NIS 2 in arrivo: obblighi e tempistiche per le aziende
Aggiornamento 01.10.2024: in data 01.10.2024 è stato pubblicato in Gazzetta Ufficiale il Decreto Legislativo 4 settembre 2024, n. 138 di recepimento della Direttiva (UE) 2022/2555. Non essendoci differenze rilevanti tra il decreto di recepimento e lo schema di decreto legislativo trasmesso alle Camere sul quale si basa la seguente newsletter, quanto segue risulta ancora valido e attuale.
Con la presente newsletter, in attesa della pubblicazione in Gazzetta Ufficiale del decreto legislativo di attuazione, analizziamo i principali adempimenti richiesti alle aziende dalla Direttiva NIS 2, che disegna un nuovo quadro normativo in materia di cybersicurezza a livello comunitario, nonché le tempistiche di adeguamento.
NEED TO KNOW – Il decreto di attuazione non è ancora stato pubblicato in Gazzetta Ufficiale – La NIS 2 e il decreto saranno in vigore dal 18 ottobre 2024 ma il primo adempimento (auto-segnalazione circa la propria idoneità a essere qualificato come soggetto critico) è previsto dal 1° gennaio al 28 febbraio 2025 – Il termine per adeguarsi agli obblighi in materia di notificazione degli incidenti informatici scadrà per ciascuna azienda non prima della fine del 2025, quello legato all’implementazione delle misure di sicurezza non prima di settembre 2026 |
INDICE
- Lo stato di attuazione della Direttiva NIS 2 in Italia
- Impostazione e contenuti della nuova normativa
- Procedimento e tempistiche di identificazione dei soggetti critici
- Primi termini per l’adempimento degli obblighi
- Conclusioni
1. Lo stato di attuazione della Direttiva NIS 2 in Italia
La Direttiva NIS 2 (2022/2555), avente la finalità di garantire un livello comune elevato di cybersicurezza all’interno dell’Unione Europea, entrerà in vigore il 18 ottobre 2024, abrogando la precedente Direttiva UE 2016/1148 (c.d. NIS 1).
Entro il 17 ottobre gli Stati Membri dovranno recepire il provvedimento: ricevuto il parere favorevole con osservazioni delle Camere, lo scorso 7 agosto il Consiglio dei ministri ha approvato in via definitiva il decreto legislativo di attuazione della NIS 2, che entrerà in vigore il 18 ottobre 2024.
La pubblicazione del decreto di attuazione in Gazzetta Ufficiale avverrà a strettissimo giro (basti considerare che in data 23 settembre 2024 è stato pubblicato il d. lgs. 4 settembre 134/2024, di recepimento della Direttiva UE 2022/2557 – c.d. CER, anch’esso approvato dal Governo nel CdM del 7 agosto). Nel frattempo, auspicando che il testo di legge non si discosti molto dallo schema di decreto legislativo trasmesso alle Camere, è opportuno fare riferimento a quest’ultimo trarre indicazioni utili agli operatori anche con riferimento ai tempi di adeguamento.
2. Impostazione e contenuti della nuova normativa
Al fine di comprendere al meglio le tempistiche previste, è opportuno riepilogare i punti alcuni concetti chiave della Direttiva, riportati nello schema di decreto.
2.1. Ambito di applicazione
La nuova normativa in materia di cybersicurezza amplia il novero dei soggetti obbligati, che vengono definiti “soggetti critici” e suddivisi a loro volta in due diverse categorie, secondo il grado di criticità: soggetti importanti (grado più basso) e soggetti essenziali (grado più alto). A questi ultimi sono richiesti ovviamente degli oneri maggiori in termini di sicurezza.
Fondamentale sottolineare che la NIS 2 demanda agli Stati Membri l’onere di individuare un elenco preciso e nominale dei soggetti critici, che dovrà essere aggiornato ogni anno. Le aziende che ritengono di essere nel campo di applicazione della normativa, nei termini che si diranno infra, dovranno segnalarsi tramite l’apposita piattaforma implementata a livello nazionale; sarà poi lo Stato a confermare lo status di soggetto importante o essenziale di ciascuna azienda.
