NIS2: approvata in via preliminare la bozza del recepimento

Il Consiglio dei ministri ha approvato in via preliminare la bozza del decreto di recepimento della Direttiva NIS2, un ulteriore punto di svolta significativo nella strategia nazionale di cybersicurezza, nella settimana in cui è stata approvata la legge sulla cybersicurezza. Questo articolo esamina in dettaglio il contenuto della bozza del decreto di recepimento, con particolare attenzione agli obblighi imposti, alle sanzioni previste e alle principali incognite che ne derivano.
La Direttiva NIS2 (Network and Information Security), che aggiorna la precedente Direttiva NIS del 2016, ha l’obiettivo principale di migliorare la resilienza e la sicurezza delle reti e dei sistemi informativi in tutta l’Unione Europea. Questo è particolarmente rilevante in un contesto di crescenti minacce informatiche. La direttiva è stata pubblicata sulla Gazzetta Ufficiale dell’Unione Europea il 27 dicembre 2022 ed è entrata in vigore il 16 gennaio 2023, con un periodo di implementazione di 21 mesi che scade il 17 ottobre 2024​.  
Vediamo in dieci punti i contenuti salienti della bozza del decreto di recepimento.

1. Ruolo centrale dell’ACN: pilastro della sicurezza nazionale

La direttiva NIS2 conferma il ruolo centrale dell’ACN (Agenzia per la Cybersicurezza Nazionale), ribadendo la linea di continuità con il passato e valorizzando gli investimenti già fatti nell’Agenzia. L’ACN continuerà a essere il fulcro delle attività di cybersicurezza, coordinando gli sforzi nazionali e fungendo da punto di riferimento per tutte le questioni legate alla sicurezza informatica. Questo ruolo centrale non solo assicura una gestione più efficiente delle risorse, ma permette anche di mantenere una strategia coesa e unificata contro le minacce cyber.

2. Ministero della Difesa: guardiano della sicurezza militare

Un altro punto cruciale è il ruolo specifico assegnato al Ministero della Difesa, soprattutto nella gestione delle crisi informatiche che coinvolgono la difesa e la sicurezza militare dello Stato. Questo sottolinea come le questioni di cyberwar non siano più un’ipotesi remota, ma una realtà con cui fare i conti. La difesa nazionale si estende ormai oltre i confini fisici, includendo il cyberspazio come un nuovo campo di battaglia da proteggere e gestire.

3. Tavolo permanente per l’attuazione della Direttiva NIS2

Per garantire un’implementazione efficace della direttiva NIS2, è stato istituito un tavolo permanente che coinvolge vari portatori di interesse. Questo organo avrà il compito di formulare proposte, esprimere pareri e adottare iniziative, linee guida e atti di indirizzo. Il coinvolgimento di più attori permette di avere una visione completa e inclusiva, assicurando che le decisioni prese siano ben ponderate e rispecchino le esigenze di tutti i settori coinvolti.

4. Registrazione dei soggetti nel perimetro NIS2

Uno dei primi adempimenti operativi per i soggetti rientranti nel perimetro della direttiva NIS2 è la registrazione su una piattaforma dedicata. Questo processo avverrà ogni anno, nel periodo gennaio-febbraio, e permetterà di confermare l’inclusione dei soggetti negli elenchi di quelli considerati essenziali o importanti. La piattaforma non sarà solo un luogo di registrazione, ma anche un punto di riferimento per tutte le interazioni tra l’ACN e i soggetti interessati, facilitando la comunicazione e lo scambio di informazioni.

5. Supporto e responsabilità dei soggetti nel perimetro

Il testo della NIS2 pone un forte accento sul supporto che deve essere fornito ai soggetti inclusi nel perimetro, con un ruolo chiave svolto dal CSIRT (Computer Security Incident Response Team) e dall’ACN. L’obiettivo è garantire un elevato livello di cybersicurezza comune, collaborando strettamente con i soggetti per aiutarli a raggiungere questo standard. Un altro aspetto cruciale è la responsabilità diretta degli organi di gestione. Gli organi amministrativi e direttivi devono approvare le modalità di implementazione delle misure di gestione dei rischi e sono responsabili delle eventuali violazioni.

