Il D.lgs. 4 settembre 2024, n. 138, ufficialmente in vigore dal 16 ottobre, introduce la disciplina nazionale di recepimento della cosiddetta Direttiva NIS 2, volta alla trasposizione interna della Direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la Direttiva (UE) 2016/1148.
Cybersicurezza: l’architettura normativa Ue prende forma
Mentre si sta progressivamente edificando la complessiva architettura euro-unitaria in materia di cybersicurezza che, alla luce di quanto enunciato nella strategia generale del 2020, integrata dalla versione aggiornata 2020-2025, mira a promuovere la resilienza tecnologica, combattere gli attacchi telematici e rafforzare la diplomazia informatica, comincia a proliferare la produzione legislativa settoriale, anche con l’intervento, ove richiesto, degli Stati membri.
In attesa della formale entrata in vigore del “Cyber Resilience Act” (dopo l’avvenuta approvazione definitiva del testo da parte del Consiglio UE all’esito della procedura di codecisione normativa) – che non necessita di recepimento nazionale, trattandosi di regolamento europeo direttamente applicabile -, prosegue l’iter per l’adozione del correlato “Cyber Solidarity Act”, destinato a innovare il quadro legislativo vigente, in combinato disposto con quanto già statuito dal regolamento sulla cibersicurezza.
I dettagli del decreto italiano NIS 2
In tale cornice normativa si inserisce ora anche il recente decreto italiano NIS 2 che pone, tra l’altro, particolare rilevanza alla Strategia nazionale di cybersicurezza (di cui all’art. 9 del D.lgs. 138/2024), ove sono formalizzati gli obiettivi strategici e le priorità da perseguire in materia. Più precisamente, all’interno della Strategia nazionale per la cybersicurezza, sono previste, tra l’altro, misure dirette a garantire la sicurezza informatica nella catena di approvvigionamento dei prodotti e dei servizi TIC, utilizzati anche negli appalti pubblici, nonché in grado di assicurare la gestione delle vulnerabilità (cfr. art. 9, comma 3).
Ambito di applicazione e soggetti coinvolti
L’art. 3 del D.lgs. 138/2024 ricostruisce l’ambito di applicazione della relativa disciplina secondo un duplice criterio (che mette in rilievo la natura giuridica dell’ente e l’attività svolta), individuando, negli allegati I, II, III e IV, una serie di soggetti pubblici e privati operanti in differenti settori, enucleati in senso ampio e generale.
In particolare, sono tenuti al rispetto delle prescrizioni legislative ivi contemplate:
- le amministrazioni centrali (nel cui novero rientrano gli Organi costituzionali e di rilievo costituzionale, la Presidenza del Consiglio dei ministri e i Ministeri, le Agenzie fiscali e le Autorità amministrative indipendenti);
- le amministrazioni regionali (ossia Regioni e Province autonome);
- le amministrazioni locali (Città metropolitane, Comuni con popolazione superiore a 100.000 abitanti, Comuni capoluoghi di regione e Aziende sanitarie locali);
- nonché altri soggetti pubblici (che comprendono gli enti di regolazione dell’attività economica, gli enti produttori di servizi economici, gli enti a struttura associativa;
- gli enti produttori di servizi assistenziali, ricreativi e culturali, gli enti e le istituzioni di ricerca, gli istituti zooprofilattici sperimentali).
Agli apparati pubblici si aggiungono altre tipologie di soggetti: fornitori di servizi di trasporto pubblico locale, istituti di istruzione che svolgono attività di ricerca, enti che svolgono attività di interesse culturale, società in house, società partecipate e società a controllo pubblico, così come definite nel D.lgs. 19 agosto 2016, n. 175, nonché imprese che superano determinati soglie massimali dimensionali.
Giova precisare che, in virtù della tecnica normativa adoperata, lungi dal configurare categorie statiche, precostituite in astratto dal legislatore, il menzionato elenco dei soggetti indicati è suscettibile di ampliamento nel corso del tempo, per consentire di includere nella portata applicativa della disciplina di cui al D.lgs. 138/2024 ulteriori categorie di pubbliche amministrazioni, identificabili “sulla base di un criterio di gradualità, dell’evoluzione del grado di esposizione al rischio della pubblica amministrazione, della probabilità che si verifichino incidenti e della loro gravità” (cfr. art. 3, comma 7).