Quanto ai criteri per l’identificazione dei soggetti critici, occorre fare riferimento all’art. 3 dello schema di decreto legislativo, nonché agli allegati I, II, III e IV dello stesso, recanti i settori di criticità (es. fabbricazione e produzione di sostanze chimiche, gestione dei rifiuti, fabbricazione di dispositivi medici, produzione, trasformazione e distribuzione di alimenti, ecc.), all’interno dei quali vi sono delle differenziazioni in base alle dimensioni dell’impresa.
Di seguito riportiamo uno schema per facilitare l’indagine circa l’idoneità della propria azienda ad essere qualificata soggetto importante o essenziale.
PICCOLE IMPRESE: meno di 50 dipendenti e meno di 10 mln di fatturato oppure meno di 10 mln di totale bilancio annuo MEDIE IMPRESE: meno di 250 dipendenti e meno di 50 mln di fatturato oppure meno di 43 mln di totale bilancio annuo GRANDI IMPRESE: tutte le altre |
Imprese appartenenti ai settori ad alta criticità di cui all’allegato I (energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestione servizi TIC, spazio): – se PICCOLE imprese, NON si applica la normativa – se MEDIE imprese, sono SOGGETTI IMPORTANTI – se GRANDI imprese, sono SOGGETTI ESSENZIALI Imprese appartenenti ai settori ad altri settori critici di cui all’allegato II (servizi postali e di corriere, gestione dei rifiuti, fabbricazione/produzione/distribuzione di sostanze chimiche, produzione/trasformazione e distribuzione di alimenti, fabbricazione, fornitori di servizi digitali, ricerca): – se PICCOLE imprese, NON si applica la normativa – se MEDIE o GRANDI imprese, sono SOGGETTI IMPORTANTI |
Amministrazioni centrali, regionali, locali e di altro tipo di cui all’allegato III (PA): – a prescindere dalle proprie dimensioni, sono SOGGETTI ESSENZIALI |
Ulteriori tipologie di soggetti di cui all’allegato IV (trasporto pubblico locale, ricerca, attività di interesse culturale, società a controllo pubblico): – a prescindere dalle proprie dimensioni, sono SOGGETTI IMPORTANTI |
Soggetti identificati come critici nel d. lgs. 134 del 4 settembre 2024, di recepimento della direttiva 2022/2557 (circa la resilienza fisica, non informatica, dei soggetti critici): – se PICCOLE, MEDIE, GRANDI imprese, sono sempre SOGGETTI ESSENZIALI |
Imprese collegate a soggetto essenziale o importante: – se PICCOLE, MEDIE, GRANDI imprese, sono sempre SOGGETTI IMPORTANTI, salvo che l’autorità nazionale competente NIS le indichi come SOGGETTI ESSENZIALI |
Per i soggetti indicati all’art. 5, comma 3, del decreto legislativo di recepimento (fornitori di reti/servizi di comunicazione, prestatori di servizi fiduciari, gestori registri dei nomi di dominio): – se PICCOLE o GRANDI imprese, sono SOGGETTI IMPORTANTI – se GRANDI imprese, sono SOGGETTI ESSENZIALI |
2.2. Prescrizioni ai soggetti critici
La nuova normativa in materia di cybersicurezza prescrive in capo ai soggetti critici (a prescindere che siano importanti o essenziali) sostanzialmente due diverse tipologie di obblighi:
- obbligo di notificare gli incidenti informatici significativi: l’art. 25 dello schema di decreto indica i criteri per ritenere un incidente come significativo e individua regole e tempistiche di gestione dello stesso (entro 24 ore dall’incidente è necessaria una pre-notifica, entro 72 ore una notifica con una valutazione iniziale dello stesso ed entro un mese una relazione finale sulla gestione dello stesso);
- obbligo di adottare adeguate misure di gestione dei rischi di sicurezza informatica: tra le misure minime elencate all’art. 24, comma 2, dello schema di decreto, si citano:
- l’adozione di adeguate politiche aziendali sull’analisi dei rischi, sulla continuità operativa (c.d. disaster recovery), sulla gestione degli incidenti, sull’uso di crittografia e cifratura;
- l’adeguata formazione del personale in materia di cybersecurity;
- l’uso dell’autenticazione a due fattori e di sistemi di comunicazioni protetti;
- la sicurezza nell’acquisto e nel mantenimento dei sistemi informativi e di rete, nonché nella catena di approvvigionamento.
