NIS 2: senza fretta ma senza sosta. Una breve guida pratica.

NIS2: senza fretta ma senza sosta. Una breve guida pratica.

10 ottobre 2024

di Viviana BELLEZZA

Una breve guida pratica per le imprese chiamate ad auto-valutare la propria organizzazione ai fini dell’applicabilità della Direttiva NIS2.

Il D-day è arrivato. 

Il 1° ottobre 2024 è stato pubblicato il d.lgs. 138/24 (“Decreto”) che recepisce la Direttiva UE 2022/2555; entrerà in vigore il 16 ottobre 2024(1).

I termini per l’adeguamento alle nuove disposizioni decorrono dall’inizio del prossimo anno. Dunque non vi è fretta, ma occorre cominciare, qualora non si fosse ancora provveduto, ad effettuare un’attività di self-risk assessment in materia di cybersecurity.

Ancora oggi, nonostante il proliferare di normative italiane (si pensi da ultimo alla legge sulla cybersicurezza, L. 90/2024) ed europee (DORA, CRA, Cybersecurity Act, ecc.), e la diffusione di notizie di attacchi informatici sferrati a società e a Stati, il livello di consapevolezza delle imprese circa i rischi cibernetici e la loro capacità di adottare strategie di mitigazione stenta ad aumentare.

A titolo esemplificativo basti citare Banca d’Italia che nel paper di giugno scorso “La sicurezza cibernetica delle imprese italiane: percezione dei rischi e pratiche di mitigazione” riporta: “la consapevolezza dichiarata dalle imprese (con le dovute eccezioni, ben descritte nel documento!) stenta tuttavia a tradursi nell’adozione di azioni concrete”.

L’obiettivo dell’articolo è quello di aiutare le organizzazioni, ancora non pienamente coscienti, a comprendere come la nuova normativa europea incida ed impatti su un numero elevato di piccole e medie imprese, su cui la nostra nazione si fonda, che dovranno strutturare o migliorare un sistema di gestione dei rischi cyber. In particolare, occorrerà in primis valutare se la propria impresa rientri o meno nell’ambito di applicazione soggettiva della NIS2, analizzare poi le prime scadenze e, infine, redigere una check-list di attività concrete da compiere (tale ultimo punto sarà oggetto di una seconda pubblicazione).  

Il primo adempimento? Auto-valutare la propria struttura, il business e il posizionamento sul mercato ai fini della eventuale registrazione sulla piattaforma digitale dell’Autorità nazionale competente NIS (“Autorità”)(2) in qualità di soggetto, pubblico, para-pubblico o privato, rientrante nel perimetro della NIS2. 

Chi sono i soggetti interessati?

Si amplia il novero dei destinatari rispetto al passato (d.lgs. 65/2018 di recepimento della c.d. NIS1, abrogato), con l’inserimento di nuovi settori, sottosettori e tipologia di soggetti, sottoposti alla giurisdizione nazionale(3), con l’introduzione di criteri dimensionali e il coinvolgimento della pubblica amministrazione(4).

Dimensioni ed eccezioni

L’applicazione della normativa interesserà tutti quei soggetti di cui agli All. I e II che superino i massimali per le piccole imprese(5), ovvero quelle con un minimo di 50 dipendenti e un fatturato annuo superiore a 10 milioni che operano all’interno dei settori rilevanti. 

Le organizzazioni più piccole in generale sono escluse, con alcune eccezioni.

Infatti, al di là delle dimensioni, vengono comunque assoggettate al Decreto anche ulteriori tipologie di enti quali, ad esempio: i soggetti “critici” di cui alla Direttiva (UE) 2022/2557; fornitori di reti di comunicazione elettroniche pubbliche; gestori di registri dei nomi di dominio; l’impresa collegata(6) a una essenziale o importante; taluni enti appartenenti alla p.a. 

Ancora, l’Autorità individuerà altri soggetti a cui si applicherà la normativa, tra cui: gli “OSE(7)”; coloro che gestiscono un servizio la cui perturbazione potrebbe comportare un rischio sistemico significativo anche transfrontaliero o un impatto sulla sicurezza nazionale; interessante è sicuramente il riferimento a quel soggetto considerato elemento sistemico della catena di approvvigionamento di un ente essenziale o importante. 