Esclusioni e settori critici
Il successivo art. 4, oltre ad escludere espressamente dall’operatività del D.lgs. 138/2024 il Parlamento italiano, l’Autorità giudiziaria, la Banca d’Italia e l’Unità di informazione finanziaria per l’Italia di cui all’articolo 6 del D.lgs. 231/2007, precisa che tale disciplina non si estende, altresì, agli enti, organi e articolazioni della pubblica amministrazione che operano nei settori della pubblica sicurezza, della difesa nazionale, o dell’attività di contrasto, compresi l’indagine, l’accertamento e il perseguimento di reati, nonché agli organismi di informazione per la sicurezza di cui alla legge 3 agosto 2007, n. 124 e all’Agenzia per la cybersicurezza nazionale (ACN).
Inoltre, gli allegati I e II descrivono i settori (e sottosettori) ritenuti critici e altamente critici (ove sono annoverati, ad esempio, l’energia, i trasporti, il settore bancario, le infrastrutture dei mercati finanziari, il settore sanitario, le infrastrutture digitali, la gestione dei servizi TIC b2b, ecc.).
Il ruolo dell’agenzia per la cybersicurezza nazionale
L’art. 10 del D.lgs. 138/2024 qualifica l’Agenzia per la cybersicurezza nazionale come Autorità nazionale competente NIS, con il compito di sovraintendere all’implementazione e all’attuazione della relativa disciplina, predisponendo tutti i provvedimenti a tale scopo necessari, anche mediante l’adozione di apposite linee guida, raccomandazioni e orientamenti non vincolanti (costituenti peculiari modalità regolatorie riconducibili al modello di soft-law). Come Punto di contatto unico NIS, l’ACN assicura la cooperazione transfrontaliera con le competenti autorità nazionali degli altri Stati membri, con la Commissione europea e con l’ENISA, oltre a partecipare al Gruppo di cooperazione NIS di cui al successivo art. 18, al fine di facilitare lo scambio di informazioni e favorire la diffusione di buone pratiche consolidate in materia.
Supporto delle autorità di settore NIS
Supportano l’ACN, nella veste di Autorità nazionale competente NIS, le specifiche Autorità di settore NIS che l’art. 11 designa appositamente. Ad esempio, la Presidenza del Consiglio dei ministri è l’Autorità settoriale NIS per il settore che riguarda, tra l’altro, la gestione dei servizi TIC, in collaborazione con l’Agenzia per la cybersicurezza nazionale e il settore dello spazio, mentre, invece, il Ministero dell’economia e delle finanze assume il ruolo di Autorità NIS per il settore bancario e delle infrastrutture dei mercati finanziari. Il Ministero delle imprese e del made in Italy opera come Autorità NIS per il settore delle infrastrutture digitali.
Il Tavolo per l’attuazione della disciplina NIS
Nell’ottica di assicurare l’effettiva e uniforme applicazione del D.lgs. 138/2024, è prevista la costituzione presso l’Agenzia per la Cybersicurezza nazionale del Tavolo per l’attuazione della disciplina NIS, presieduto dal direttore generale dell’Agenzia per la cybersicurezza nazionale (o da un suo delegato) e composto da un rappresentante di ogni Autorità settoriale NIS, nonché da rappresentanti designati da Regioni e Province autonome in sede di Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano. Il Tavolo per l’attuazione della disciplina NIS svolge rilevanti funzioni propulsive, mediante la formulazione di proposte e pareri per l’adozione di iniziative, linee guida e atti di indirizzo da assumere in materia, con l’ulteriore compito di predisporre una relazione annuale sullo stato di attuazione del D.lgs. 138/2024.
A tenore dell’art. 15, il Gruppo nazionale di risposta agli incidenti di sicurezza informatica (CSIRT Italia) rappresenta l’organo preposto all’espletamento delle funzioni di gestione degli incidenti di sicurezza informatica, disponendo, a tal fine, di un’infrastruttura appropriata, sicura e resiliente, per lo scambio di informazioni rilevanti.
In particolare, il CSIRT Italia ha il compito, tra l’altro, di monitorare e analizzare le minacce informatiche, comunicando eventuali preallarmi, allerte e bollettini (cfr. art. 15, comma 3).