Entro il 17 ottobre 2024 sarà adottato pubblicato il regolamento esecutivo della Direttiva NIS 2 da parte della Commissione Europea, ad oggi disponibile solo in lingua inglese nella bozza diffusa per la consultazione pubblica; il regolamento esecutivo chiarirà meglio il contenuto delle prescrizioni per le imprese.
È importante comunque sottolineare che anche le misure di sicurezza informatica, così come avviene per quelle privacy ai sensi del GDPR, dovranno essere adottate secondo principi di proporzionalità e gradualità: gli obblighi sono proporzionati al grado di esposizione ai rischi, alle dimensioni, alla probabilità e alla gravità dei potenziali incidenti di ciascuna azienda.
Al fine di ottenere indicazioni pratiche più precise, si auspica che l’Autorità Nazionale NIS dia seguito tempestivamente ai commi 4 e 5 dell’art. 31 del decreto legislativo, ove è prevista la possibilità della stessa di emanare linee guida vincolanti e raccomandazioni.
2.3. Responsabilità e attività di vigilanza
È opportuno ricordare ai sensi della NIS 2 gli organi di amministrazione e direttivi delle società ritenute soggetti critici non solo approvano le modalità di implementazione delle misure di sicurezza e sovraintendono l’attuazione delle stesse, ma sono anche responsabili personalmente delle eventuali violazioni della nuova normativa (art. 23 decreto di attuazione). Gli stessi sono tenuti a seguire una formazione in materia di cybersicurezza e a promuoverla per gli altri dipendenti.
Quanto all’attività di vigilanza dell’implementazione della nuova normativa, all’Autorità Nazionale è affidato il compito di: i) svolgere attività di monitoraggio, analisi e supporto; ii) effettuare verifiche e ispezioni; iii) adottare misure di esecuzione; iv) irrogare sanzioni amministrative pecuniarie e accessorie. Per i soggetti essenziali sono previste sanzioni più severe.
In merito a verifiche e ispezioni si rileva una differenza di trattamento sostanziale tra soggetti essenziali e soggetti importanti: nei confronti di questi ultimi, i poteri di verifica e ispettivi si applicano unicamente qualora l’Autorità nazionale acquisisca o riceva elementi di prova, indicazioni o informazioni che suggeriscano possibili violazioni della normativa cyber (art. 36 decreto di attuazione).
3. Procedimento e tempistiche di identificazione dei soggetti critici
Come anticipato nei precedenti paragrafi, la nuova normativa prescrive allo Stato di identificare con precisione i soggetti critici: l’art. 7 dello schema di decreto legislativo detta una precisa scaletta di tempi del processo di identificazione, che sarà ripetuto ogni anno:
- dal 1° gennaio al 28 febbraio le aziende devono registrarsi (o aggiornare la propria registrazione) sulla piattaforma indicando il proprio settore di attività e un punto di contatto;
- entro il 31 marzo l’Autorità Nazionale redige l’elenco dei soggetti essenziali e importanti e lo comunica agli stessi tramite la piattaforma (inserimento/permanenza/espunzione dall’elenco);
- dal 15 aprile al 31 maggio i soggetti essenziali e importanti devono comunicare/aggiornare tramite la piattaforma alcune informazioni fondamentali per permettere i controlli;
- dal 1° maggio al 30 giugno i soggetti comunicano/aggiornano tramite la piattaforma l’elenco delle proprietà attività e dei propri servizi.
