Articolo a cura di Giulio Uras, Francesco Fidel Camera e Matteo Pagliarulo.
È stato pubblicato in Gazzetta Ufficiale il d.lgs. n. 138/2024 (“Decreto NIS2”) che recepisce la direttiva (UE) 2022/2555, più nota come “Direttiva NIS2”.
Il Decreto NIS2 oltre ad abrogare il d.lgs. n. 65/2018 – che recepiva la direttiva 2016/1148, c.d. Direttiva NIS – ha disposto anche l’abrogazione degli artt. 40 (“Sicurezza delle reti e dei servizi”) e 41 (“Attuazione e controllo”) del d.lgs. n. 259/2003 (“Codice delle Comunicazioni Elettroniche”), con la conseguenza che ora i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico sono soggetti unicamente alla disciplina dettata dal Decreto NIS2.
A chi si applica?
Il Decreto NIS2 si applica a soggetti, sia pubblici che privati, che operano in settori “critici” (es. energia, trasporti, settore bancario, settore sanitario, infrastrutture digitali, spazio, gestione dei rifiuti, fabbricazione di dispositivi medici, macchinari, autoveicoli, etc.).
I soggetti obbligati si distinguono poi in essenziali e importanti, in funzione della loro importanza per il settore o il tipo di servizi che forniscono, nonché́ delle loro dimensioni. L’appartenenza ad una o all’altra categoria rileva ai fini dell’applicazione delle sanzioni in caso di violazione degli obblighi previsti dal Decreto NIS2, che sono più elevate per i soggetti essenziali (pari a un massimo di almeno 10 milioni EUR o a un massimo di almeno il 2% del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto essenziale appartiene, se tale importo è superiore).
Quali sono gli obblighi?
I principali obblighi gravanti sui soggetti obbligati consistono nell’adozione di misure di gestione dei rischi per la sicurezza informatica e nella notifica di incidenti significativi.
Con riguardo agli obblighi in materia di gestione dei rischi per la sicurezza informatica, ai soggetti essenziali e importanti è imposta l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informativi e di rete utilizzati nelle loro attività o nella fornitura dei loro servizi.
Per quanto riguarda gli obblighi di notifica, il Decreto NIS2 prevede che i soggetti essenziali e importanti notifichino al CSIRT gli incidenti che hanno un impatto significativo sulla fornitura dei loro servizi.
La notifica è effettuata per fasi e prevede: una pre-notifica entro 24 ore dall’incidente, la notifica vera e propria entro 72 ore dall’incidente e una relazione finale entro 1 mese dalla notifica.
Tanto gli obblighi in materia di gestione dei rischi per la sicurezza informatica quanto gli obblighi di notifica saranno definiti nel dettaglio (anche con riguardo a termini, modalità, specifiche e tempi graduali di implementazione) dall’ACN con proprie determinazioni sulla base di criteri di gradualità e proporzionalità.
La responsabilità di assicurare il rispetto degli obblighi stabiliti dal Decreto NIS2 ricade sugli organi amministrativi e direttivi dei soggetti essenziali e importanti, che sono responsabili delle violazioni del Decreto NIS2.
Per maggiori informazioni consulta la nostra Guida sulla Cybersecurity (aggiornata a Decreto NIS2, Decreto CER e Legge sulla Cybersicurezza) o contatta i nostri professionisti dedicati alla materia.