Il 2025 sarà un anno essenziale per le pubbliche amministrazioni e società destinatarie degli obblighi recentemente introdotti dalla normativa nazionale e di derivazione euro-unitaria in tema di cyber sicurezza.
Ed infatti, dal 13 gennaio 2025 diventeranno cogenti gli obblighi previsti dalla legge n. 90 del 2024 per tutti i soggetti pubblici in essa contemplati. E dal primo dicembre 2024 al 28 febbraio 2025, tutti i soggetti (pubblici e privati) rientranti nel perimetro NIS 2 devono registrarsi nella piattaforma disponibile sul sito ACN – Agenzia per la cybersicurezza nazionale, al fine della creazione dell’elenco dei soggetti importanti ed essenziali della NIS 2, secondo quanto previsto dall’art. 7 del d.lgs. n. 138 del 2024[1].
La legge 90 del 2024 e il decreto legislativo 138/24
Come ormai noto, la legge n. 90 del 2024 recante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” contiene importanti adempimenti per le pubbliche amministrazioni rientranti nel suo perimetro di applicazione e risponde alla ratio di rafforzare la sensibilità e la protezione dei predetti soggetti sui rischi informatici aventi impatto su reti, sistemi informativi e servizi informatici.
Accanto ad essa, il decreto legislativo n. 138/24, recante “Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148”, recepisce la direttiva NIS 2, completando il percorso di adeguamento dell’ordinamento interno alla normativa euro-unitaria già avviato a far data dal 2016, introducendo misure volte a “garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea in modo da migliorare il funzionamento del mercato interno”[2].
Aree comuni di intervento
Pur nelle differenze che caratterizzano i due recenti interventi normativi, ci si chiede se, nell’ottica di aiutare le pubbliche amministrazioni nel complesso percorso di adeguamento ai nuovi obblighi di sicurezza informatica, sia possibile individuare delle comuni aree d’intervento tra legge n. 90 del 2024 e d.lgs. n. 138 del 2024.
Notifica degli incidenti
Anzitutto, le due discipline convergono circa la previsione di un obbligo generale di notifica di incidenti informatici, nonché sulle tempistiche di tale notifica. Entrambe le normative, infatti, prevedono una prima notifica di carattere generale da effettuare entro le 24 ore dalla realizzazione dell’evento, ed una notifica più completa (cioè effettuata a valle di un’istruttoria volta ad acquisire gli elementi causali ed essenziali dell’incidente informatico) entro le 72 ore decorrenti dal medesimo momento[3].
Nozione ed entità di incidente informatico
Le due discipline divergono, semmai, sulla nozione ed entità di incidente informatico. Mentre la legge n. 90 del 2024 rinvia alla tassonomia degli incidenti prevista attraverso il rinvio alla normativa sul Perimetro di Sicurezza Nazionale cibernetico[4], il decreto di recepimento della NIS 2 contiene già al suo interno la nozione di incidente informatico[5] e soprattutto l’entità al ricorrere della quale scatta l’obbligo di sua notifica[6].
Rispetto alla legge n. 90 del 2024, peraltro, l’ACN ha già pubblicato importanti indicazioni sul procedimento da seguire per la segnalazione e notifica degli incidenti contemplati dal predetto intervento normativo[7]. L’auspicio, allora, è che la stessa Autorità, proprio nell’ottica di uniformare le modalità di perseguimento degli interessi sottesi ai due interventi in esame, estenda analoghe procedure anche per la segnalazione e la notifica degli incidenti contemplati dal decreto di recepimento della NIS 2.
Peraltro, tale auspicio sembra trovare conferma proprio in quest’ultimo decreto, laddove esso espressamente abroga l’articolo 1, comma 3-bis, del decreto-legge 21 settembre 2019, n. 105 a cui la legge n. 90 del 2024 fa riferimento per l’individuazione della tassonomia degli incidenti da segnalare e notificare[8]. Dunque, la norma di derivazione euro-unitaria sopravvenuta alla legge n. 90 del 2024 sembra avere voluto uniformare, proprio per assicurare la coerenza con gli obblighi in essa previsti, la nozione di incidente informatico rilevante per entrambe le normative in esame.
Gestione della governance e del rischio cyber
Sia la legge n. 90 del 2024 che il decreto di recepimento NIS 2 introducono, per i soggetti che rientrino nel loro perimetro di applicazione, obblighi in tema di governance e gestione del rischio cyber. L’intenzione, infatti, è quella di sensibilizzare le pubbliche amministrazioni ad individuare al loro interno dei soggetti responsabili dell’applicazione delle normative in esame e ad implementare misure di gestione del rischio che prevengano o comunque siano in grado di ‘governare’ i rischi da incidente informatico.