4. Primi termini per l’adempimento degli obblighi
Illustrato il funzionamento del nuovo sistema nazionale di cybersicurezza disegnato dal decreto attuativo della NIS 2, è ora opportuno focalizzare l’attenzione sulla fase di prima applicazione della normativa.
Il primo adempimento per le aziende è la registrazione alla piattaforma che sarà messa a disposizione dall’Autorità Nazionale, che dovrà avvenire entro il 28 febbraio 2025; in tale sede le aziende che ritengono di rientrare nel campo di applicazione della normativa dovranno comunicare la ragione sociale, l’indirizzo e i propri recapiti, la designazione di un punto di contatto e i propri settori di attività.
Dopodiché, entro il 31 marzo 2025 l’Autorità Nazionale realizzerà l’elenco dei soggetti essenziali e importanti e comunicherà ad ogni singola azienda, tramite la piattaforma, la propria qualificazione, e di seguito si svolgeranno gli altri passaggi di cui al paragrafo precedente.
Quanto al termine per il concreto adempimento dei nuovi obblighi in materia di cybersicurezza, l’art. 42 dello schema di decreto attuativo prevede che sino al 31 dicembre 2025 lo stesso è pari a:
- per gli obblighi in materia di notifica degli incidenti, 9 mesi dalla comunicazione ricevuta da ogni impresa da parte dell’Autorità Nazionale circa la sua identificazione come soggetto critico;
- per gli obblighi in materia di misure di gestione dei rischi per la sicurezza informatica, 18 mesi dalla comunicazione di cui sopra.
Considerando che l’Autorità Nazionale ha tempo sino al 31 marzo 2025 per effettuare la comunicazione di cui sopra alle singole aziende, il concreto termine di adeguamento è ancora lontano: le imprese dovranno essere conformi alle nuove norme in materia di notifica degli incidenti tendenzialmente entro fine 2025, e dovranno dotarsi delle misure di sicurezza prescritte entro la fine dell’estate 2026.
5. Conclusione
Lo studio dello schema del decreto legislativo di attuazione, che presto sarà pubblicato in Gazzetta Ufficiale nella sua versione definitiva, da un lato scongiura le forti preoccupazioni di molte aziende inerenti le tempistiche di adeguamento, dall’altro impegna le stesse a programmare sin d’ora un percorso di adeguamento alla nuova normativa, che richiede alle aziende di raggiungere un livello di cybersicurezza non scontato.
È opportuno, dunque, che ogni impresa inizi senza ritardo a:
- domandarsi se rientra nel campo di applicazione della NIS 2;
- analizzare i rischi informatici concreti incombenti su di essa;
- verificare il livello di protezione che le misure di sicurezza attualmente adottate garantiscono;
- analizzare le procedure informatiche attualmente in uso al proprio interno;
- verificare il livello di formazione dei propri organi amministrativi e direttivi, nonché del personale.
Si rileva inoltre che dal 17 gennaio 2025 sarà applicabile il Regolamento europeo 2022/2554 (c.d. Regolamento DORA), il quale si propone di elevare il livello di sicurezza del settore finanziario, ponendo a carico dei soggetti coinvolti numerosi obblighi, che si integrano a quelli previsti dalla Direttiva NIS 2.
Infine, si ricorda che lo scorso 23 settembre è stato pubblicato in G.U. il d. lgs. n. 134 del 4 settembre 2024, con il quale l’Italia ha recepito la Direttiva UE 2022/2557, inerente la resilienza fisica dei soggetti critici. I termini di adeguamento sono decisamente più lontani (entro il 17 luglio 2025 è prevista l’approvazione della strategia nazionale per la resilienza, nella quale verrà chiarito il procedimento di identificazione dei soggetti critici, il cui elenco sarà adottato entro il 17 luglio 2026). È consigliabile comunque verificare sin da subito se la propria azienda possa rientrare nell’ambito di applicazione, analizzando l’allegato A del decreto appena approvato (tra i settori elencati si citano energia, salute, trasporti, infrastrutture digitali).
Lo studio è a disposizione per qualsiasi chiarimento