Network and Information Security Directive 2

Nell’era digitale in cui viviamo, le minacce informatiche si evolvono con una rapidità sorprendente e il concetto di cybersecurity è divenuto imperativo per ogni organizzazione. In quest’ottica, la Nis2 ha l’obiettivo di rafforzare il livello di sicurezza informatica all’interno dell’Unione e si configura come una vera e propria strategia per la protezione degli asset digitali e fisici, da un lato, e per il miglioramento della competitività delle aziende, dall’altro.

La direttiva è entrata in vigore il 17 gennaio 2023, con lo scopo dichiarato di migliorare la protezione delle infrastrutture critiche e rafforzare la resilienza dei sistemi digitali, proteggendo i settori considerati essenziali per il funzionamento della società e dell’economia europee, come energia, trasporti, salute, infrastrutture digitali, finanza, fornitura e distribuzione dell’acqua. 

Essa si applica quindi a molti settori diversi, dai fornitori di servizi digitali, alle società che operano nel settore energetico, dei trasporti, della salute, della finanza, delle comunicazioni, della gestione dei rifiuti e della produzione. 

In Italia, la Nis2 è stata recepita dal D.Lgs n. 138 del 4 settembre 2024, entrato in vigore il 16 ottobre successivo. Tale decreto ha stabilito la strategia di sicurezza informatica per il Paese, definendo anche le autorità nazionali competenti per la sua attuazione e gestione. Esso ha inoltre identificato i soggetti destinatari e gli obblighi per la gestione del rischio, la notifica degli eventuali incidenti e l’adozione delle misure tecniche e organizzative necessarie, stabilendo le modalità di ispezione e verifica e disciplinando un elaborato sistema di sanzioni per gli inadempienti.

Destinatari sono tutti i soggetti che non rientrano nella definizione di piccole imprese, ovvero gli enti che impiegano più di 50 persone e realizzano un fatturato (o bilancio) annuo superiore a 10 milioni di euro.

Per quanto riguarda il settore privato, la norma distingue tra “settori ad alta criticità” (servizi essenziali) e “altri settori critici” (servizi importanti) e pone in capo ai soggetti destinatari un obbligo di valutazione della sicurezza della propria catena di approvvigionamento, inclusi gli aspetti riguardanti i rapporti con i fornitori. Anche i soggetti non direttamente interessati dall’applicazione della Nis2 dovranno quindi adottare misure idonee a garantire ai propri clienti un livello di sicurezza adeguato.

Sul piano della gestione del rischio, i soggetti destinatari dovranno adottare misure tecniche, organizzative e operative adeguate alla loro specifica attività e ciò implica che vengano implementate politiche aziendali di analisi del rischio e adottati presidi tecnici e organizzativi idonei a ridurlo il più possibile. La gestione degli incidenti non potrà quindi prescindere dalla necessità di adottare regole di condotta aziendali finalizzate a ridurne il rischio e a porvi rimedio in tempi il più possibile rapidi. Lo scopo è ridurre l’impatto di ciascuno di essi e garantire la continuità del servizio fornito. I soggetti destinatari, quindi, dovranno dotarsi di opportune procedure per la notifica degli incidenti in tempi molto stretti, come indicato all’articolo 25 del decreto stesso.

L’Agenzia per la cybersicurezza nazionale (Acn) è stata dotata di poteri ispettivi nei confronti dei soggetti destinatari e potrà sottoporre questi ultimi a verifiche della documentazione e delle informazioni trasmesse, ispezioni in loco o a distanza, richieste di accesso a documenti e dati, etc. All’Acn, infine, è affidata l’irrogazione di sanzioni di tipo pecuniario o interdittivo. I soggetti operanti nell’ambito dei servizi essenziali saranno puniti con sanzioni pecuniarie fino a 10 milioni di euro o pari al 2% del fatturato annuo globale relativo all’esercizio precedente. I soggetti operanti nell’ambito dei servizi importanti saranno puniti con sanzioni pecuniarie fino a un massimo di 7 milioni di euro, ovvero fino all’1,4% del fatturato annuo globale relativo all’esercizio precedente.

Sono poi particolarmente rilevanti le sanzioni a carico degli organi di amministrazione e direttivi di ciascuna società, allo scopo di assicurare il rispetto delle disposizioni del decreto, in caso di violazione dello stesso. Nei loro confronti l’Acn potrà irrogare sanzioni accessorie.

La gestione degli obblighi previsti dalla Nis2, attraverso l’implementazione di modelli di gestione della cybersecurity, avrà importanti ricadute sulle imprese destinatarie e dovrà necessariamente coordinarsi con i modelli di organizzazione previsti dalla Legge 231/2001, anche alla luce delle modifiche apportate sui reati informatici dalla Legge 90/2024. Tra gli adempimenti da verificare vi saranno:

• l’avvenuta registrazione sulla piattaforma dell’Acn;

• la nomina del Responsabile della sicurezza informatica e del Responsabile degli adempimenti per la conformità alla Nis2;

• l’inclusione e la valutazione della gestione della sicurezza informatica, all’interno del modello di gestione previsto;

• la predisposizione di piani per la tempestiva notifica di incidenti, al fine di garantire un’adeguata gestione degli incidenti informatici;

• la formazione dei responsabili aziendali coinvolti.

In pratica, i sistemi di gestione previsti dalla Nis2, dalla normativa della 231/2001 e da quella relativa al rispetto della privacy (come il Gdpr) dovranno integrarsi e prevedere una connessione delle politiche aziendali e una strettissima collaborazione tra i soggetti chiamati a implementarli. In origine, le imprese coinvolte avrebbero dovuto comunicare all’Acn le informazioni suindicate entro il 31 maggio 2025, ma tale termine è stato prorogato al 31 luglio 2025.

Riepilogando, la Nis2 impone a tutte le imprese destinatarie (quelle non catalogabili come piccole imprese) di adottare misure di sicurezza specifiche, come la valutazione dei rischi, i piani di risposta agli incidenti, la gestione della supply chain e la notifica degli incidenti informatici alle autorità competenti, il tutto in relazione e nel rispetto delle normative limitrofe già esistenti. 

Le imprese interessate dovranno comunicare agli organi competenti le violazioni di sicurezza subite, fornendo informazioni dettagliate sull’incidente, sulle misure adottate per contenerlo e sulle sue eventuali ripercussioni, pena l’irrogazione di cospicue sanzioni da parte dell’Agenzia per la cybersicurezza nazionale.