Sotto il primo aspetto, la legge n. 90 del 2024 è sicuramente più puntuale nell’imporre alle pubbliche amministrazioni di individuare una struttura che pianifichi, adotti e monitori il sistema di gestione del rischio cyber[9] e, in essa, un referente per la cybersicurezza[10].
Dall’altra parte, la NIS 2, pur estendendo la responsabilità per l’osservanza degli obblighi da essa derivanti agli organi di amministrazione e direttivi delle pubbliche amministrazioni rientranti nel suo perimetro di applicazione, impone allo stesso modo di individuare almeno un punto di contatto tra il singolo ente e l’ACN, quale anello di congiunzione tra il soggetto NIS e l’Autorità istituzionalmente volta a monitorare il corretto adempimento delle misure di governance e gestione del rischio da incidente informatico; sul punto, la recente determina ACN del 26 novembre 2024 sulle modalità di accesso e registrazione alla piattaforma in funzione dal 1 dicembre 2024 ha precisato come “La designazione del punto di contatto da parte dei soggetti di cui all’articolo 1, comma 1, della legge 28 giugno 2024, n. 90, che rientrano nell’ambito di applicazione del decreto NIS, può soddisfare l’obbligo di nomina e comunicazione del referente per la cybersicurezza di cui all’articolo 8, comma 2, della medesima legge”, con ciò dimostrando di voler considerare la figura del referente per la cybersicurezza di cui alla legge n. 90 del 2024 corrispondente a quella di punto di contatto secondo la direttiva NIS 2.
Allo stesso modo, il sistema di gestione del rischio cyber disciplinato sia dalla legge n. 90 del 2024 che dal decreto di recepimento della NIS 2 sembra comunque ispirato ad una logica comune: quella del principio cd. del by design, cioè dell’implementazione di sistemi di gestione caratterizzati non dall’introduzione di un mero elenco di misure minime di sicurezza, ma da una pianificazione che segua i criteri di adeguatezza e proporzionalità a seconda delle dimensioni e della tipologia dell’ente pubblico che lo applica[11]. La vera sfida per ciascun soggetto inserito nel perimetro della legge n. 90 o del decreto di recepimento della NIS 2, allora, sarà quella di plasmare il proprio sistema di gestione del rischio non su modelli ‘calati dall’alto’, ma attraverso le varie fasi di un’attività di compliance del rischio cyber(quindi, identificazione del contesto e del rischio cyber, elaborazione di misure tecniche, organizzative ed operative volte a mantenere un ambiente sicuro dal punto di vista della sicurezza informatica, monitoraggio e controllo di tali misure e gestione delle segnalazioni e notifiche degli incidenti informatici)[12].
Procurement
L’ulteriore area comune di intervento è rappresentata dall’attenzione del rischio cyber applicato al procurement. Tale attenzione, nella legge n. 90 del 2024, si articola in una disposizione ad hoc dedicata alla “disciplina dei contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici”, imperniata sulla previsione di regole di predisposizione degli atti di gara e selezione dell’offerta ancor più rigide di quelle contenute nel Codice dei contratti pubblici di cui al d.lgs. n. 36 del 2023.
Nella NIS 2, la medesima attenzione è dimostrata dalla previsione dell’obbligo di contemplare misure di gestione del rischio cyber anche per assicurare la “sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi”; peraltro, il rilievo della cd. supply chain per le pubbliche amministrazioni dovrà considerarsi ancor più pressante anche dinanzi al cd. Cyber Resilience Act[13] di recente introduzione,relativo a requisiti orizzontali di cybersecurity per i prodotti con elementi digitali che dovranno trovare adeguata corrispondenza negli atti di gara necessari alla selezione del contraente privato da parte delle pubbliche amministrazioni.
Un possibile modello di compliance comune e sistemica
Le aree d’intervento sopra sintetizzate mostrano come s’intraveda, pur nella diversità delle norme sopra esaminate, un possibile modello di compliance comune e sistemica, attraverso cui le pubbliche amministrazioni possano soddisfare gli obblighi e pianificare misure adeguate sia per le norme sulla sicurezza informatica interne che per quelle di derivazione euro-unitaria.
In questo senso sarà fondamentale non solo l’opera di regolamentazione e supporto integrativi dell’ACN, ma anche quella condivisione di esperienze sollecitata dal decreto di recepimento della NIS 2, secondo il quale si auspica lo scambio “su base volontaria, pertinenti informazioni sulla sicurezza informatica, comprese informazioni relative a minacce informatiche, quasi-incidenti, vulnerabilità, tecniche e procedure, indicatori di compromissione, tattiche avversarie, informazioni specifiche sugli attori delle minacce, allarmi di sicurezza informatica e raccomandazioni concernenti la configurazione degli strumenti di sicurezza informatica per individuare le minacce informatiche”[14].
