La Direttiva NIS2: Il quadro giuridico italiano
Dall’entrata in vigore della Direttiva NIS nel 2016, il contesto delle minacce informatiche ha subito significative trasformazioni, registrando un incremento del numero, dell’entità, della sofisticazione e della frequenza degli incidenti informatici. Sebbene la Direttiva NIS abbia costituito un passo iniziale rilevante, questa evoluzione ha messo in luce l’insufficienza del quadro normativo vigente e le disparità nella sua applicazione tra gli Stati membri dell’Unione Europea, manifestando la necessità di un aggiornamento normativo per rispondere efficacemente ai rischi emergenti e alle sfide del futuro.
In risposta alla crescente esigenza di rafforzare la sicurezza informatica e la resilienza del sistema economico e sociale europeo, il 14 dicembre 2020, la Commissione Europea ha avanzato una proposta di aggiornamento della Direttiva NIS, culminata con l’emanazione della Direttiva (UE) 2022/2555, nota come NIS2, il 27 dicembre 2022 da parte del Parlamento Europeo e del Consiglio. Questa nuova direttiva abroga la precedente, introducendo un rinnovato impegno verso l’uniformità e il potenziamento delle misure di sicurezza informatica per gli operatori essenziali e importanti, con l’obbligatorio recepimento della normativa da parte degli Stati membri entro il 17 ottobre 2024.
La NIS2 si distingue per il suo approccio sistematico e coerente, mirato a colmare le lacune precedentemente identificate e armonizzare le disposizioni relative alla gestione del rischio di cybersicurezza e alla notifica degli incidenti informatici. Essa estende l’ambito di applicazione per includere nuove esigenze di tutela in settori emergenti e nell’economia digitale interconnessa, mirando così a potenziare la resilienza delle infrastrutture critiche e a favorire la cooperazione e lo scambio di informazioni tra gli Stati membri dell’Unione Europea. In tale ottica, la Direttiva stabilisce obblighi più definiti per gli operatori e accresce notevolmente i requisiti per l’implementazione delle best practice di sicurezza informatica. Per assicurare la conformità a tali requisiti ed obblighi, vengono introdotti meccanismi di vigilanza ed esecuzione uniformi ed efficaci, corredati da sanzioni legali più rigide per le violazioni.
Con lo schema di Decreto legislativo, approvato il 10 giugno 2024, si realizza un’importante evoluzione nella legislazione italiana per allinearsi alle disposizioni della Direttiva (UE) 2022/2555. Tale decreto incorpora un insieme di interventi strategici finalizzati a potenziare la resilienza e la sicurezza delle infrastrutture critiche di rete e dei sistemi informativi. In questo contesto normativo, l’Agenzia per la Cybersicurezza Nazionale (ACN) è stata confermata autorità nazionale responsabile per la gestione e il coordinamento delle misure di sicurezza informatica, operando come principale interfaccia per le relazioni con altri Stati membri e con le istituzioni europee.
Il decreto de quo stabilisce criteri precisi per identificare i soggetti tenuti a implementare strategie efficaci di gestione dei rischi cibernetici e a segnalare tempestivamente eventuali incidenti. Tali requisiti si estendono a un ampio spettro di operatori essenziali attivi in settori chiave come energia, trasporti, settore bancario, gestione delle acque potabili e reflue, produzione alimentare, sanità, spazio e infrastrutture digitali, al fine di preservare la sicurezza e il benessere collettivi.
Lo schema di Decreto introduce una novità di rilievo: l’obbligo di iscrizione per i soggetti che rientrano nell’ambito di applicazione della normativa. L’articolo 7, paragrafo 1, prevede che tali soggetti debbano registrarsi, o aggiornare annualmente la propria registrazione, sulla piattaforma digitale resa disponibile dall’Autorità nazionale competente NIS.
L’obbligo di registrazione sarà operativo non appena la piattaforma dell’Autorità sarà accessibile e, successivamente, dovrà essere adempiuto tra il 1° gennaio e il 28 febbraio di ogni anno. Il processo di registrazione richiede la comunicazione di dati accurati e aggiornati, come la ragione sociale, l’indirizzo, i recapiti, la designazione di un punto di contatto e i settori di appartenenza indicati nel suddetto articolo.
La summenzionata procedura è fondamentale per garantire che le organizzazioni siano correttamente classificate come soggetti essenziali o importanti, facilitando una gestione efficace e uniforme delle politiche di sicurezza informatica, come delineato negli articoli 3 e 6 del Decreto. Inoltre, questo adempimento è necessario per consentire all’Agenzia per la Cybersicurezza Nazionale di svolgere le proprie funzioni di supervisione, controllo e gestione della sicurezza informatica, in conformità con quanto stabilito nel Decreto stesso: la registrazione, infatti, fornisce all’ACN le informazioni necessarie per identificare e monitorare tali soggetti, assicurando che rispettino le misure di sicurezza prescritte. Analogamente, l’aggiornamento dei dati consente all’ACN di mantenere un elenco accurato e aggiornato di questi soggetti, garantendo che siano sottoposti ai necessari controlli.
