Obblighi NIS 2 in materia di gioco d’azzardo: cosa cambia per gli operatori e i fornitori

Gli operatori di gioco d’azzardo e i loro fornitori devono ottemperare agli obblighi NIS 2, che impongono severi requisiti di sicurezza informatica in tutta l’Unione Europea.

La Direttiva NIS 2 (Direttiva (UE) 2022/2555) mira a migliorare la resilienza della sicurezza informatica di diversi settori, compreso quello del gioco d’azzardo, stabilendo un livello comune di sicurezza informatica elevato in tutta l’UE.

Applicabilità della NIS 2 al settore del gioco d’azzardo

La direttiva NIS 2 si applica alle entità classificate come “essenziali” o “importanti” in base al loro settore, alle loro dimensioni e al loro impatto sulle attività sociali ed economiche. Sebbene il gioco d’azzardo non sia esplicitamente elencato tra i settori critici, gli operatori di gioco d’azzardo e i loro fornitori possono rientrare nell’ambito di applicazione della NIS 2 se soddisfano determinati criteri:

• Fornitori di servizi digitali: piattaforme di gioco d’azzardo online che offrono servizi come mercati online o funzionalità di social networking e
• Fornitori di servizi gestiti: fornitori che forniscono servizi IT, tra cui cloud computing, data center o soluzioni di sicurezza informatica agli operatori di gioco d’azzardo.

Prima di tutto, è fondamentale che gli operatori di gioco d’azzardo e i loro fornitori associati valutino le loro operazioni in base ai criteri della NIS 2 per determinarne l’applicabilità e comprendere i loro obblighi ai sensi della NIS 2.

Attuazione in Italia: Decreto Legislativo n. 138/2024

L’Italia ha recepito la direttiva NIS 2 nella normativa nazionale attraverso il D. Lgs. n. 138, in vigore dal 18 ottobre 2024. Questo decreto amplia l’ambito di applicazione degli obblighi in materia di sicurezza informatica e introduce scadenze specifiche per la conformità.

Scadenze principali:

• 1 gennaio – 28 febbraio 2025: i soggetti identificati ai sensi dell’articolo 3 erano tenuti a registrarsi sul portale italiano designato, fornendo i dati specificati.
• 31 marzo 2025: l’Agenzia nazionale per la sicurezza informatica (ACN) ha compilato un elenco dei soggetti interessati.
• 15 aprile 2025: l’ACN ha comunicato ai soggetti interessati l’inserimento, il mantenimento o la cancellazione dall’elenco.

I soggetti che saranno interessati entro il 31 dicembre 2025 beneficiano di periodi di transizione supplementari:

• Entro 9 mesi: conformità agli obblighi di segnalazione degli incidenti.
• Entro 18 mesi: conformità alle disposizioni in materia di formazione, governance e gestione dei rischi in materia di sicurezza informatica.

È possibile leggere questo articolo che fornisce una descrizione dettagliata delle scadenze e degli obblighi in Italia: NIS 2 in Italia – Scadenze e adempimenti

L’approccio di Malta alla NIS 2 – Legal Notice 71 del 2025

Malta è il paese in cui hanno sede diversi operatori di gioco d’azzardo. Il paese ha recepito la Direttiva NIS 2 nella normativa nazionale attraverso la Legal Notice 71 del 2025, nota come “Measures for a High Common Level of Cybersecurity Across the European Union (Malta) Order, 2025”, pubblicata l’8 marzo 2025. Questo quadro sostituisce il precedente regime NIS 1 e introduce obblighi di sicurezza informatica più severi, requisiti di segnalazione e meccanismi di applicazione per i soggetti considerati “essenziali” o “importanti”.

Aspetti chiave:

• Meccanismo di autoregistrazione: i soggetti devono registrarsi attraverso un meccanismo nazionale di autoregistrazione istituito dal Dipartimento per la protezione delle infrastrutture critiche (CIPD).
• Autorità competenti: il CIPD funge da autorità di regolamentazione primaria per la sicurezza informatica, supervisionando la conformità, conducendo audit di sicurezza e applicando sanzioni in caso di non conformità. Il Computer Security Incident Response Team (CSIRT) di Malta svolge un ruolo centrale nel coordinamento delle risposte alla sicurezza informatica e nell’agevolazione dei processi coordinati di divulgazione delle vulnerabilità.
• Divulgazione coordinata delle vulnerabilità (CVD): un quadro dedicato incoraggia la segnalazione di potenziali vulnerabilità nei prodotti, processi o servizi ICT alle entità competenti, con il CSIRT che funge da coordinatore nazionale per tali divulgazioni.

