Home Data Protection & CybersecurityLa Direttiva NIS2 è diventata applicabile – Cosa fare per conformarsi?

La Direttiva NIS2 è diventata applicabile – Cosa fare per conformarsi?

4 Dicembre 2024 by

Il 16 ottobre scorso è entrato in vigore il D.Lgs. 138/2024, che recepisce la Direttiva NIS2.

Nei prossimi mesi, i soggetti tenuti a conformarsi con la nuova normativa devono adottare una serie di misure per garantire il rispetto degli obblighi previsti dalla Direttiva.

Che cos’è la Direttiva NIS2?

La Direttiva NIS2, che sostituisce la precedente Direttiva NIS1, è parte della Strategia dell’Unione Europea per rafforzare la sicurezza informatica e stabilire standard comuni per i servizi e le infrastrutture critiche.

Questa normativa riflette la crescente consapevolezza del rischio che la criminalità informatica rappresenta per la stabilità economica e sociale dell’Unione, promuovendo la collaborazione tra stati membri per elevare gli standard di sicurezza informatica.

Tra gli obblighi principali, la Direttiva NIS2 prevede:

  • L’adozione di misure di gestione del rischio di cybersecurity proporzionate e adeguate secondo un approccio multirischio;
  • L’implementazione di una due diligence nella catena di approvvigionamento, garantendo che anche i propri fornitori adottino buone pratiche di cybersecurity;
  • La segnalazione in tre fasi degli “incidenti significativi”, eseguendo una prima notifica entro 24 ore dalla conoscenza dell’incidente;
  • La responsabilità personale dei membri degli organi direttivi e amministrativi.

Quali soggetti rientrano nell’ambito di applicazione della Direttiva NIS2?

Per determinare se un soggetto rientra nell’ambito della Direttiva NIS2, è essenziale verificarne l’appartenenza a uno dei settori identificati.

La portata della NIS2 è significativamente più ampia rispetto a quella della Direttiva NIS1 ed include settori come quello dei servizi gestiti e dei servizi di sicurezza gestiti, dei social media, della gestione di rifiuti, dei prodotti alimentari, dei servizi di cloud computing, dell’energia e molti altri.

Tuttavia, appartenere ad uno dei settori previsti dalla Direttiva NIS2 non è di per sé determinante. Per rientrare nel campo di applicazione della NIS2. Difatti è necessario che il soggetto appartenente ai settori di cui alla NIS2 fornisca i propri servizi nell’UE e raggiunga le soglie per essere considerata una “media impresa”, secondo la definizione prevista dalla Raccomandazione 2003/361/CE.

Tuttavia, per i soggetti che non raggiungono le suddette soglie, la Raccomandazione considera anche il rapporto con altre imprese “collegate” o “associate”. In sostanza, ciò significa che anche le organizzazioni più piccole possono rientrare nel campo di applicazione della Direttiva NIS2 se possono essere considerate legate a un’altra organizzazione in virtù di fattori quali i diritti di voto della società madre o degli azionisti comuni, o l’esercizio di un’influenza dominante su un’impresa collegata o associata.

Prossimi passi

Secondo i criteri di applicazione della NIS 2 descritti sopra, i soggetti obbligati a conformarsi dovranno registrarsi sulla piattaforma digitale che l’ACN metterà a disposizione a partire dal 1° dicembre 2024. Per alcune categorie, come fornitori di servizi di sistema dei nomi di dominio, fornitori di servizi di cloud computing, fornitori di mercati online e altre, è previsto un termine più ristretto per la registrazione, fissato al 17 gennaio 2025.

Le modalità operative per la registrazione saranno definite in un apposito provvedimento attuativo dell’ACN. Questa registrazione è essenziale per consentire all’ACN di censire i soggetti che operano nei settori monitorati e di offrire loro supporto nell’implementazione degli obblighi previsti dalla NIS2.

La mancata registrazione comporterà una sanzione amministrativa fino allo 0,1% del fatturato annuo globale del soggetto inadempiente.

Resta ferma la possibilità per ACN di individuare ulteriori soggetti ritenuti critici. Tali soggetti riceveranno una specifica comunicazione diretta, a valle della quale potranno procedere con la registrazione.

A seguito della registrazione, nel mese di aprile 2025, i soggetti registrati riceveranno una comunicazione per confermare, o meno, il loro l’inserimento nell’elenco dei soggetti NIS.

Prossimi provvedimenti attuativi della Direttiva NIS2

L’ACN ha pubblicato una timeline dettagliata dei provvedimenti attuativi che verranno adottati nei prossimi mesi, per assicurare la piena applicazione della Direttiva NIS2. In particolare:

  • Entro 30 gg dall’entrata in vigore del D.Lgs. 138/2004:
    • DPCM sui criteri per l’applicazione della clausola di salvaguardia;
    • DPCM su eventuali ulteriori specifiche dei settori;
    • Determinazione ACN su modalità di accesso alla piattaforma e informazioni aggiuntive che i soggetti devono condividere;
    • Determinazione ACN su individuazioni governative di soggetti in ambito di applicazione NIS anche in assenza dei requisiti dimensionali prescritti.
  • Entro il 31 marzo 2025:
    • Determinazione ACN che dispone l’applicazione della clausola di salvaguardia, se necessaria;
    • Determinazione ACN con elenco dei soggetti NIS.
  • Entro 6 mesi dalla data di entrata in vigore del D.Lgs. 138/2004:
    • DPCM su criteri, procedure e modalità per le attività di monitoraggio, vigilanza ed esecuzione;
    • DPCM su modalità di applicazione degli strumenti deflattivi del contenzioso;
    • Determinazione ACN su politica nazionale di divulgazione coordinata delle vulnerabilità;
    • Determinazione ACN su modalità di notifica ad ACN degli accordi di condivisione tra soggetti;
    • Determinazione ACN su obblighi di base.

Conclusioni

L’entrata in vigore della Direttiva NIS2 rappresenta una svolta significativa per la sicurezza informatica nell’Unione Europea, estendendo la protezione a settori sempre più strategici e vulnerabili. Per le imprese interessate, conformarsi a questi nuovi requisiti richiede un’approfondita valutazione interna e l’adozione di misure proattive di cybersecurity. È essenziale che le organizzazioni inizino sin da subito a verificare se rientrano nei nuovi criteri della Direttiva, effettuando le valutazioni necessarie e preparandosi all’imminente registrazione sulla piattaforma ACN.

Su un argomento simile può essere d’interesse l’articolo “Il recepimento della Direttiva NIS2 in Italia“.

(Visited 157 times, 5 visits today)

Autore:

Cristina Criscuoli è un lawyer del dipartimento di Intellectual Property & Technology dello studio legale DLA Piper

Potrebbe interessarti

La nuova direttiva sulla responsabilità da prodotto difettoso si applica all’intelligenza artificiale ed è ora in vigore

La nuova direttiva sulla responsabilità da prodotto difettoso (la “Direttiva“), pubblicata in...

Decennio digitale dell’UE: Come affrontare la valanga normativa del 2025?

Il Decennio Digitale dell’UE è arrivato e il 2025 porta con sé un’ondata di normative senza...

La Direttiva NIS 2 è implementata in Italia: il decreto legislativo 138/2024

La Direttiva NIS 2 è stata implementata in Italia con la sua pubblicazione sulla Gazzetta Ufficiale, in...

Close Search Window