Lo schema di decreto legislativo ora in discussione al Parlamento di attuazione in Italia della direttiva UE n. 2555/2022 (“NIS2”) si presenta come un provvedimento molto strutturato, al pari del testo della direttiva.
Il 17 ottobre 2024, data ultima di recepimento della NIS2, il provvedimento di cui allo schema non sarà nei fatti immediatamente operativo, richiedendo una normazione di secondo livello sia da parte della Presidenza del Consiglio dei ministri, sia da parte dell’Agenzia per la Cybersicurezza Nazionale (“ACN”), compresa la compilazione del registro dei soggetti destinatari. Ciò nonostante, la mole degli adempimenti e l’ampliamento dei soggetti a cui si applicherà la normativa suggeriscono di porre in essere, senza indugio, le attività di preparazione necessarie per il tempestivo adeguamento, attività che risultano trasversali all’interno dell’azienda e sicuramente time-consuming.
Cosa prevede il decreto
Concentrandoci sulla disciplina rivolta ai destinatari del provvedimento, lo schema prevede, come noto, l’abrogazione del d.lgs. 65/2018 di recepimento della prima direttiva in materia c.d. “NIS” (UE 2016/1148, a sua volta caducata dalla NIS2 a decorrere sempre dal 17 ottobre 2024), salvo un parziale regime transitorio per i soggetti NIS previsto dallo schema, e un importante allargamento della platea dei soggetti obbligati rispetto alla NIS.
I soggetti inclusi nella NIS2
La NIS2, infatti, da un lato, include le PA centrali (lasciando discrezionalità agli Stati membri – che l’Italia ha inteso esercitare – di inserire le PA locali in base ad una valutazione sul rischio di impatti significativi su attività sociali o economiche critiche in caso di perturbazione), le piccole e micro-imprese operanti in settori chiavi e, indipendentemente dalle dimensioni, i fornitori di servizi di comunicazione elettroniche pubbliche e di reti di comunicazione elettronica accessibili al pubblico.
Dall’altro lato, aumenta i settori/servizi di applicazione e prevede che vi rientrino (per quelli inclusi negli Allegati I e II) tutti i soggetti ivi elencati che superano i massimali comunitari per le piccole imprese (ai sensi dell’articolo 2, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE), vale a dire, oltre 50 dipendenti e un fatturato annuo superiore a 10 milioni di euro o un totale di bilancio annuo superiore a 43 milioni di euro). Restano esclusi i soggetti operanti nella sicurezza nazionale, pubblica sicurezza e difesa, il Parlamento, l’Autorità Giudiziaria e la Banca Centrale.
L’ambito di applicazione del decreto
L’art. 3 della legge delega (L. 15/2024) per l’attuazione della NIS2 assegnava specifici criteri al Governo, tra cui: (a) l’individuazione delle PA locali e/o di comuni/province; (b) la previsione di un regime transitorio per i soggetti NIS per conformarsi alla NIS2; (c) l’istituzione di meccanismi di registrazione dei soggetti per la definizione dell’elenco previsto dalla NIS2, nonché (d) la deroga ai limiti previsti dall’art. 32 della L. 234/2012 in materia di ammontare delle sanzioni amministrative (per permettere il superamento delle soglie massime ivi stabilite!).
Lo schema individua l’ambito di applicazione del decreto principalmente con riferimento all’attività esercitata (a tal fine è previsto un aggiornamento periodico da parte dei soggetti iscritti nel registro). In particolare, vi rientrano:
(a) i soggetti, pubblici o privati, dei settori “altamente critici” (di cui all’Allegato I) e “critici” (di cui all’Allegato II), nonché dei relativi sottosettori e delle tipologie di soggetti, purché superino i massimali dimensionali sopra riferiti. Quanto all’applicazione del criterio dimensionale ai gruppi di imprese, lo schema dà rilevanza, ai fini dell’esclusione, all’indipendenza del soggetto in termini di sistemi informativi e di rete, nonché in termini di servizi che fornisce (i relativi criteri di determinazione saranno individuati dalla normativa secondaria); nonché
(b) le categorie di PA e le ulteriori tipologie di soggetto di cui, rispettivamente, agli Allegati III e IV.
