, sono coinvolti anche tutti i settori ad essi collegati tramite i rimandi contenuti negli allegati stessi e quelli che possono avere un ruolo significativo nel prevenire cyberattacchi. Tra questi, in particolare, possiamo menzionare i fornitori di servizi di firma digitale, dei nomi di dominio e tutti i servizi correlati.
- L’Allegato I individua i settori cosiddetti ad alta criticità, quali ad esempio quello energetico, dei trasporti, bancario e finanziario, sanitario, acqua e acque reflue, infrastrutture digitali, servizi TIC, Pubbliche Amministrazioni e Settore spaziale.
- L’Allegato II individua altri settori critici, quali servizi postali e di corrieri, gestione rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, distribuzione e trasformazione di alimenti, fabbricazione di dispositivi medici e medico-diagnostici, fabbricazione di computer e di elettronica ottica, fabbricazione di apparecchiature elettriche, fabbricazione di macchinari e loro componenti, fabbricazione di veicoli, rimorchi e semirimorchi, fabbricazione di altri mezzi di trasporto, fornitori di servizi digitali, organizzazioni di ricerca.
- L’Allegato III disciplina i settori della pubblica amministrazione quali organizzazioni centrali, regionali e locali.
- L’Allegato IV introduce ulteriori soggetti esercenti attività di fornitura del servizio di trasporto pubblico locale, istituti di istruzione che svolgono attività di ricerca, soggetti che svolgono attività di interesse culturale e società in house, partecipate e a controllo pubblico.
Il criterio adottato per determinare l’appartenenza o meno al perimetro applicativo della Direttiva NIS 2 contempla aspetti sia soggettivi sia oggettivi, quali le dimensioni, il fatturato, i settori di intervento, l’eventuale appartenenza o connessione ad altre realtà considerate essenziali o importanti.
Quali sono gli obblighi per le imprese coinvolte?
Le imprese coinvolte o potenzialmente coinvolte nei settori più delicati avrebbero già dovuto censirsi sul sito dell’Agenzia per la Cybersicurezza Nazionale – ACN. Quindi registrarsi quali soggetti NIS indicando il così detto punto di contatto, vale a dire la persona che assume l’incarico di referente tra l’azienda e l’ACN, individuata dal legale rappresentante tra i dipendenti dell’azienda stessa.
Una volta completato il primo passaggio, avrebbero dovuto compilare alcuni ulteriori campi relativi ai settori e sottosettori indicati negli allegati del decreto, in modo da perfezionare l’iscrizione e attivare il canale comunicativo previsto.
L’inosservanza di tali obblighi comporta delle sanzioni pecuniarie significative (ben dettagliate agli artt. 8 e 9 del decreto). Inoltre, per il soggetto designato, può comportare:
- l’applicazione di una sanzione amministrativa accessoria della incapacità a svolgere funzioni dirigenziali all’interno dell’ente o azienda,
- la sospensione temporanea oppure la richiesta a un organismo di certificazione o autorizzazione, o a un organo giurisdizionale, per la sospensione temporanea di un certificato o un’autorizzazione relativi a una parte o alla totalità dei servizi o delle attività pertinenti svolti dal soggetto essenziale.
Come adeguarsi alla Direttiva NIS 2?
I soggetti chiamati dalla normativa NIS 2 a registrarsi ed entrare nel sistema integrato di controllo e protezione dai cyberattacchi, che entro la scadenza del 28 febbraio si fossero solo censiti sul portale, hanno avuto modo di perfezionare le fasi successive dell’iscrizione entro e non oltre il 10 marzo 2025.
Per quanto il contesto normativo tratteggiato dal decreto sia complesso, nel caso l’impresa o l’ente sia in dubbio sull’obbligo di aderire o meno al sistema della NIS 2, il nostro consiglio è certamente quello di effettuare l’iscrizione e domandare poi all’Agenzia per la Cybersicurezza se possa ritenersi esonerato da tale sistema oppure no. In tale modo si ha la certezza di evitare le sanzioni e di comprendere meglio come la propria attività sia “letta” dall’ACN.
Infatti, entro il 31 marzo di ogni anno l’ACN verifica l’elenco dei soggetti registrati e comunica a ciascuno l’inserimento tra i soggetti qualificati come essenziali o importanti, la permanenza in tale elenco o la cancellazione.
Come si è arrivati alla NIS 2?