Gestione degli incidenti di sicurezza informatica
Sul piano definitorio, facendo riferimento alle denominazioni positivizzate dal legislatore, la nozione di “minaccia informatica include “qualsiasi circostanza, evento o azione che potrebbe danneggiare, perturbare o avere un impatto negativo di altro tipo su sistemi informativi e di rete, sugli utenti di tali sistemi e altre persone, così come definita dall’articolo 2, punto 8), del regolamento (UE) 2019/881 (cfr. art. 2, comma 1, lett. bb). Quando, invece, viene in rilievo una cd. “minaccia informatica significativa” si verifica “una minaccia informatica che, in base alle sue caratteristiche tecniche, si presume possa avere un grave impatto sui sistemi informativi e di rete di un soggetto o sugli utenti dei servizi erogati da un soggetto causando perdite materiali o immateriali considerevoli” (cfr. art. 2, comma 1, lett. cc).
Inoltre, per espressa previsione normativa, il CSIRT Italia è designato coordinatore in materia di divulgazione coordinata delle vulnerabilità ai sensi dell’art. 12 della Direttiva (UE) 2022/2555, fornendo la relativa attività di assistenza (cfr. art. 16). Il CSIRT Italia partecipa, altresì, alla Rete di CSIRT nazionali (ex art. 20), contribuendo allo scambio di informazioni e alla condivisione di nuove tecnologie sviluppate in materia.
L’art. 24 del D.lgs. 138/2024 stabilisce specifici obblighi normativi, che impongono l’adozione di apposite misure tecniche, operative, organizzative di gestione per fronteggiare i rischi che possono compromettere la sicurezza, tenuto conto delle conoscenze più aggiornate e dello stato dell’arte esistente, nel rispetto del principio di proporzionalità, avuto riguardo al grado di esposizione a rischi esistenti, alle dimensioni del soggetto e alla probabilità che si verifichino incidenti, nonché alla loro gravità.
Obblighi normativi e notifica degli incidenti
Quando gli incidenti hanno un impatto significativo sulla fornitura dei servizi, l’art. 25 prevede un obbligo di notifica da assolvere, con apposita comunicazione inoltrata al CSIRT Italia, senza ingiustificato ritardo, e comunque entro 24 ore dal momento dell’avvenuta conoscenza, con l’ulteriore integrazione obbligatoria di aggiornamento volta a indicare le informazioni di dettaglio successivamente acquisite, fornendo, tra l’altro, una valutazione iniziale dell’incidente significativo, nonché, ove disponibili, gli indicatori di compromissione, entro e non oltre le successive 72 ore.
Sotto il profilo sistematico, in via di inquadramento giuridico, il D.lgs. 138/2024 enuclea una serie di fattispecie che integrano gli estremi di un incidente.
In primo luogo, l’incidente può rilevare come evento base suscettibile di compromettere “la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati, o dei servizi offerti dai sistemi informativi e di reti o accessibili attraverso di essi” (cfr. art. 2, comma 1, lett. t). La peculiare nozione del cd. “quasi-incidente” descrive, invece, un “evento che avrebbe potuto configurare un incidente senza che quest’ultimo si sia tuttavia verificato, ivi incluso il caso in cui l’incidente sia stato efficacemente evitato” (cfr. art. 2, comma 1, lett. u), mentre il cd. “incidente di sicurezza informatica su vasta scala” indica “un incidente che causa un livello di perturbazione superiore alla capacità di uno Stato membro di rispondervi o che ha un impatto significativo su almeno 2 Stati membri” (cfr. art. 2, comma 1, lett. v).
Vigilanza e sanzioni
Alla luce di quanto previsto dagli artt. 34 e ss. del D.lgs. 138/2024, l’Autorità nazionale competente NIS monitora e valuta il rispetto degli obblighi prescritti dal legislatore, svolgendo, a tal fine, attività di vigilanza, verifica e ispezioni (ex art. 36), con l’ulteriore possibilità di ricorrere all’adozione di misure di esecuzione (ex art. 37), unitamente all’irrogazione di sanzioni amministrative pecuniarie e accessorie (ex art. 38).
Le opinioni espresse nel presente articolo hanno carattere personale e non sono, direttamente o indirettamente collegate, in alcun modo, alle attività e funzioni lavorative svolte dall’Autore, senza, quindi, impegnare, in alcun modo, l’Amministrazione di appartenenza del medesimo.