A prescindere dalle dimensioni, rientrano comunque nell’ambito di applicazione dello schema di decreto anche:
– i soggetti che sono identificati come critici ai sensi della normativa di recepimento della direttiva (UE) 2022/2557 (Critical Entities Resilience c.d. “CER”), anch’essa di prossima attuazione in Italia;
– i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
– i prestatori di servizi fiduciari[1];
– i gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio, nonché i fornitori di servizi di registrazione dei nomi di dominio;
– le PA di cui all’art. 1, comma 3, della L. 196/ 2009, ricomprese nell’Allegato III;
– i soggetti delle tipologie di cui agli Allegato IV e V come individuati dall’ACN;
– i soggetti già identificati come operatori di servizi essenziali ai sensi della NIS;
– i soggetti identificati dall’ACN, su proposta delle Autorità di settore, come segue:
- l’unico fornitore nazionale di un servizio essenziale per il mantenimento di attività sociali o economiche fondamentali;
- il fornitore di un servizio la cui perturbazione potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica;
- il fornitore di un servizio la cui perturbazione potrebbe comportare un rischio sistemico significativo (specie se transfrontaliero;
- il fornitore che risulti critico per la sua particolare importanza a livello nazionale o regionale per un particolare settore o tipo di servizio o per altri settori indipendenti in Italia;
- il fornitore che risulti critico quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti, nonché
- l’impresa collegata ad un soggetto essenziale o importante se è soddisfatto almeno uno dei seguenti criteri:
- adotta decisioni o esercita un’influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica del soggetto importante o essenziale;
- detiene o gestisce sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;
- effettua operazioni di sicurezza informatica del soggetto importante o essenziale;
- fornisce servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale.
In pratica, in quest’ultima ipotesi, l’esercizio di un’influenza decisionale “tecnico-digitale” da parte di un altro soggetto collegato rispetto ad un destinatario dello schema di decreto ne determina l’inclusione nel perimetro di applicazione.
La distinzione tra soggetti “essenziali” e soggetti “importanti”
Viene poi mantenuta la distinzione della NIS2 tra soggetti “essenziali” e soggetti “importanti” all’interno dei destinatari del provvedimento, per cui si considerano, fra l’altro, essenziali: (a) i soggetti di cui all’Allegato I che superano i massimali per le medie imprese sopra riferiti; (b) tutti i soggetti identificati come soggetti critici ai sensi del d.lgs. che recepirà la direttiva CER; (c) tutti i fornitori di reti pubbliche di comunicazione elettronica e i fornitori di servizi di comunicazione elettronica accessibili al pubblico che si considerano medie imprese; (d) i prestatori di servizi fiduciari qualificati e i gestori di registri dei nomi di dominio di primo livello, nonché i prestatori di servizi di sistema dei nomi di dominio; (e) le pubbliche amministrazioni centrali di cui all’Allegato III, comma 1, lettera a); nonché (f) i soggetti individuati come tali dall’ACN.
Per contro, tutti gli altri soggetti destinatari dello schema del decreto (che non siano definiti soggetti essenziali), sono soggetti importanti.
Le responsabilità previste dallo schema di decreto
Quanto alle responsabilità all’interno dei destinatari, l’art. 23 dello schema di decreto fa riferimento agli “organi di amministrazione e direttivi” dei soggetti essenziali e dei soggetti importanti (la NIS2 parla semplicemente di “organi di gestione”), probabilmente avendo in mente la varietà dei sistemi di governance dei soggetti (pubblici e privati) oggetto del provvedimento. Nondimeno, tale dizione potrebbe determinare qualche incertezza interpretativa circa l’individuazione delle relative responsabilità e/o dilatare l’ambito delle responsabilità a più livelli gerarchici.
In ogni caso, tali organi (come da previsioni della NIS2):
a) devono approvare le modalità di attuazione delle misure di gestione dei rischi per la sicurezza informatica[2] adottate ai sensi del decreto (la NIS2 parla di “approvare le misure di gestione dei rischi”);
b) devono sovrintendere all’implementazione degli obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente di cui al decreto;
c) sono responsabili delle violazioni di cui al decreto;
d) sono tenuti a seguire una formazione in materia di sicurezza informatica;
e) promuovono l’offerta periodica di formazione dei dipendenti per favorire l’acquisizione di conoscenze e competenze sufficienti per individuare i rischi e valutare le pratiche di gestione dei rischi per la sicurezza informatica e il loro impatto sulle attività del soggetto e sui servizi offerti, e
f) sono informati su base periodica o, se opportuno, tempestivamente, degli incidenti e delle notifiche di cui al decreto.
