Skip to content Skip to sidebar Skip to footer
RPLT RP legalitax
RPLT RP legalitax
Close
Privacy & Data Protection

NIS 2 – cybersecurity rafforzata e focus sulla supply chain: la sfida italiana

È stato pubblicato in Gazzetta Ufficiale il decreto di recepimento della Direttiva europea NIS 2 (si tratta nello specifico del D. lgs. 138/2024, “Decreto NIS 2”), entrato in vigore dal 16 ottobre e che trova applicazione dallo scorso 18 ottobre. Il Decreto NIS 2 estende l’ambito di applicazione della NIS 1 a sempre più soggetti, detta i requisiti minimi in ambito cybersecurity e rafforza i sistemi di verifica della supply chain, prevedendo importanti sanzioni in caso di violazioni.

  1. Novità rispetto alla NIS 1

Rispetto alla precedente normativa, sono stati ampliati i settori nei quali trova applicazione il Decreto NIS 2, è stato, nella maggior parte dei casi, sostituito il sistema di notifica di ACN (Agenzia per la Cybersicurezza Nazionale, ossia l’autorità competente NIS) con un meccanismo di opt-in, ossia i soggetti che rientrano nell’ambito di applicazione dovranno registrarsi sulla apposita piattaforma messa a disposizione da ACN, sono rafforzati gli obblighi in ambito cybersecurity nonché quelli di verifica della supply chain e da ultimo è stato previsto un sistema sanzionatorio più rigido, che tiene conto anche del fatturato del soggetto che commette la violazione.

  1. Ambito di applicazione

Per quanto attiene i soggetti privati, l’applicazione del Decreto NIS 2 in Italia dipende da due criteri, i quali devono sussistere congiuntamente.

2.1  Criterio “dimensionale”

Per quanto riguarda il criterio dimensionale, il Decreto NIS 2 stabilisce che questo si applica ai soggetti ricompresi negli Allegati I e II, che superano i massimali per le piccole imprese, fatte salve alcune eccezioni, individuate nel decreto stesso. Per taluni soggetti è in realtà irrilevante tale criterio dimensionale, trovando in ogni caso applicazione la normativa: pensiamo ad esempio alle PA o ai fornitori di determinati servizi strategici o ancora ai cosiddetti soggetti critici.

2.2  Criterio “settoriale”

Gli allegati I e II del Decreto contengono un elenco specifico di settori ai quali si applica la normativa, che sostanzialmente riprende integralmente i settori individuati all’interno della NIS 1 (pensiamo al mondo dei trasporti, dell’energia, dei fornitori di CDN e cloud computing), ma rispetto a quest’ultima:

  • è esteso il novero dei soggetti nell’ambito del settore “energia elettrica”;
  • sono stati inclusi anche i settori dell’idrogeno, del teleriscaldamento/tele raffreddamento e dello spazio;
  • anche nel settore sanitario, sono sempre più i soggetti ricompresi (pensiamo alla fabbricazione dei dispositivi medici);
  • è stato notevolmente ampliato il settore delle infrastrutture digitali, ricomprendendo anche, tra gli altri, i fornitori di data center e i fornitori di reti di comunicazione;
  • anche il settore alimentare, in particolare relativo alla distribuzione, è oggi tra quelli ricompresi;
  • è stato aggiunto il settore della fabbricazione di apparecchiature elettroniche e computer;
  • tra i servizi digitali sono ricompresi i fornitori di social network e i fornitori dei servizi di registrazione dei nomi a dominio.

Oltre a quanto sopra, l’allegato III del Decreto NIS 2 individua le PA (sia a livello statale che regionale e comunale) che rientrano nell’ambito di applicazione, mentre l’allegato IV individua altre categorie di soggetti ancora (ad esempio, istituti di istruzione e soggetti che svolgono attività di interesse culturale).

  1. Adempimenti “formali”

Entro il 31 dicembre 2024 – ciascuna società dovrà svolgere un processo di autovalutazione per verificare se, alla luce dei servizi offerti, del settore di appartenenza e dei criteri dimensionali rientri o meno nell’ambito di applicazione del Decreto NIS 2, valutando anche le azioni necessarie e da implementare per la relativa conformità.

Dal 1° gennaio al 28 febbraio [di ogni successivo all’entrata in vigore del Decreto NIS 2, quindi già dal 2025] – registrazione sulla piattaforma che verrà messa a disposizione da ACN dove, tra gli altri, deve anche essere indicato il punto di contatto presso la società per i temi relativi alla NIS con i suoi recapiti.

Entro il 31 marzo [di ogni successivo all’entrata in vigore del Decreto NIS 2, quindi già dal 2025] – ACN conferma o meno l’avvenuta registrazione (eventualmente potrebbe ritenere che un soggetto debba essere espunto).

Dal 15 aprile al 31 maggio [di ogni successivo all’entrata in vigore del Decreto NIS 2, quindi già dal 2025] – ove necessario, integrazione di informazioni sul portale di ACN.

Dal 1° maggio al 30 giugno [di ogni successivo all’entrata in vigore del Decreto NIS 2, quindi già dal 2025] – ove necessario aggiornamento dei servizi erogati.

  1. Adempimenti “sostanziali”

I soggetti che rientrano nell’ambito di applicazione del Decreto devono adottare (indicativamente entro settembre 2026) misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi. Il decreto fornisce un elenco e set minimo di tali misure, che naturalmente caso per caso, possono essere implementate.