Secondo l’articolo 7, l’Autorità nazionale competente NIS è responsabile della verifica delle informazioni trasmesse dai soggetti registrati, assicurando che rispettino i requisiti normativi per l’inclusione nell’elenco previsto dallo stesso articolo. La mancata o tardiva registrazione rappresenta un’inadempienza agli obblighi normativi e comporta l’applicazione di sanzioni amministrative pecuniarie, che possono essere aumentate fino al triplo, come previsto dall’articolo 38, comma 13, del Decreto.
Tanto premesso, l’accuratezza e la tempestività nella registrazione e nell’aggiornamento delle informazioni sono essenziali per garantire l’integrità e l’efficacia delle misure di sicurezza informatica richieste dal legislatore nazionale, per cui, la loro inosservanza, comporta il rischio di incorrere in ulteriori severe sanzioni.
L’Autorità NIS è abilitata a imporre, nei confronti delle persone fisiche responsabili di un’entità, o che agiscono come suoi rappresentanti legali, nonché di coloro che esercitano funzioni dirigenziali in qualità di amministratore delegato o rappresentante legale di un’entità rilevante o significativa, la sanzione amministrativa accessoria dell’incapacità a ricoprire incarichi dirigenziali presso la stessa entità. La disposizione in commento, avente un forte effetto deterrente, colpisce personalmente i dirigenti aziendali e costituisce una modifica sostanziale rispetto alla Direttiva, che prevede tale sanzione accessoria solo per le entità essenziali.
Nell’ambito delle disposizioni contenute nel decreto, l’art. 27 assume un’importanza significativa, in quanto stabilisce una connessione diretta tra la conformità alle norme di sicurezza e l’uso di tecnologie certificate. In questo contesto, l’Autorità nazionale competente NIS può imporre ai soggetti essenziali e importanti di utilizzare categorie di prodotti TIC, servizi TIC e processi TIC, sviluppati dal soggetto essenziale o importante o acquistati da terze parti, che siano certificati nell’ambito dei sistemi europei di certificazione della cybersicurezza. In attesa che tali sistemi europei di certificazione siano definitivamente adottati, l’Autorità nazionale competente NIS può altresì imporre l’adozione di prodotti, servizi e processi TIC che siano certificati secondo schemi nazionali o europei già riconosciuti.
Dall’analisi dell’articolo 27 e delle misure di sicurezza specificate nel decreto si evidenzia un’attenzione particolare alla protezione delle informazioni, in termini di confidenzialità, disponibilità e resilienza dei sistemi informativi, nonché all’importanza della continuità operativa. In questo contesto, il comma 2 del suddetto articolo si presume faccia riferimento a standard internazionali riconosciuti, come la ISO/IEC 27001 e la ISO 22301.
Lo standard internazionale ISO/IEC 27001 fornisce requisiti per la gestione della sicurezza delle informazioni, enfatizzando la confidenzialità, l’integrità e la disponibilità delle informazioni. Questo standard aiuta le organizzazioni a mitigare i rischi informatici e proteggere i dati sensibili attraverso un sistema di gestione continuativo e strutturato. Parallelamente, lo standard ISO 22301 stabilisce criteri per la gestione della continuità operativa, coprendo la pianificazione, l’attuazione, il monitoraggio e la revisione di un sistema di gestione per affrontare e mitigare incidenti destabilizzanti. Essenziale per la resilienza dei sistemi informativi, questo standard assicura la continuità delle operazioni durante disastri o gravi interruzioni.
Stante ciò, gli standard ISO/IEC 27001 e ISO 22301 forniscono un quadro solido per raggiungere e dimostrare l’elevato livello di sicurezza delle informazioni e di continuità operativa richiesto dal Decreto. Pertanto, l’implementazione combinata dei due standard attraverso un sistema di gestione integrato contribuisce alla conformità con lo schema di Decreto.
Ne consegue che l’approccio proattivo e le sanzioni rigorose in caso di non conformità riflettono la necessità di elevare gli standard di sicurezza informatica.
In conclusione, la strategia delineata non solo consente di proteggere le infrastrutture critiche nazionali ed europee, ma tutela anche la società nel suo insieme, enfatizzando la necessità di sistemi informativi sicuri e resilienti in un ambiente sempre più digitalizzato.
Articolo a cura di Lara Maugeri e Antonietta Riccardi