In pratica, devono agire in modo informato, dotarsi delle relative competenze[3], approvare e sovraintendere all’attuazione delle relative misure, con apparente scarsa possibilità di delega effettiva al management.
Le misure tecniche in capo ai soggetti essenziali e importanti
In particolare, i soggetti essenziali e importanti adottano “misure tecniche, operative e organizzative adeguate e proporzionate”, secondo le modalità e i termini di cui al decreto, “alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi”. Tali misure “assicurano un livello di sicurezza dei sistemi informativi e di rete adeguato ai rischi esistenti, tenuto conto delle conoscenze più aggiornate e dello stato dell’arte in materia e, ove applicabile, delle pertinenti norme nazionali, europee e internazionali, nonché dei costi di attuazione” (art. 24 dello schema). Tali misure comprendono almeno i seguenti elementi: (i) politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete, (ii) gestione degli incidenti, (iii) continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro e gestione delle crisi, (iv) sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi, (v) pratiche di igiene di base e di formazione in materia di sicurezza informatica, (vi) uso della crittografia, (vii) sicurezza e affidabilità del personale, politiche di controllo dell’accesso e gestione dei beni e degli assetti, nonché (viii) uso di soluzioni di autenticazione a più fattori o continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza (art. 24 dello schema di decreto).
Obblighi proporzionati e graduali
Un quadro, quindi, molto articolato e completo e soprattutto “tagliato” a misura di ogni singolo soggetto, per cui con modelli difficilmente replicabili da una realtà all’altra (in analogia, si potrebbe, dire alle previsioni del modello di cui al d.lgs. 231/2001).
La notizia positiva, però, è che vi sarà una proporzionalità e gradualità in tali obblighi. In proposito, l’ACN stabilirà obblighi proporzionati tenuto conto del grado di esposizione dei soggetti ai rischi, delle dimensioni dei soggetti e della probabilità che si verifichino incidenti, nonché della loro gravità (compreso il loro impatto sociale ed economico), stabilendo termini, modalità, specifiche e tempi graduali di implementazione degli obblighi. A tal fine potrà emanare linee guida vincolanti per l’attuazione di tali obblighi, così aiutando le imprese e le PA ad adeguarsi e riducendo la discrezionalità degli amministratori e degli organi direttivi per adeguarsi alla NIS2 (art. 31 dello schema di decreto).
Conclusioni
In sintesi, un progetto molto ambizioso che richiede alle imprese di prendere nella dovuta considerazione il rischio cyber, rischio che, dopo l’avvento dell’Intelligenza Artificiale, è destinato a divenire sempre più centrale nella moderna società digitale.
Note
[1] Ex art. 3, comma 19), del Regolamento (UE) 910/2014.
[2] Si noti che lo schema di decreto differenzia, nelle proprie definizioni, tra “sicurezza informatica” (con un significato analogo a quello della NIS2 che a tal proposito utilizza nella sua versione italiana, invece, il termine “cibersicurezza”), da “cybersicurezza” (art. 2 lett. “s” dello schema) che fa riferimento alla L. 4 agosto 2021, n. 109 e include altresì la “resilienza, anche ai fini della tutela della sicurezza nazionale e dell’interesse nazionale dello spazio cibernetico”. Tale distinzione, per quanto comprensibile, potrebbe determinare delle possibili incomprensioni atteso il linguaggio (nel gergo comune e nella NIS2) che ha un significativo piuttosto preciso.
[3] Costituisce prassi diffusasi anche in Italia, almeno nella tornata delle ultime nomine nel settore bancario, dotarsi di uno o più componenti del Consiglio di Amministrazione dotati di competenze di cybersicurezza. Alcuni prediligono competenze più ampie “digitali” in senso lato se la società deve compiere una transizione digitale, ma, evidentemente, le due finalità (digitale e cyber) sono diverse, richiedendo la cyber un background più articolato e multidisciplinare.