L’attenzione alla supply chain, che vedremo anche nell’ambito della gestione del rischio per la sicurezza informatica, è ai massimi livelli. Le piccole e medie imprese stanno diventando sempre di più il bersaglio di attacchi nella catena di approvvigionamento a causa delle misure meno rigorose implementate in materia di cybersecurity, nonché della limitata disponibilità di risorse destinate alla sicurezza. 

Quali le tempistiche?

Conclusioni

Una volta riconosciutasi come soggetto rientrante nell’ambito di applicazione del Decreto, sarà opportuno (e doveroso) per l’impresa procedere con una valutazione del rischio per la sicurezza informatica e del proprio attuale livello di conformità, al fine di pianificare per tempo le necessarie azioni di adeguamento.

La cybersecurity è diventata un imperativo per ogni organizzazione.

1/2 to be continued

Intervento di Viviana BELLEZZA, Avvocato, Partner Studio Legale LP Avvocati

LP Avvocati è uno studio legale multidisciplinare di Roma. 

Il Dipartimento di Compliance offre assistenza in materia di responsabilità da reato degli enti, anticorruzione, privacy, cybersecurity, salute e sicurezza sul lavoro, tutela dell’ambiente, whistleblowing, indagini interne e diritto dello sport. Gli avvocati ricoprono anche il ruolo di docenti presso Università, pubbliche e private; ISPRA; Camera Penale e altri Enti oltre a partecipare periodicamente, quali relatori, a convegni nazionali e internazionali. 

Lo Studio si avvale di tecnologie avanzate e di strumenti di intelligenza artificiale per prestazioni di alto livello.

Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1) Precisamente, il decreto legislativo 4 settembre 2024, n. 138, di “Recepimento della direttiva (UE) 2022/2555, relativa a misure per  un livello comune elevato di cybersicurezza  nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (pubblicato in GU n.230 del 1 ottobre 2024)”, che stabilisce misure volte a  garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo a incrementare il livello comune di sicurezza nell’Unione Europea in modo da migliorare il funzionamento del mercato interno.

(2) Ai sensi dell’art. 2, lett. d) del Decreto “Definizioni”, per «Autorità nazionale competente NIS» si intende l’Agenzia per la cybersicurezza nazionale.

(3) A tal proposito, l’art. 5 del Decreto chiarisce: “sono sottoposti alla giurisdizione nazionale i soggetti di cui all’articolo 3 stabiliti sul territorio nazionale”, con le eccezioni ivi previste.

(4) Per un approfondimento sull’ambito di applicazione, si rinvia al testo del Decreto, artt. 3 e 4.

(5) Per la definizione di piccole e medie imprese, si rinvia all’art. 2 dell’Allegato alla raccomandazione 2003/361/CE: 

Effettivi e soglie finanziarie che definiscono le categorie di imprese.

1. La categoria delle microimprese delle piccole imprese e delle medie imprese (PMI) è costituita da imprese che occupano meno di 250 persone, il cui fatturato annuo non supera i 50 milioni di EUR oppure il cui totale di bilancio annuo non supera i 43 milioni di EUR.

2. Nella categoria delle PMI si definisce piccola impresa un’impresa che occupa meno di 50 persone e realizza un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di EUR.

3. Nella categoria delle PMI si definisce microimpresa un’impresa che occupa meno di 10 persone e realizza un fatturato annuo oppure un totale di bilancio annuo non superiori a 2 milioni di EUR”.

(6) L’art. 3, comma 10, del Decreto individua i criteri che devono sussistere, anche alternativamente, ai fini dell’applicabilità della NIS2 alle imprese collegate a un soggetto essenziale o importante.

(7) Operatori di servizi essenziali come definiti dalla d.lgs. 65/2018 di recepimento della c.d. NIS1.

