Premessa
L’articolo 41 della Costituzione Italiana afferma che l’iniziativa privata è libera, precisa però immediatamente che essa non può svolgersi in contrasto con l’utilità sociale o in odo da arrecare danno ad interessi primari tra i quali, oltre alla salute e all’ambiente, anche alla sicurezza, alla libertà e alla dignità umana. Come conseguenza, la legge può intervenire con misure e controlli perché gli obiettivi di tutela sopra indicati possano essere effettivamente conseguiti.
A livello Europeo, la constatazione che, in un ambiente sempre più interconnesso, le vulnerabilità di un elemento, possono ripercuotersi in maniera diretta e grave su tutti gli altri elementi del sistema, porta nel 2016 ad emanare la Direttiva NIS, allo scopo di armonizzare i sistemi di sicurezza dei diversi Paesi membri.
Ci si rende presto conto dell’insufficienza di tale misura, di fronte al numero crescente di attacchi informatici, per cui, con la Direttiva UE 2022/2555 – nota come NIS2 – vengono meglio definiti e ampliati gli ambiti di applicazione rispetto alla norma precedente.
La direttiva NIS2 è stata pubblicata in Gazzetta Ufficiale dell’UE il 27 dicembre 2022, con decorrenza 16 gennaio 2023. Il Decreto Legislativo n. 138 del 4 settembre 2024 ha recepito tale Direttiva, definendo le modalità di applicazione della stessa all’interno del sistema normativo italiano.
Soggetti coinvolti
Il perimetro di applicazione della NIS2 è molto superiore a quello definito dalla precedente NiS1, perché mira a creare un ecosistema digitale più sicuro e interconnesso, riconoscendo l’interdipendenza tra i diversi settori e il rischio di propagazione degli attacchi informatici.
Il D. Lgsl 138/2024 indica negli Allegati I-IV i settori, sottosettori e le tipologie di soggetti coinvolti. In particolare sono previsti 10 settori ad alta criticità, suddivisi in specifici sottosettori per un totale di 53 tipologie di soggetti e 7 settori critici con specifici sottosettori per un totale di 15 tipologie. Rientrano inoltre nell’ambito della normativa le amministrazioni centrali, regionali, locali e altri soggetti pubblici.
In aggiunta le Autorità preposte possono individuare altri soggetti se questi forniscono servizi essenziali o tali per cui una perturbazione nel servizio potrebbe avere un impatto significativo sulla sicurezza o il soggetto sia considerato critico quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti.
Obblighi e sanzioni
Gli obblighi per tutti i soggetti spaziano da adempimenti amministrativi, quali la registrazione entro febbraio 2025 in un apposito registro, all’adozione di vere e proprie procedure e misure di valutazione e riduzione dei rischi informatici.
In caso di eventi che possono impattare sulla sicurezza, la normativa prevede l’obbligo di notifica, con precise scadenze. Per rendere le notifiche efficaci, semplificando le analisi, l’Autorità per la Cybersicurezza Nazionale ACN, ha definito un’unica TASSONOMIA rilevante a livello nazionale ed armonizzata con quella internazionale.
In caso di violazioni gravi quali mancata osservanza delle disposizioni di legge e/o inottemperanza delle disposizioni dell’Autorità a seguito di monitoraggi e ispezioni, sono previste sanzioni pecuniarie fino a 10 MEUR o 2%del fatturato annuo mondiale per soggetti essenziali e fino a 7 MEUR o 1,4% del fatturato annuo mondiale per i soggetti importanti.