Proprio queste sollecitazioni intende perseguire l’Istituto Europeo per il Diritto Computazionale e la Cyber Resilienza[15] ed il suo progetto denominato ‘Just4Cyber’ che ha l’obiettivo di sostenere imprese e pubbliche amministrazioni nell’attività formativa e di compliance by design alle normative in questa sede esaminate, attraverso la costituzione di un hub di esperti di diritto, accademici (giuristi e ingegneri informatici) e professionisti per affrontare le sfide poste dalla digitalizzazione.
[1] https://www.acn.gov.it/portale/nis/ambito-registrazione
[2] Cfr. art. 1, co. 1, d.lgs. n. 138 del 2024.
[3] Cfr. art. 1, co. 2, L. n. 90 del 2024 e 25, co. 5, d.lgs. n. 138 del 2024.
[4] L’art. 1, co. 1 della legge n. 90 del 2024 precisa come “Le pubbliche amministrazioni (…) segnalano e notificano, con le modalità e nei termini di cui al comma 2 del presente articolo, gli incidenti indicati nella tassonomia di cui all’articolo 1, comma 3-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, come modificato dall’articolo 3 della presente legge, aventi impatto su reti, sistemi informativi e servizi informatici”.
[5] Cfr. l’art. 2, co. 1, lett t), secondo il quale “Ai fini del presente decreto si applicano le definizioni seguenti: (…) t) «incidente»: un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete o accessibili attraverso di essi”.
[6] cfr. l’art. 25, commi 1 e 4 del d.lgs. n. 138 del 2024, secondo il quale “1. I soggetti essenziali e i soggetti importanti notificano, senza ingiustificato ritardo, al CSIRT Italia ogni incidente che, ai sensi del comma 4, ha un impatto significativo sulla fornitura dei loro servizi (…) 4. Un incidente è considerato significativo se: a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato; b) ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli”.
[7] https://www.acn.gov.it/portale/w/acn-pubblica-la-guida-alla-notifica-degli-incidenti-informatici.
[8] Cfr. l’art. 43, co. 2 del d.lgs. n. 138 del 2024, secondo cui “Per assicurare la coerenza con gli obblighi di cui al capo IV e con le disposizioni di cui al capo V del presente decreto, all’articolo 1 del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge del 18 novembre 2019, n. 133, sono apportate le seguenti modificazioni: a) il comma 3-bis è abrogato”.
[9] Cfr. l’art. 8, co. 1 della legge n. 90 del 2024 secondo cui “I soggetti di cui all’articolo 1, comma 1, individuano, ove non sia già presente, una struttura, anche tra quelle esistenti, nell’ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente, che provvede: a) allo sviluppo delle politiche e delle procedure di sicurezza delle informazioni; b) alla produzione e all’aggiornamento di sistemi di analisi preventiva di rilevamento e di un piano per la gestione del rischio informatico; c) alla produzione e all’aggiornamento di un documento che definisca i ruoli e l’organizzazione del sistema per la sicurezza delle informazioni dell’amministrazione; d) alla produzione e all’aggiornamento di un piano programmatico per la sicurezza di dati, sistemi e infrastrutture dell’amministrazione; e) alla pianificazione e all’attuazione di interventi di potenziamento delle capacità per la gestione dei rischi informatici, in coerenza con i piani di cui alle lettere b) e d); f) alla pianificazione e all’attuazione dell’adozione delle misure previste dalle linee guida per la cybersicurezza emanate dall’Agenzia per la cybersicurezza nazionale; g) al monitoraggio e alla valutazione continua delle minacce alla sicurezza e delle vulnerabilità dei sistemi per il loro pronto aggiornamento di sicurezza”.
[10] Cfr. art. 8, co. 2, legge n. 90 del 2024.
[11] Cfr. art. 8 della legge n. 90 del 2024 e 24 del d.lgs. n. 138 del 2024.
[12] Tale approccio, peraltro, è orami sempre più tipico dell’attività amministrativa. Si pensi al sistema di gestione del rischio corruttivo da mala administration introdotto dalla L. n. 190 del 2012 o alle norme europee e nazionali in materia di trattamento dei dati personali.
[13] Cfr. il Regolamento (UE) 2024/2847 del Parlamento europeo del Consiglio del 23 ottobre 2024 relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica i regolamenti (UE) n. 168/2013 e (UE) 2019/1020 e la direttiva (UE) 2020/1828.
[14] Art. 17 del d.lgs. n. 138 del 2024.
[15] https://www.just4cyber.eu/
