La Direttiva NIS 2 è implementata in Italia: il decreto legislativo 138/2024

La Direttiva NIS 2 è stata implementata in Italia con la sua pubblicazione sulla Gazzetta Ufficiale, in questo articolo ne analizziamo i contenuti principali.

Come abbiamo già discusso qui, lo scorso febbraio, il Parlamento italiano ha delegato al Governo la attuazione della (ormai famosa) Direttiva NIS2. Benché la Legge di Delegazione prevedesse che il Governo dovesse adottare il decreto legislativo di recepimento della Direttiva entro il termine di quattro mesi antecedenti a quello indicato nella rilevante direttiva quindi, entro metà giugno 2024, l’approvazione in Consiglio dei Ministri è avvenuta però solo ad inizio agosto. Abbiamo poi atteso ottobre per la tanto attesa pubblicazione del decreto legislativo 4 settembre 2024, n. 138 in Gazzetta Ufficiale.

Il testo del Decreto Legislativo è sostanzialmente in linea con il testo della Direttiva NIS 2. Ci sono però alcune differenze, le principali sotto riportate.

Ambito di applicazione della NIS 2

La prima differenza rispetto alla Direttiva è l’ambito di applicazione del Decreto Legislativo. Come già evidenziato, l’ambito di applicazione della direttiva è subordinato alla presenza congiunta di tre criteri differenti:

• Un requisito dimensionale ove la società si qualifichi come media o grande impresa ai sensi dell’articolo 2 alla raccomandazione 2003/361/CE; e
• Un requisito territoriale ove la società fornisca i propri servizi o svolga la propria attività all’interno dell’UE;
• Un criterio settoriale, ove la rilevante società fornisca i propri servizi o svolga attività in uno o più settori economici indicati negli allegati negli allegati alla Direttiva.

Rispetto a questo ultimo punto però il Decreto Legislativo ampia leggermente l’ambito di applicazione prevedendo che, tra i settori a cui risulta applicabile la nuova normativa devono essere considerati anche:

1. le pubbliche amministrazioni individuate sulla base di un criterio di gradualità, dell’evoluzione del grado di esposizione al rischio della PA, della probabilità che si verifichino incidenti e della loro gravità; nonché
2. indipendentemente dalle dimensioni (i) i soggetti che forniscono servizi di trasporto pubblico locale, (ii) gli istituti di istruzione che svolgono attività di ricerca, (iii) i soggetti che svolgono attività di interesse culturale, (iv) le società in house, società partecipate e società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175 (Testo unico in materia di società a partecipazione pubblica).

Termini per la messa in conformità con la Direttiva NIS 2 implementata in Italia

Nonostante la Direttiva NIS 2 sia applicabile a partire dal prossimo 17 ottobre 2024, in realtà gli obblighi di conformità applicabili alle società che rientrano nell’ambito di applicazione sono ampiamenti dilatati con l’adozione del Decreto Legislativo.

Come si evince dal Decreto, infatti, la prima attività effettivamente richiesta alle aziende è quella di valutare l’applicabilità del Decreto Legislativo alla propria operatività. Benché questo sembri scontato, in realtà, tale valutazione non è sempre pacifica in considerazione delle sottocategorie, spesso molto ampie, di cui ai settori richiamati dalla Direttiva NIS 2. Sino alla fine del 2024 è quindi richiesto alle aziende di effettuare una analisi puntuale per comprendere se i propri servizi rientrano nell’ambito di applicazione del Decreto Legislativo, tenendo in considerazione i settori rilevanti ma anche i criteri dimensionali e territoriali sopra richiamati.

Ai sensi dell’articolo 6 del Decreto Legislativo, è solo a partire dal 1 gennaio 2025 (fino a fine febbraio, fatto salvo il caso di alcune società la cui registrazione è necessario entro il 17 gennaio 2025) che le società che ritengono di rientrare nell’ambito di applicazione del Decreto Legislativo dovranno registrarsi su un apposito portale in corso di adozione da parte di ACN fornendo una serie di informazioni rilevanti quali, la ragione sociale, l’indirizzo ed i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono della società, la designazione di un punto di contatto, indicando il ruolo presso il soggetto, i pertinenti settori, sottosettori e tipologie di soggetto di cui agli allegati al Decreto Legislativo.

A seguire, ACN avrà tempo sino al 31 marzo 2025 per analizzare le società registrate nella piattaforma e stilare l’elenco dei soggetti essenziali ed importanti a cui verrà poi comunicazione l’inserimento nella relativa lista entro il 15 aprile 2025.