6. Misure di mitigazione dei rischi

Le misure di mitigazione dei rischi sono un altro elemento chiave del testo. Sebbene il testo della direttiva NIS2 non introduca novità significative rispetto a quanto già stabilito, è essenziale che vengano presto fornite indicazioni chiare sulle misure tecniche dettagliate da adottare. Questo è particolarmente importante per i soggetti più piccoli e meno maturi, che potrebbero aver bisogno di tempo e risorse per adeguarsi agli obblighi previsti. Le misure dovranno essere proporzionate e graduali, tenendo conto del settore di appartenenza e del grado di maturità in termini di sicurezza.

7. Eccezione per le Pubbliche Amministrazioni

Un capitolo a parte riguarda le pubbliche amministrazioni. È previsto che ci siano obblighi specifici per i fornitori della PA, considerando gli impatti sociali ed economici legati agli incidenti nella catena di fornitura. Tuttavia, le sanzioni per la mancata segnalazione di incidenti si applicano solo in caso di reiterazione, riconoscendo implicitamente che le PA possono avere difficoltà organizzative significative. Questo atteggiamento riflette una comprensione delle sfide specifiche che le PA affrontano in termini di risorse e competenze.

8. Cooperazione tra autorità

La cooperazione tra diverse autorità nazionali è un altro aspetto cruciale della direttiva NIS2. Tenendo conto delle risorse disponibili per le attività di vigilanza, è previsto che ci sia una segnalazione reciproca tra autorità, come il Garante per la protezione dei dati personali, per evitare duplicazioni nelle attività ispettive. Questa cooperazione sarà essenziale per garantire un monitoraggio efficace e una gestione coordinata delle minacce alla sicurezza.

9. Sanzioni e responsabilità

La strada suggerita dal testo della direttiva NIS2 in Italia sembra puntare molto sulla responsabilizzazione dei vertici aziendali in caso di incidenti. Sono previste sanzioni severe, come la sospensione temporanea di certificati o autorizzazioni e l’incapacità di svolgere funzioni dirigenziali per i responsabili. Questo approccio mira a creare un effetto deterrente significativo, assicurando che i soggetti rispettino le norme e mantengano un alto livello di sicurezza. Per le PA, le sanzioni economiche sono ridotte, ma si applicano norme di responsabilità disciplinare e amministrativo-contabile.

10. Strategia nazionale di cybersicurezza e coordinamento europeo

La bozza del decreto recepisce anche aspetti rilevanti per le attività dello Stato e il coordinamento a livello europeo, come la definizione della strategia nazionale di cybersicurezza e la partecipazione a EU-CyCLONe, la rete di cooperazione europea per la gestione delle crisi cyber. Non ci sono novità inattese in queste aree, ma è importante notare il supporto previsto per il rafforzamento della resilienza e dell’igiene informatica delle piccole e medie imprese (PMI), in particolare quelle escluse dal perimetro NIS2.

11. Conclusioni

Complessivamente, il decreto per il recepimento e l’implementazione della direttiva NIS2 in Italia non presenta grandi criticità rilevanti per i soggetti nel perimetro. Restano due grandi punti interrogativi: le misure tecniche di dettaglio e i tempi per l’adeguamento. È auspicabile che si possano avere indicazioni chiare e tempestive su questi aspetti, soprattutto per le molte aziende che affrontano per la prima volta normative di cybersecurity. La strada è ancora lunga, ma con una governance solida e una cooperazione efficace, l’Italia potrà affrontare le sfide della cybersicurezza con maggiore sicurezza e preparazione.

Ti interessano questi contenuti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!