Lo scorso 16 ottobre 2024 è entrato in vigore il D.lgs. n.138 del 4 settembre 2024, che ha recepito la Direttiva (UE) 2022/2555, meglio nota come NIS 2.
Il decreto si prefigge lo scopo di migliorare il livello di sicurezza informatica in ambito nazionale, contribuendo così ad incrementare il livello comune di sicurezza nell’Unione europea migliorando il funzionamento del mercato interno.
Il decreto oltre a stabilire il quadro nazionale e la strategia di sicurezza informatica (Capo II) e le autorità nazionali competenti nonché il quadro di cooperazione a livello europeo e internazionale (Capo III),
Sono destinatari della normativa e quindi tenuti ad adeguarsi tutti i soggetti che superano i massimali per le piccole imprese, ovvero che impieghino più di 50 persone e realizzino un fatturato annuo o un totale di bilancio annuo superiori a 10 milioni di Euro (Art. 2, paragrafo 2 Allegato alla Raccomandazione 2003/361/CE e che rientrino nelle tipologie di imprese indicate negli Allegati I, II, III e IV del D.Lgs. 138/2024. Per quanto riguarda il settore privato la norma distingue tra “settori ad alta criticità” (Allegato I) e “altri settori critici” (Allegato II).
Da notare però che la norma pone in capo ai soggetti destinatari un obbligo di valutazione in termini di sicurezza della catena di approvvigionamento, compresi gli aspetti riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori. Di conseguenza, anche i soggetti non direttamente interessati dall’applicazione della NIS 2 dovranno attivarsi e adottare misure idonee a garantire ai loro clienti un livello di sicurezza adeguato.
I soggetti destinatari dovranno adottare misure tecniche, organizzative e operative adeguate e proporzionate alla tipologia specifica di attività svolta e idonee a ridurre il rischio di incidenti.
L’approccio indicato richiede l’implementazione di politiche aziendali di analisi del rischio e l’adozione di presidi tecnici ma anche organizzativi idonei a ridurre il rischio.
La gestione del rischio non potrà prescindere dalla gestione degli incidenti, con l’adozione di policy aziendali finalizzate a ridurre i rischi di incidenti ma anche a porvi rimedio in tempi rapidi qualora si verifichino, al fine di ridurne l’impatto e garantire la continuità aziendale e quindi del servizio fornito.
I soggetti destinatari dovranno inoltre dotarsi di procedure per la notifica degli incidenti nei tempi indicati assai stretti indicati dall’art. 25 del D.lgs. 138/2024.
L’Agenzia per la cybersicurezza nazionale (ACN) ha poteri ispettivi e di verifica nei confronti dei soggetti destinatari e può sottoporre questi ultimi a verifiche della documentazione e delle informazioni trasmesse, ispezioni in loco e a distanza, richieste di accesso a documenti, dati e altre informazioni ritenute rilevanti.
All’ACN è affidata l’erogazione di sanzioni che possono essere pecuniare ma anche interdittive.
I soggetti essenziali (escluse le PA) sono punti con sanzioni pecuniarie fino a un massimo di 10 milioni di € o del 2% del fatturato annuo mondiale relativo all’esercizio precedente.
I soggetti importanti (escluse le PA) sono puniti con sanzioni pecuniarie fino a un massimo di 7 milioni di € o del 1,4% del fatturato annuo mondiale relativo all’esercizio precedente.
Si ritengono poi particolarmente rilevanti le sanzioni a carico degli organi direttivi
Gli artt. 23 e 39 del D.Lgs. 138/2024 prevedono che gli organi di amministrazione e gli organi direttivi assicurano il rispetto delle disposizioni del decreto e sono responsabili delle violazioni del decreto da parte del soggetto di cui hanno la rappresentanza.
Nei loro confronti l’ACN può erogare la sanzioni amministrativa accessoria della incapacità a svolgere funzioni dirigenziali all’interno del medesimo soggetto.
Quando era già in fase di avanzamento il recepimento della direttiva europea NIS 2, lo scorso 17 luglio, è entrata in vigore la L. n. 90/ 2024 proprio in materia di rafforzamento della cybersicurezza nazionale e di reati informatici.
La novella è stata elaborata secondo un criterio di coerenza rispetto allo schema del D.lgs. 138/2024, e contiene interventi che, da una parte, investono soprattutto le P.A. di obblighi volti al potenziamento della resilienza in materia di cybersicurezza (Capo I), dall’altra inaspriscono le pene dei reati informatici e introducendo il nuovo reato di estorsione informatica, con evidenti ricadute anche sul catalogo dei reati presupposto di cui al D.lgs. n. 231/2001 (Capo II).
Con riferimento proprio al piano delle sanzioni pecuniarie applicabili all’ente (art. 20), si prevede il raddoppio delle quote (ora, “da duecento a settecento quote”) per la commissione dei delitti informatici presupposto di cui all’art. 24-bis co. 1 del D.lgs. 231/2001, mentre soltanto un aumento (“fino a quattrocento quote”) per i delitti al co. 2 del medesimo art. 24-bis. Per il nuovo reato di estorsione informatica (introdotto all’art. 629 co. 3 c.p.), in cui gli altri delitti informatici (o la minaccia di compierli) fungono da strumento per mettere in atto la tipica fattispecie estorsiva, è fissata invece la sanzione che va da trecento a ottocento quote. Aumento anche per le sanzioni interdittive, “non inferiori a due anni”.
La gestione degli obblighi NIS 2 e l’implementazione di Modelli di gestione della cybersecurity avrà importanti ricadute sulle imprese destinatarie e dovrà necessariamente coordinarsi con il Modello di Organizzazione e Gestione 231 - anche alla luce delle modifiche apportate in tema di reati informatici ai sensi della Legge 90/2024- stante la comune necessità di tutelare la sicurezza dei dati e quindi dell’infrastruttura informatica dell’impresa.
Anche l’attività dell’Organismo di Vigilanza dovrà tenere conto di nuovo adempimenti e verificare:
I sistemi di gestione NIS, 231 e privacy dovranno necessariamente integrarsi con una interconnessione delle politiche e delle procedure aziendali e una strettissima collaborazione tra i soggetti chiamati ad implementare i diversi sistemi e a vigilare sul loro rispetto da parte dei destinatari.