È possibile leggere il seguente articolo sull’argomento “Gli operatori di gioco d’azzardo devono occuparsi dell’attuazione della NIS 2 a Malta”.

Obblighi essenziali ai sensi della NIS 2

Le entità soggette alla NIS 2 devono rispettare una serie di obblighi in materia di sicurezza informatica:

• Gestione dei rischi di sicurezza informatica: attuare misure tecniche e organizzative adeguate per gestire i rischi di sicurezza informatica, tra cui l’analisi dei rischi, la gestione degli incidenti, la continuità operativa e la sicurezza della catena di approvvigionamento.
• Segnalazione degli incidenti: segnalare gli incidenti significativi all’autorità nazionale competente o al Computer Security Incident Response Team (CSIRT) entro 24 ore dalla loro scoperta, seguiti da una relazione dettagliata entro 72 ore e da una relazione finale entro un mese.
• Governance e responsabilità: gli organi di gestione sono responsabili dell’approvazione e della supervisione delle misure di sicurezza informatica. Devono seguire una formazione regolare e possono essere ritenuti responsabili in caso di non conformità.
• Sicurezza della catena di approvvigionamento: valutare e gestire i rischi associati ai fornitori e ai prestatori di servizi, garantendo che anche questi ultimi soddisfino gli standard di sicurezza informatica.
• Registrazione e fornitura di informazioni: fornire le informazioni necessarie alle autorità nazionali, compresi i dettagli sui servizi, le informazioni di contatto e i rappresentanti designati.
• Sanzioni per la non conformità: la mancata conformità può comportare sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato annuo totale a livello mondiale, a seconda di quale sia l’importo più elevato. Ulteriori sanzioni variano a seconda del paese di attuazione. A questo proposito, potete leggere l’articolo NIS 2 – Responsabilità personale degli amministratori per mancata conformità: un messaggio di avvertimento

Il ruolo di DLA Piper nel facilitare la conformità

DLA Piper offre un supporto completo agli operatori del gioco d’azzardo e ai loro fornitori per affrontare la conformità alla NIS2:

• Valutazione dell’ambito di applicazione e dell’applicabilità: vi aiutiamo a determinare se la vostra organizzazione rientra nell’ambito di applicazione della NIS2, tenendo conto di fattori quali le dimensioni, il settore e i servizi forniti.
• Assistenza per la registrazione: il nostro team vi guida attraverso il processo di registrazione presso le autorità nazionali competenti, garantendo la presentazione tempestiva e completa dei documenti.
• Sviluppo di un quadro di riferimento per la sicurezza informatica: aiutiamo a progettare e implementare misure di sicurezza informatica robuste e su misura per le esigenze della vostra organizzazione, in linea con i requisiti della NIS2.
• Pianificazione della risposta agli incidenti: assistiamo nello sviluppo di efficaci piani di risposta agli incidenti, garantendo reazioni rapide e conformi agli incidenti di sicurezza informatica.
• Formazione e sensibilizzazione: forniamo programmi di formazione per il management e il personale al fine di promuovere una cultura di consapevolezza e conformità in materia di sicurezza informatica.
• Consulenza legale: i nostri esperti offrono consulenza legale continua per orientarsi nel panorama normativo in evoluzione, garantendo la conformità continua.

L’attuazione della direttiva NIS 2 segna un cambiamento significativo nel panorama della sicurezza informatica per gli operatori di gioco d’azzardo e i loro fornitori. Con obblighi rigorosi e scadenze strette, è fondamentale comprendere e rispettare gli obblighi della NIS 2. DLA Piper è pronta ad assistervi nell’affrontare questo complesso panorama normativo, garantendo che la vostra organizzazione rimanga conforme e robusta.

Non esitate a contattarci se desiderate saperne di più. Inoltre, non perdetevi la Guida alle leggi sul gioco d’azzardo nel mondo di DLA Piper.