Per capire come si è arrivati a questo complesso sistema, è necessario ripercorrere i numerosi interventi normativi degli ultimi anni, volti a intervenire sulle criticità delle infrastrutture tecnologiche del nostro Paese. Infatti, il legislatore europeo e quello italiano, con la consapevolezza dell’estrema vulnerabilità dei sistemi informativi pubblici e privati e del conseguente elevato rischio per la sicurezza nazionale, hanno ritenuto di intervenire su più fronti.
Dal GDPR alla NIS
Si è partiti dal rafforzare la tutela dei dati personali con il GDPR del 2016 e il Codice Privacy, per poi passare alla Direttiva NIS – Network Information Security – recepita in Italia con il D. Lgs. 65/2018,e avente l’obiettivo di garantire la sicurezza delle infrastrutture nei settori strategici. La direttiva nel nostro Paese è stata consolidata con l’adozione del Perimetro di sicurezza cibernetica nazionale, che ha permesso di identificare i soggetti fornitori di servizi essenziali – in un novero più ampio rispetto a quelli della Direttiva – con sede in Italia, per garantirne la sicurezza di reti, infrastrutture informatiche e servizi informativi.
La nascita dell’ACN
Per raggiungere l’obiettivo di avere un controllo centrale sulla cybersicurezza e di coordinare e promuovere allerte e piani di resilienza, il Decreto Legge n° 82/2021 ha istituito L’Agenzia per la Cybersicurezza Nazionale.
L’ACN opera un coordinamento costante nell’attività di formazione e supporto in ambito di cybersicurezza, con obiettivi di eccellenza. L’Agenzia infatti instaura collaborazioni con università e centri di ricerca per raggiungere un livello sempre più alto di sicurezza e resilienza delle realtà del tessuto produttivo e non.
Unitamente all’ACN è stato istituito il Nucleo per la Cybersicurezza, che agisce a supporto della Presidenza del Consiglio dei Ministri per prevenire attacchi cibernetici e per organizzare eventuali allerte.
Il Nucleo è presieduto dal Direttore Generale dell’ACN e ne fanno parte il Consigliere Militare del Presidente del Consiglio dei Ministri, un rappresentante del DIS – Dipartimento delle informazioni per la sicurezza, dell’AISE – Agenzia informazioni e sicurezza esterna, dell’AISI – Agenzia informazioni e sicurezza interna, dei ministeri rappresentati nel CIC – Comitato interministeriale per la cybersicurezza, del Dipartimento di Protezione Civile e da un rappresentante per l’Ufficio centrale per la segretezza, per gli aspetti relativi alla gestione di informazioni classificate.
I provvedimenti più recenti
Con lo stesso Decreto Legge n° 82/2021, sempre in seno all’ACN, è stato anche istituito il CSIRT – Computer Security Incident Response Team, gruppo nazionale di risposta agli incidenti di natura informatica che ha l’obiettivo di elaborare tempestivamente strategie di difesa comuni ed efficaci a sostegno delle attività essenziali e importanti.
Si è poi proceduto a regolamentare il settore finanziario rispetto ai meccanismi di resilienza in caso di cyberattacchi con il Regolamento DORA – Digital Operational Resilience Act del 2022, entrato in vigore in questi giorni, che ha determinato la cornice per la gestione del rischio legato alle infrastrutture digitali nel settore finanziario dell’UE. Inoltre, sono stati individuati i settori così detti critici ed è stata emanata la Direttiva CER – Critical Entities Resilience.
Questa in particolare, migliorando e superando quanto già previsto con il Decreto NIS del 2018, ha identificato quei settori essenziali per il funzionamento e la sopravvivenza del Paese e migliorato la resilienza in caso di attacchi. È intervenuta sul piano della cooperazione europea e sull’obbligatorietà nell’elaborazione di piani di continuità operativa, piani di gestione della crisi, strategie di ripristino e misure di mitigazione del rischio.
Ancora nel 2022 è stato adottato il Cyber Resilience Act, elaborato per agevolare la scelta dei prodotti a contenuto tecnologico attraverso l’individuazione di elementi normativi comuni nel mercato europeo, per rendere hardware e software più sicuri e protetti da attacchi informatici.
Conclusioni
Considerata l’evidente necessità di sapersi difendere dagli attacchi informatici, che si stanno rivelando estremamente insidiosi e capaci di mettere in ginocchio l’economia e la funzionalità delle attività essenziali, la legislazione italiana e quella europea continuano a lavorare per elevare i livelli di consapevolezza e integrare il più possibile gli strumenti di lotta ai cyberattacchi.
Nello Studio Legale DFM siamo a disposizione per chiarire eventuali profili critici e analizzare insieme i possibili scenari.