Come noto, il 14 dicembre 2022, il Parlamento europeo e il Consiglio hanno adottato definitivamente la Direttiva NIS2. La Direttiva NIS2 mira a garantire una maggiore uniformità nel livello di sicurezza informatica all’interno dell’UE e rappresenta l’evoluzione della precedente Direttiva (UE) 2016/1148 (la cosiddetta Direttiva NIS1), che è stata recepita senza sostanziali modifiche dal legislatore italiano.
Il prossimo 17 ottobre la Direttiva NIS2 diventerà finalmente applicabile con un obbligo per gli Stati Membri dell’UE di recepirla.
Il recepimento della Direttiva NIS2 in Europa
Il recepimento della Direttiva, ad oggi, risulta frammentario.
Alcuni stati prevedono di adottare una normativa di recepimento entro l’inizio del 2025 (si fa ad esempio riferimento alla Germania o all’Olanda), mentre altri hanno solo pubblicato una prima bozza di documento interno. La maggioranza degli stati dell’unione non si sono però ancora mossi per l’implementazione della Direttiva, fatta eccezione per alcuni stati che hanno invece già adottato una propria normativa sul punto.
Ad esempio, il Belgio ha già adottato la norma nazionale di recepimento della Direttiva NIS2 imponendo dal prossimo 18 ottobre, un obbligo per le società che rientrano nell’ambito del perimetro di operatività della direttiva stessa, di registrare i propri servizi entro un periodo di 2 o 5 mesi, a seconda dei servizi, dall’entrata in vigore della nuova norma (lo stesso approccio sarà seguito dall’Italia, come vedremo in seguito).
E l’Italia?
Come noto, lo scorso febbraio, il Parlamento italiano ha delegato al Governo la relativa attuazione, emanando la Legge di delegazione europea n. 15/2024. Tale Legge di Delegazione prevedeva che il Governo dovesse adottare il decreto legislativo di recepimento della Direttiva entro il termine di quattro mesi antecedenti a quello indicato nella rilevante direttiva quindi, entro metà giugno 2024. L’approvazione in Consiglio dei Ministri è avvenuta però solo ad inizio agosto.
Quali sono le novità
Secondo le stime del direttore generale dell’Agenzia per la Cybersicurezza nazionale (ACN), Bruno Frattasi, i nuovi soggetti coinvolti nell’applicazione della Direttiva NIS2 in Italia sono circa 50mila che si devono considerare in aggiunta alla lista dei circa 400 operatori essenziali già individuati con la Direttiva NIS1.
Questo in quanto, ai sensi della Direttiva, è necessario considerare congiuntamente tre criteri:
- Un criterio settoriale, ove la rilevante società fornisca i propri servizi o svolga attività in uno o più settori economici indicati negli allegati della Direttiva;
- Un requisito dimensionale ove la società si qualifichi come media o grande impresa ai sensi dell’articolo 2 alla raccomandazione 2003/361/CE; e
- Un requisito territoriale ove la società fornisca i propri servizi o svolga la propria attività all’interno dell’UE.
I tre criteri, che devono intendersi come cumulativi ad eccezione di casi di specifici casi in cui l’applicabilità della Direttiva sia prevista a prescindere (come, ad esempio, nei casi delle pubbliche amministrazioni).
Con specifico riferimento al requisito settoriale, la Direttiva NIS2 distingue tra soggetti appartenenti a “settori ad alta criticità”, quali energia, trasporti (aerei, idrici, ferroviari e stradali), mercati bancari e finanziari (in particolare, infrastrutture dei mercati finanziari), settore sanitario, acqua potabile e acque reflue, infrastrutture digitali, gestione di servizi ICT (in un contesto B2B), amministrazioni pubbliche e settore spaziale; e “altri settori critici”, quali servizi postali, gestione dei rifiuti, produzione e distribuzione di prodotti chimici, produzione, trasformazione e distribuzione di alimenti (ossia, imprese alimentari impegnate nella distribuzione all’ingrosso e nella produzione e trasformazione industriale), manifatturiero (con specifico riferimento, ad esempio, a dispositivi medici, computer e prodotti elettronici), fornitori di servizi digitali (con specifico riferimento ai fornitori di marketplace online, motori di ricerca online e piattaforme di social network) e ricerca.
A partire dal 18 ottobre 2024 le società che ritengono di rientrare nell’ambito di applicazione sopra richiamato, dovranno registrarsi in una apposita piattaforma in corso di attivazione da parte di ACN indicando un elenco delle proprie attività e servizi comprensivo di tutti gli elementi necessari alla categorizzazione in categorie di rilevanza.
Solo entro il 31 marzo 2025 ACN andrà a confermare le categorie di rilevanza nonché il processo per la finalizzazione della registrazione delle attività e dei servizi che dovranno essere riportati in piattaforma.
A seguire le società che rientrano nell’ambito di applicazione della NIS2 dovranno adeguarsi agli stringenti obblighi di sicurezza che dovranno però essere puntualmente codificati in vere e proprie policy interne per garantire la compliance aziendale in materia cyber. In particolare, le società saranno tenute a seguire gli obblighi di governance imposti dalla Direttiva, a adottare misure di gestione del rischio, a prevedere specifici obblighi di sicurezza per i terzi, valutando i contratti con i fornitori di servizi ICT e a notificare gli incidenti informatici nelle strette tempistiche previste dalla normativa.
Quali sono le sanzioni
La mancata conformità con gli obblighi sopra richiamati può comportare importanti sanzioni per gli operatori. In particolare, a seguito della segnalazione della mancanza di conformità da parte di ACN, potranno essere emanate dalle autorità competenti delle sanzioni amministrative fino ad € 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, se tale importo è superiore.
Onde evitare le sanzioni sopra richiamate le società devono analizzare quanto prima la applicabilità della Direttiva NIS2 alla loro realtà, anche in considerazione degli obblighi di comunicazione applicabili in Italia sin dal 18 ottobre del 2024 e, a seguire mappare attentamente la loro struttura cyber sia dal punto di vista tecnico che dal punto di vista della compliance al fine di adottare le misure necessarie non appena possibile.
Su un argomento simile può essere di interesse l’articolo “La Direttiva NIS2 si applica alla Vostra Azienda?“
Autore: Giulia Zappaterra