A questi tempi se ne aggiungono altri rilevanti:

• gli obblighi di notifica degli incidenti informatici è dilatato sino a 9 nove mesi dalla ricezione della comunicazione circa l’appartenenza alle liste di applicabilità del Decreto Legislativo (quindi indicativamente a gennaio 2026)
• gli obblighi degli organi di amministrazione e direttivi e gli obblighi in materia di misure di gestione dei rischi per la sicurezza informatici è dilatato sino a 18 mesi dalla comunicazione di cui sopra (quindi indicativamente ottobre 2026).

Quanto sopra indicato non significa che sia necessario fare nulla. Rimane centrale la necessità di verificare, entro la fine del 2024, se la propria società entra nell’ambito di applicazione del decreto di attuazione della direttiva NIS 2 come implementata. A questo segue la necessità di un assessment rispetto ai propri sistemi informatici, il che richiede tempo ed analisi dettagliate anche rispetto alla propria governance interna. L’esempio del GDPR è stato sicuramente utile: benché i tempi fossero ampi (ben due anni dall’entrata in vigore del Regolamento sino alla sua effettiva applicabilità) le aziende hanno avuto bisogno di ampi margini di tempo per adottare tutte le misure necessarie e per permettere di adottare un sistema di compliance interno in linea con le esigenze aziendali.

Le autorità competenti

Con riferimento alle autorità competenti spicca certamente l’Agenzia per la cybersicurezza nazionale. ACN è chiamata a (i) sovrintendere all’implementazione e all’attuazione del Decreto (ii) predispone i provvedimenti necessari a darne attuazione (iii) svolge le funzioni e le attività di regolamentazione, anche adottando linee guida, raccomandazioni e orientamenti non vincolanti; ed (iv) individua i soggetti essenziali e i soggetti importanti, (v) partecipa al Gruppo di cooperazione NIS ed altre attività a livello di UE.

Per dare attuazione al Decreto a livello settoriale sono però individuate anche altre Autorità di settore NIS che supportano ACN. In particolare, sono designati:

1. la Presidenza del Consiglio dei ministri per il settore gestione dei servizi TIC, il settore dello spazio, delle PA e le società in house e le società partecipate o a controllo pubblico,
2. il Ministero dell’economia e delle finanze, per i settori bancario e delle infrastrutture dei mercati finanziari,
3. il Ministero delle imprese e del made in Italy per il settore delle infrastrutture digitali, il settore dei servizi postali e di corriere, il settore della fabbricazione, produzione e distribuzione di sostanze chimiche nonché i sottosettori della fabbricazione di computer e prodotti di elettronica e ottica, della fabbricazione di apparecchiature elettriche e della fabbricazione di macchinari e apparecchiature non classificati altrove (n.c.a.), i sottosettori della fabbricazione di autoveicoli, rimorchi e semirimorchi, e della fabbricazione di altri mezzi di trasporto, i fornitori di servizi digitali
4. il Ministero dell’agricoltura, della sovranità alimentare e delle foreste per il settore produzione, trasformazione e distribuzione di alimenti,
5. il Ministero dell’ambiente e della sicurezza energetica per il settore energia, il settore fornitura e distribuzione di acqua potabile, il settore acque reflue, il settore gestione dei rifiuti
6. il Ministero delle infrastrutture e dei trasporti per il settore trasporti, i soggetti che forniscono servizi di trasporto pubblico locale
7. il Ministero dell’università e della ricerca per il settore ricerca e per gli istituti di istruzione che svolgono attività di ricerca
8. il Ministero della cultura per i soggetti che svolgono attività di interesse culturale
9. il Ministero della salute per il settore sanitario, il sottosettore fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro.

Le sanzioni previste dal Decreto di cui alla NIS 2 implementata

La mancata conformità con gli obblighi sopra richiamati può comportare importanti sanzioni per gli operatori. In particolare, a seguito della segnalazione della mancanza di conformità da parte di ACN, potranno essere emanate dalle autorità competenti delle sanzioni amministrative fino ad € 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, se tale importo è superiore. Inoltre, è prevista una responsabilità personale degli amministratori e sanzioni a loro carico per la mancata messa in conformità.

Onde evitare le sanzioni sopra richiamate le società devono analizzare quanto prima la applicabilità della Direttiva NIS2 alla loro realtà, anche in considerazione degli obblighi di comunicazione applicabili e, a seguire mappare attentamente la loro struttura cyber sia dal punto di vista tecnico che dal punto di vista della compliance al fine di adottare le misure necessarie non appena possibile.

Sull’argomento, potete accedere al materiale relativo ad un webinar che abbiamo organizzato di recente che è disponibile QUI