Il 16 ottobre 2024 è entrato in vigore il D.lgs. 138/2024 che attua in Italia la Direttiva 2022/2555, in materia di Cybersecurity, nota come NIS 2 .
L’obiettivo della normativa comunitaria prima e nazionale poi è quello di garantire un livello comune elevato di cybersecurity nell’Unione Europea; per ottenere questo risultato alle imprese private rientranti in determinate categorie e alle pubbliche amministrazioni è richiesta l’adozione di misure specifiche per la gestione dei rischi di cybersicurezza, per la segnalazione degli incidenti e per la condivisione delle informazioni sulla cybersicurezza.
Si tratta dell’implementazione di un sistema di gestione del rischio legato alla cybersecurity, che comporta più fasi:
- dal 1° dicembre 2024 al 28 febbraio 2025 i soggetti pubblici e privati sottoposti alla disciplina devono registrarsi sulla piattaforma digitale per la registrazione dei soggetti NIS
- entro il successivo 31 marzo 2025 l’ACN, redigerà l’elenco dei soggetti qualificati come “essenziali” o “importanti”
- dopo la pubblicazione dell’elenco di cui sopra da parte di ACN, iniziano a decorrere i termini di applicazione della disciplina. Più esattamente
- 9 mesi per le notifiche degli incidenti ai sensi dell’art. 25 del D.lgs. 138/2024 (si precisa che la nozione di “incidente” della NIS 2 è diversa da quella di data breach del GDPR)
- 18 mesi per l’implementazione delle specifiche misure di sicurezza.
Cosa fare
Il primo passo è senza dubbio quello di valutare
- se si rientri o meno nel campo di applicazione della normativa e
- in caso positivo provvedere alla registrazione sulla piattaforma digitale per la registrazione dei soggetti NIS entro il termine ultimo del 28/02/2025.
Per facilitare l’analisi dell’applicabilità o meno della NIS 2 alla propria organizzazione, lo Studio Stefanelli&Stefanelli ha approntato un breve percorso di autovalutazione composto da una check list per la individuazione delle imprese private che rientrano nell’ambito di applicazione della NIS2, corredata dal glossario minimo dei termini da conoscere e dal disegno del profilo del servizio erogato.
Le check list sono somministrate dalla piattaforma digitale proprietaria ASG© (Analisi dei Sistemi di Gestione), della quale trovate tutte le informazioni all’indirizzo www.privacygdpr.it.
Quanto alla registrazione sulla piattaforma, l’ACN ha pubblicato la Determinazione del Direttore generale dell’Agenzia per la cybersicurezza nazionale, che fornisce indicazioni sulle modalità e il procedimento di registrazione e di utilizzo della piattaforma, come la necessità per ciascun soggetto NIS di designare all’interno della propria organizzazione un punto di contatto, che curi l’attuazione delle disposizioni del decreto NIS e interloquisca con ACN nonché provveda a registrarsi sul portale ACN (tramite SPID).
Ai soggetti registrati e inseriti nell’elenco dei soggetti NIS, l’ACN comunicherà un codice identificativo univoco.
La Determinazione offre anche indicazioni rilevanti per la registrazione di soggetti che non siano imprese autonome.
Aggiungiamo che la NIS2 e il decreto attuativo prevedono, in capo alle imprese tenute ad adeguarsi, un obbligo di valutare l’adeguatezza in tema di cybersecurity della propria supply chain; ne consegue che anche quei soggetti che non hanno un obbligo “diretto” di implementazione della NIS2 ma che sono fornitori che possono impattare sulla sicurezza dei soggetti obbligati, dovranno comunque esaminare attentamente il proprio modello di gestione della cybersecurity e implementare le misure tecniche e organizzative necessarie.
Successivamente all’inserimento nell’elenco dei soggetti NIS, ciascun soggetto sarà chiamato a implementare un sistema di compliance NIS, con le relative procedure, ad esempio, per la segnalazione degli incidenti, integrato con gli altri sistemi di gestione, quali il sistema privacy, il Modello organizzativo 231 o i sistemi qualità già adottati.
In particolare, la gestione degli obblighi NIS 2 e l’implementazione di Modelli di gestione della cybersecurity avrà importanti ricadute sulle imprese destinatarie e dovrà necessariamente coordinarsi con il Modello di Organizzazione e Gestione 231 - anche alla luce delle modifiche apportate in tema di reati informatici ai sensi della Legge 90/2024- stante la comune necessità di tutelare la sicurezza dei dati e quindi dell’infrastruttura informatica dell’impresa (si veda sul punto il nostro approfondimento "Nuovi requisiti di Sicurezza informatica: l’evoluzione della NIS2, la legge n. 90/2024 e l’impatto sui modelli 231. Cosa cambia per le imprese e per l’OdV?"
I sistemi di gestione NIS, 231 e privacy dovranno necessariamente integrarsi con una interconnessione delle politiche e delle procedure aziendali e una strettissima collaborazione tra i soggetti chiamati ad implementare i diversi sistemi e a vigilare sul loro rispetto da parte dei destinatari.
Segnaliamo un ulteriore aspetto di estrema rilevanza.
La Direttiva e il D.lgs 138/2024 fissano un impianto sanzionatorio molto impattante per i soggetti tenuti ad adeguarsi, con una novità di estremo rilievo.
L’art. 23 del decreto stabilisce infatti sanzioni personali e dirette in capo ai membri dei CdA ed in generale dei soggetti che sono deputati all’interno dell’azienda ad attuare la compliance alla cybersicurezza: tali sanzioni sono non solo di natura economica ma possono consistere anche nella interdizione allo svolgimento delle attività manageriali, con evidenti ricadute sull’organizzazione e la continuità operativa della società.
Si tratta quindi di un rischio molto alto che occorre valutare con estrema attenzione: l’analisi degli illeciti informatici è un tema non più rinviabile, sia che si tratti di illeciti a vantaggio dell’ente (con responsabilità 231), sia che si tratti di illeciti in danno delle persone giuridiche (rilevanti ai sensi della NIS 2).
Una compliance integrata, diventa, oggi quindi indefettibile.