Con la pubblicazione in Gazzetta Ufficiale del D.lgs. 138 del 2024 l’Italia ha dato attuazione alla Direttiva NIS 2 chiarendo gli adempimenti in carico alle organizzazioni.
La direttiva mira a garantire un aumento del livello di sicurezza cibernetica comune, grazie all’armonizzazione delle norme applicabili ai diversi operatori nei diversi Stati membri e al rafforzamento dei livelli standard di sicurezza rispetto a quelli previsti dalla disciplina vigente.
I principali elementi della nuova normativa NIS sono:
1. l’estensione degli ambiti di applicazione rispetto alla precedente normativa NIS.
2. l’identificazione dei soggetti, distinti tra essenziali e importanti:
3. il rafforzamento degli obblighi con:
- l’obbligo di implementare misure di sicurezza in relazione ad almeno 10 ambiti, con un approccio multi-rischio e proporzionale rispetto al rischio posto al sistema informativo e di rete;
- un processo di notifica degli incidenti più articolato;
- un rafforzamento dei poteri di esecuzione, ispettivi e sanzionatori. In particolare, le sanzioni si allineano a quanto previsto dal GDPR;
4. l’introduzione di nuovi strumenti, quali:
- la divulgazione coordinata delle vulnerabilità (CVD);
- la gestione delle crisi, specie a carattere transfrontaliero, con l’istituzione del Cyber crisis liaison organisation network (CyCLONe) e dell’Autorità nazionale competente per la gestione delle crisi informatiche.
L’ACN (Agenzia per la cybersicurezza nazionale), è l’autorità NIS nazionale investita dei poteri di verifica e ispettivi ed esercita il potere sanzionatorio.
Quali sono i soggetti che ricadono nell’ambito di applicazione?
I soggetti vengono suddivisi in (art. 6):
SOGGETTI ESSENZIALI
- Soggetti che superano i massimali medie imprese;
- Soggetti critici (Direttiva CER);
- Fornitori reti e servizi comunicazione alle PA;
- Prestatori di servizi fiduciari;
- Prestatori servizi registrazione nomi a dominio;
- La PA centrali.
SOGGETTI IMPORTANTI
- quelli non considerati essenziali
Si applica quindi ai soggetti di cui all’Allegato I e II al decreto 138/2024, che superano i massimali per le PMI ai sensi dell’articolo 2, paragrafo 2, dell’allegato alla Raccomandazione 2003/361/CE (vale adire che supera i 50 occupati e realizza un fatturato annuo o un totale di bilancio annuo superiore a 10 milioni di euro), sottoposti alla giurisdizione italiana ai sensi dell’art. 5, nei seguenti settori:
- i soggetti di cui agli allegati I (settori ad alta criticità) e II (altri settori critici) del d.lgs. in commento, quali: settore energia; trasporti; bancario; infrastrutture dei mercati finanziari; sanitario; acqua potabile; acque reflue; infrastrutture digitali (tra cui fornitori di punti di interscambio internet; fornitori di servizi di cloud computing, data center);
- fornitori di servizi postali e di corriere;
- fornitori di Imprese che si occupano della gestione dei rifiuti quali definite all’articolo 3, punto 9), della direttiva 2008/98/CE, escluse quelle per cui la gestione dei rifiuti non è la principale attività economica;
- fabbricazione, produzione e imprese che si occupano della distribuzione di sostanze chimiche;
- imprese alimentari (quali definite dal reg. 178/2002 come ogni soggetto pubblico o privato, con o senza fini di lucro, che svolge una qualsiasi delle attività connesse ad una delle fasi di produzione, trasformazione e distribuzione degli alimenti) che si occupano della distribuzione all’ingrosso e della produzione industriale e della trasformazione;
- fabbricazione (di dispositivi medici; computer, prodotti di elettronica e ottica; di apparecchiature di cui alla sezione C, divisioni 26 – 27 – 28 – 29 -30 della NACE Rev. 2);
- fornitori di servizi digitali quali mercati online, social network, motori di ricerca, servizi di registrazione nomi e dominio;
- Istituti di ricerca;
Si applica, indipendentemente dalle loro dimensioni, anche:
- ai soggetti che sono identificati come» soggetti critici» ai sensi del decreto legislativo 134/24 che recepisce la direttiva (UE) 2022/2557 (Direttiva CER);
- ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
- ai prestatori di servizi fiduciari;
- ai gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;
- ai fornitori di servizi di registrazione dei nomi di dominio;
- alle Pubbliche Amministrazioni (di cui all’articolo 1, comma 3, della legge n. v196/2009, ricomprese nelle categorie elencate nell’Allegato III al d.lgs.;
- ai soggetti delle tipologie di cui all’Allegato IV, individuati secondo le procedure di cui all’art. 3 comma 13;
- all’impresa collegata ad un soggetto essenziale o importante, se soddisfa almeno uno dei criteri di cui all’art. 3 comma 10 del d.lgs. 138/24;
- anche qualora il soggetto sia considerato critico ai sensi del presente decreto quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti.
Termini di applicazione delle disposizioni
Dal 1°dicembre 2024 al 28 febbraio 2025
i soggetti pubblici e privati a cui si applica la NIS devono manifestarsi all’Autorità per la Cybersicurezza Nazionale (l’Autorità italiana designata competente NIS) registrandosi sulla piattaforma digitale (ai sensi e per gli effetti dell’art. 7 del d.lgs. 138/24).
Prima di registrarsi, il soggetto deve designare un PUNTO DI CONTATTO (legale rappresentante, o un procuratore generale, o un dipendente delegato dal rappresentante legale del soggetto).
Al termine della fase di registrazione, l’Agenzia e le Autorità di settore vaglieranno le dichiarazioni per costituire l’elenco dei soggetti NIS entro fine marzo 2025.
Nel mese di aprile 2025, l’ACN notificherà al domicilio digitale di tutti i soggetti registrati se rientrano, o meno, nell’elenco.
Resta ferma la possibilità per l’Autorità nazionale competente NIS, su proposta delle Autorità di settore, di individuare ulteriori soggetti ritenuti critici. Tali soggetti riceveranno una specifica comunicazione diretta, a valle della quale potranno procedere con la registrazione.
La mancata registrazione è una violazione che ha una sanzione amministrativa pecuniaria con un importo fino al 0.1% del fatturato annuo su scala mondiale del soggetto.