  1. politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete;
  2. gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche di incidenti e notifiche volontarie di incidenti (sul punto, sempre il Decreto prevede che, a decorrere dal 1 gennaio 2026, debba essere notificato al CSIRT – Computer Security Incident Response Team istituito presso l’ACN che si occupa di monitorare la sicurezza nazionale ed eventualmente intervenire in caso di incidenti – ogni incidente che ha un impatto significativo sulla fornitura dei servizi, includendo anche informazioni che consentano al CSIRT di determinare un eventuale impatto transfrontaliero dell’incidente, entro 24 ore – eventualmente procedendo con una pre-notifica);
  3. continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro, ove applicabile, e gestione delle crisi;
  4. sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi (questa misura ha un impatto diretto sulla verifica della filiera dei fornitori e la relativa mappatura, anche e soprattutto in termini di sicurezza);
  5. sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità;
  6. politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica;
  7. pratiche di igiene di base e di formazione in materia di sicurezza informatica;
  8. politiche e procedure relative all’uso della crittografia e, ove opportuno, della cifratura;
  9. sicurezza e affidabilità del personale, politiche di controllo dell’accesso e gestione dei beni e degli assetti;
  10. l’uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno.

4.1  Che cosa si intende per “cybersecurity rafforzata”

Le società che rientrano nel perimetro di applicazione del Decreto NIS 2 dovranno implementare misure e procedure volte a garantire e presidiare la gestione del rischio per la sicurezza informatica, adottare una governance che garantisca una formazione continua degli organi direttivi e dei dipendenti, con una maggiore sensibilizzazione sulle tematiche di cybersecurity, implementare procedere volte a presidiare eventuali incidenti e notificare proattivamente, nei termini indicati dalla norma, gli stessi, e da ultimo adottare sistemi che garantiscano la continuità aziendale.

4.2  Verifica della supply chain – principali adempimenti

È necessario che le società si dotino di sistemi di gestione dei fornitori e della relativa filiera affinché siano monitorate le misure di sicurezza implementate dagli stessi fornitori, anche attraverso l’integrazione degli accordi oggi in essere e la pianificazione di audit periodici che consentano di controllare in modo costante la sussistenza delle suindicate misure. Tra le atre, sarà quindi necessario verificare che i fornitori adottino misure di business continuity e disaster recovey congrue rispetto alle misure minime richieste dalla società nel perimetro del Decreto NIS 2, coordinando tali attività di monitoraggio con le procedure aziendali già in essere, ad esempio in ambito data protection e certificazioni ISO.

  1. Sistema sanzionatorio

Il sistema sanzionatorio è stato ancor di più irrigidito, prevedendo scaglioni differenziati a seconda della tipologia di violazione e a seconda che il soggetto sia definito essenziale o importante da ACN:

In caso di mancata approvazione delle modalità di implementazione delle misure di gestione dei rischi ed erogazione di una formazione specifica, mancata adozione delle misure di gestione dei rischi e notifica degli incidenti o ancora inottemperanza alle disposizioni adottate da ACN, le sanzioni vanno fino a fino a un massimo di 10.000.000 euro o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente per i soggetti essenziali. Per i soggetti importanti, invece, sanzioni fino a un massimo di 7.000.000 euro o dell’1,4% del totale del fatturato annuo su scala mondiale per l’esercizio precedente.

Sanzioni ridotte (per i soggetti essenziali, fino a un massimo dello 0,1% del totale del fatturato annuo su scala mondiale per l’esercizio precedente; per i soggetti importanti, fino a un massimo dello 0,07% del totale del fatturato annuo su scala mondiale per l’esercizio precedente) sono poi previste in caso di mancata registrazione, comunicazione o aggiornamento delle informazioni sulla piattaforma, inosservanza delle modalità stabilite da ACN relativamente alla registrazione alla piattaforma e inserimento informazioni, mancata comunicazione o aggiornamento dell’elenco delle attività e dei servizi nonché della loro categorizzazione, mancata implementazione o attuazione degli obblighi e delle previsioni settoriali specifiche, mancata collaborazione con ACN e CSIRT Italia.

Naturalmente, l’entità della sanzione può variare in base ad alcuni criteri correttivi, quali la gravità della stessa e ancora la durata così come la reiterazione della stessa nel corso degli anni.

Hide comments

Leave a comment

You May Also Like

Privacy & Data Protection
Il legislatore italiano decide di sanzionare anche penalmente gli illeciti trattamenti dei dati
Privacy & Data Protection
Il data breach? Basta un pacco smarrito. Garante privacy polacco sanziona un istituto di credito per 330.000 euro
Privacy & Data Protection
L’importanza dell’adozione di policy aziendali in ambito privacy alla luce del recente provvedimento del Garante Pri...

La “Certificazione B Corporation” è un marchio che viene concesso in licenza da B Lab, ente privato no profit, alle aziende che, come la nostra, hanno superato con successo il B Impact Assessment (“BIA”) e soddisfano quindi i requisiti richiesti da B Lab in termini di performance sociale e ambientale, responsabilità e trasparenza.

Si specifica che B Lab non è un organismo di valutazione della conformità ai sensi del Regolamento (UE) n. 765/2008 o un organismo di normazione nazionale, europeo o internazionale ai sensi del Regolamento (UE) n. 1025/2012.

I criteri del BIA sono distinti e autonomi rispetto agli standard armonizzati risultanti dalle norme ISO o di altri organismi di normazione e non sono ratificati da parte di istituzioni pubbliche nazionali o europee.