La Direttiva (UE) n. 2022/2555, nota anche come “Direttiva NIS2”, del Parlamento europeo e del Consiglio, del 14 dicembre 2022 è la legislazione europea in materia di cybersicurezza. La Direttiva è stata recepita in Italia con il Decreto legislativo 4 settembre 2024, n. 138 pubblicato sulla Gazzetta Ufficiale, Serie Generale n. 230, del 1° ottobre 2024
La norma aggiorna le disposizioni dell’UE in materia di cybersicurezza introdotte nel 2016 con l’obiettivo di modernizzare e uniformare il quadro giuridico esistente. Fa parte di un ampio pacchetto di strumenti giuridici e di iniziative a livello dell’Unione, mirato ad aumentare la resilienza di soggetti pubblici e privati alle minacce nell’ambito cibernetico.
Il Decreto introduce, quindi, specifiche prescrizioni in capo alle aziende che integrano determinati requisiti dimensionali, definendo obblighi di gestione dei rischi informatici e l’adozione di misure preventive e correttive, soprattutto organizzative, per garantire la sicurezza delle informazioni.
Al netto delle eccezioni previste dalla norma, il Decreto si applica, alle aziende private appartenenti ai settori critici indicati negli Allegati I e II e che superano i limiti dimensionali delle piccole imprese (ovvero, che realizzano almeno 10 milioni di fatturato annuo e impiegano almeno 50 lavoratori dipendenti). L’Allegato III si riferisce, invece, alle Amministrazioni centrali, regionali e locali.
Le aziende rientranti nel campo di applicazione della norma dovranno gestire i rischi informatici tramite valutazioni interne e tramite l’adozione di misure di sicurezza, sviluppare piani per rispondere rapidamente agli incidenti e notificare tempestivamente alle autorità gli attacchi informatici significativi. Inoltre, devono garantire che anche i propri fornitori strategici adottino pratiche di sicurezza adeguate e formare il personale sui rischi e sulle best practices in materia di cybersecurity.
La norma introduce altresì un importante focus sugli obblighi riconosciuti in capo al management aziendale. Gli organi direttivi, infatti, sono direttamente responsabili di garantire l’implementazione delle misure di sicurezza previste dal Decreto. Devono assicurarsi che siano adottate politiche adeguate alla gestione dei rischi informatici e per la protezione dei dati aziendali, monitorando costantemente l’efficacia delle misure e promuovendo la cultura della sicurezza all’interno dell’organizzazione.
La norma prevede una serie di scadenze entro le quali le aziende dovranno recepire gli obblighi previsti. La prima scadenza è il 28 febbraio 2025. Entro questa data, ogni organizzazione che integri i requisiti sopra riassunti dovrà individuare al proprio interno un “Punto di contatto” da comunicare all’Agenzia di cybersicurezza nazionale (ACN), l’Autorità preposta a vigilare sull’applicazione del Decreto. Individuato il Punto di contatto, quest’ultimo dovrà procedere all’iscrizione della propria organizzazione sulla piattaforma digitale messa a disposizione da ACN. Entro il 31 maggio 2025 ACN fornirà un riscontro agli enti che hanno effettuato l’iscrizione in piattaforma circa l’obbligatorietà o meno, per questi ultimi, di adempiere alle prescrizioni previste dal Decreto.
La mancata iscrizione in piattaforma potrà comportare sanzioni, anche ingenti, come definite dall’art. 38 del Decreto, che potranno essere determinate in base al fatturato mondiale annuo di ogni organizzazione. Inoltre, si potrebbero aggiungere ulteriori sanzioni previste per la mancata implementazione dei restanti adempimenti.
La norma è stratificata e complessa e merita certamente un approfondimento specifico per ogni realtà, pertanto, rimandiamo al testo integrale del Decreto e segnaliamo che, sul sito della ACN è possibile consultare le FAQ sul tema https://www.acn.gov.it/portale/nis.
In un’ottica di accompagnamento agli adempimenti organizzativi interni richiesti al management aziendale il nostro Studio mette a disposizione le competenze dei propri professionisti per supportare le realtà impattate dalla normativa, svolgendo le seguenti attività:
- accompagnamento all’iscrizione sulla piattaforma digitale messa a disposizione dall’Agenzia di Cybersicurezza Nazionale (ACN) entro i termini previsti dal Decreto;
- affiancamento nell’individuazione del teammultidisciplinare che dovrà essere costituito per rispondere agli adempimenti previsti dal Decreto;
- revisione del sistema di deleghe e/o procure in essere alla luce dell’individuazione del team multidisciplinare individuato;
- analisi degli accordi contrattuali in essere con fornitori e clienti che possano impattare sugli aspetti di sicurezza informatica evidenziando eventuali criticità a cui l’azienda è esposta alla luce delle prescrizioni del Decreto;
- definizione di una procedura di reportingperiodico al Board da parte del team multidisciplinare individuato;
- revisione delle procedure interne di gestione degli incidenti e eventuali procedure correlate al sistema di gestione NIS2 adottate con il supporto dei consulenti/team IT incaricati/o;
- affiancamento del management e del teammultidisciplinare nelle fasi di individuazione dei fornitori strategici e revisione, supporto per la redazione di check-list di verifica della supply chain;
- erogazione di corsi formativi aventi ad oggetto le procedure aziendali per la gestione degli incidenti, le attività di reporting, aggiornamento periodico delle informazioni comunicate ad ACN attraverso la piattaforma digitale, ecc..
- affiancamento annuale, tramite lo svolgimento di audit specifici, nella gestione delle attività di mantenimento dell’adeguamento alla normativa NIS2.
Restiamo a completa disposizione per approfondimenti specifici e valutazione dei singoli casi concreti, sia nelle fasi di self-assessment propedeutico all’iscrizione in piattaforma ACN sia per le attività di remediation conseguenti.