(8) Occorrerà inoltre attendere i decreti attuativi e le numerose disposizioni che verranno emanate in un secondo momento per avere il quadro completo delle attività e delle ulteriori tempistiche da rispettare (sul punto, vd. artt. 40, 41 e 42 del Decreto).

(9) A mente  dell’art. 6 del Decreto, sono considerati soggetti essenziali: a) i soggetti di cui all’allegato I che superano i massimali per le medie imprese di cui all’articolo 2, paragrafo 1, dell’allegato della raccomandazione 2003/361/CE; b) indipendentemente dalle loro   dimensioni, i soggetti identificati come soggetti critici ai sensi del decreto legislativo che recepisce la direttiva (UE) 2022/2557; c) i fornitori di reti pubbliche di comunicazione elettronica e i fornitori di servizi di  comunicazione  elettronica  accessibili  al pubblico di  cui  all’articolo  3,  comma  5,  lettera  b),  che  si considerano medie imprese ai sensi dell’articolo 2 dell’allegato alla raccomandazione 2003/361/CE; d) indipendentemente  dalle  loro  dimensioni,  i  prestatori  di servizi fiduciari qualificati e i gestori di registri  dei  nomi  di dominio di primo livello, nonché i prestatori di servizi di  sistema dei nomi di dominio di cui all’articolo 3, comma 5, lettere c) e d); e) indipendentemente dalle  loro   dimensioni, le pubbliche amministrazioni centrali di cui all’allegato III, comma 1, lettera a). Sono considerati soggetti importanti i soggetti di cui all’articolo 3 che non sono considerati essenziali.

A tal proposito, la Direttiva NIS 2, art. 3, dispone: “Ai fini della presente direttiva, sono considerati soggetti essenziali i seguenti:

a) soggetti di cui all’allegato I che superano i massimali per le medie imprese di cui all’articolo 2, paragrafo 1, dell’allegato della raccomandazione 2003/361/CE;

b) prestatori di servizi fiduciari qualificati e registri dei nomi di dominio di primo livello, nonché prestatori di servizi DNS, indipendentemente dalle loro dimensioni;

c) fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico che si considerano medie imprese ai sensi dell’articolo 2, dell’allegato alla raccomandazione 2003/361/CE;

d) i soggetti della pubblica amministrazione di cui all’articolo 2, paragrafo 2, lettera f), punto i);

e) qualsiasi altro soggetto di cui all’allegato I o II che uno Stato membro identifica come soggetti essenziali ai sensi dell’articolo 2, paragrafo 2, lettere da b) a e);

f) soggetti identificati come soggetti critici ai sensi della direttiva (UE) 2022/2557, di cui all’articolo 2, paragrafo 3 della presente direttiva;

g) se lo Stato membro lo prevede, i soggetti che tale Stato membro ha identificato prima del 16 gennaio 2023 come operatori di servizi essenziali a norma della direttiva (UE) 2016/1148 o del diritto nazionale.

Ai fini della presente direttiva, sono considerati soggetti importanti i soggetti di una tipologia elencata negli allegati I o II che non sono considerati soggetti essenziali ai sensi del paragrafo 1 del presente articolo. Ciò comprende soggetti identificati dagli Stati membri come soggetti importanti ai sensi dell’articolo 2, paragrafo 2, lettere da b) a e);

Entro il 17 aprile 2025, gli Stati membri definiscono un elenco dei soggetti essenziali ed importanti, nonché dei soggetti che forniscono servizi di registrazione dei nomi di dominio. Successivamente, gli Stati membri riesaminano l’elenco periodicamente, almeno ogni due anni e, se opportuno, lo aggiornano”.

Related Items

Webinar con Fabio Accardi: Creare valore. Il ruolo innovativo degli attori di Governance, Compliance e ControlliWebinar con Fabio Accardi: Creare valore. Il ruolo innovativo degli attori di Governance, Compliance e Controlli
Continua a leggere
CDA CybersicurezzaLa cybersecurity, un tema fondamentale per il CdA
Continua a leggere
cyber-compliance-nis2-iso-27001NIS2 e ISO 27001: due normative a confronto per una compliance cyber efficace
Continua a leggere

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *