Secondo la bozza visionata da Cybersecurity Italia le disposizioni del decreto legislativo di recepimento della NIS2 si applicano a decorrere dal 18 ottobre 2024.
Il Governo ha tempo di recepire la Direttiva NIS2 entro il 17 ottobre 2024, ma sembra voglia fare presto. Il via potrebbe arrivare domani, 7 agosto, in Consiglio dei ministri con l’approvazione del relativo decreto legislativo con cui l’Italia va a recepire “le misure per un livello comune elevato di cybersicurezza nell’Unione Europea” previste proprio nella direttiva NIS2.
L’obiettivo del legislatore europeo con l’entrata in vigore della NIS2 è migliorare le capacità di resilienza e di risposta agli incidenti cyber da parte di operatori che forniscono servizi di vitale importanza per le principali attività sociali ed economiche dell’UE.
Prima certezza. Oggi dalle ore 12 sul tavolo della riunione preparatoria del CdM di dopodomani c’è anche lo schema del decreto legislativo per recepire la NIS2, schema che ha già ricevuto i pareri del Senato e della Camera dei deputati. Manca quindi solo l’approvazione del Consiglio dei ministri.
Dopo l’approvazione del CdM, il decreto legislativo viene emanato dal Presidente della Repubblica e pubblicato sulla Gazzetta Ufficiale. Entra in vigore dopo 15 giorni dalla pubblicazione.
Secondo la bozza visionata da Cybersecurity Italia le disposizioni del decreto legislativo di recepimento della NIS2 si applicano a decorrere dal 18 ottobre 2024.
Per tutti i soggetti coinvolti cosa cambierà?
L’Agenzia per la Cybersicurezza Nazionale (ACN) avrà meno tempo per realizzare la piattaforma sulla quale tutti i soggetti che ritengono di essere “sicuramente” coinvolti dalle prescrizioni della NIS2 dovranno “auto-accreditarsi”. Poi dopo le verifiche di ACN, sarà la stessa Agenzia a rispondere ai soggetti e a confermare o meno lo status di NIS2.
Da quel momento in poi, i soggetti coinvolti dovranno iniziare a conformarsi alla NIS2.
Il direttore generale dell’ACN Bruno Frattasi ai nostri microfoni ha detto sono circa “50mila i nuovi operatori interessati dalla NIS2”.
A chi si applica la NIS2?
La novità principale della Direttiva NIS 2 è proprio il suo ambito di applicazione, decisamente più ampio rispetto a quello dell’originaria Direttiva NIS. In particolare, le nuove disposizioni normative si applicano a due categorie di soggetti definiti come “essenziali” e “importanti”, i quali non operano solo nei settori originariamente previsti dalla Direttiva NIS (e.g., i settori dell’energia, dei trasporti, della sanità, così come quello bancario e dei mercati finanziari, etc.), ma forniscono anche servizi altrettanto critici, come, ad esempio, quelli postali e dei corrieri, di gestione dei rifiuti, di fabbricazione di dispositivi medici, di computer e prodotti di elettronica e ottica, oppure, ancora, quelli legali alla grande distribuzione alimentare.
Tuttavia, il nuovo testo normativo non si rivolge indistintamente a tutte le società che insistono all’interno dei suddetti settori, ma specifica in maniera precisa delle “regole”, basate principalmente sulla dimensione del soggetto e sul suo fatturato.
Quali sono i principali obblighi della Direttiva NIS2?
Ciò premesso, fermo restando il ruolo che il legislatore italiano comunque avrà in fase di recepimento, la Direttiva NIS 2 già oggi prevede che, come già avvenuto per l’originaria Direttiva NIS, gli operatori inclusi nel suo campo di applicazione dovranno adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi connessi alla sicurezza dei sistemi informatici e delle reti.
Inoltre, la Direttiva NIS 2 prevede che siano i membri degli “organi di gestione” degli operatori inclusi ad approvare le suddette misure, sovraintendendo alla loro implementazione e corretta attuazione. Facendo presagire, quindi, una loro chiara responsabilizzazione in fase attuativa, che ricalca quanto prevede, ad esempio, il legislatore italiano all’interno della normativa sul Perimetro di Sicurezza Nazionale Cibernetica.
In aggiunta a quanto sopra, i soggetti essenziali e importanti saranno obbligati a notificare all’autorità competente, senza indebito ritardo, eventuali incidenti che abbiano un impatto significativo sulla fornitura dei loro servizi. In particolare, il legislatore prevede la trasmissione di un preallarme entro le 24 ore dalla conoscenza dell’incidente, nonché l’inoltro di un’ulteriore notifica entro 72 ore che, se opportuno, aggiorni le informazioni precedentemente fornite.
In ultimo, si segnala che alla luce della Direttiva NIS 2 gli operatori inclusi potranno essere soggetti ad attività di vigilanza, tra cui ispezioni in loco e vigilanza a distanza, nonché audit sulla sicurezza periodici e mirati, effettuati da organismi indipendenti o dall’autorità competente.
Quali sono le sanzioni per chi non si conforma?
La Direttiva prevede diverse sanzioni in funzione del fatto che un operatore sia qualificato come essenziale o come importante.
Nel merito i soggetti essenziali saranno sottoposti a sanzioni pecuniarie amministrative pari a un massimo di Euro 10.000.000 o a un massimo del 2% del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore. Per i soggetti importanti, invece, potranno essere comminate sanzioni pari a un massimo di Euro 7.000.000 o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo per l’esercizio precedente, se tale importo è superiore.
Quali raccomandazioni si possono dare agli operatori?
Dall’analisi della Direttiva NIS 2 e fermo restando il ruolo del legislatore italiano in fase di recepimento, risulta chiaro come tale corpus normativo abbia l’intento di migliorare le capacità di resilienza e di risposta agli incidenti da parte dei soggetti qualificabili come essenziali ed importanti.
In un simile contesto, tuttavia, non possono non riconoscersi le possibili interconnessioni – e in alcuni casi “sovrapposizioni applicative” – che sussistono tra la Direttiva NIS 2, il Regolamento DORA, la Direttiva CER, il Cyber Resilience Act e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.
Pertanto, considerati gli ampi sforzi organizzativi ed economici che i soggetti inclusi dovranno sostenere, appare quantomai opportuno che gli operatori coinvolti nell’applicazione della Direttiva NIS 2 inizino quanto prima a predisporre un piano di adeguamento che tenga conto – razionalizzandoli – di tutti gli adempimenti richiesti in materia di cybersecurity dal legislatore europeo e nazionale.