Cybersicurezza: pubblicato il decreto legislativo di recepimento della direttiva NIS2

di Pierfrancesco Malu

La Direttiva NIS2 (Direttiva UE 2555/2022) – recepita in Italia con decreto legislativo no. 138/2024 (“Decreto Legislativo”) – stabilisce misure atte a garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo al contempo ad incrementare il livello comune di sicurezza nell’Unione europea in modo da migliorare il funzionamento del mercato interno.

Rispetto alla Direttiva NIS1 (che prevedeva una distinzione tra operatori di servizi essenziali (OSE) e fornitori di servizi digitali (FSD)), l’ambito di applicazione soggettivo è stato esteso e si parla di c.d. soggetti essenziali e soggetti importanti.

Rientrano in questa ultima categoria tutti i soggetti (che non siano già soggetti essenziali) operanti nei settori “ad alta criticità” e “altri settori critici”, in altri termini:

Settori ad alta criticità

1. Energia
2. Trasporti
3. Settore bancario / infrastrutture dei mercati finanziari
4. Sanità
5. Acqua potabile
6. Acque reflue
7. Infrastrutture digitali
8. Gestione dei servizi TIC
9. Pubblica amministrazione
10. Spazio

Altri settori critici

1. Servizi postali e di corriere
2. Gestione rifiuti
3. Sostanze chimiche
4. Alimenti
5. Dispositivi medici
6. Prodotti elettronici e ottici
7. Apparecchiature elettriche
8. Apparecchiature e macchinari n.c.a.
9. Autoveicoli, rimorchi e semirimorchi
10. Altri mezzi di trasporto
11. Fornitori servizi digitali (mercati e motori di ricerca online, social network, registrazione di nomi a dominio)
12. Ricerca

Occorre, dunque, in primo luogo, effettuare una attività di c.d. self-assessment, per comprendere se la propria società rientri nell’ambito di applicazione del Decreto Legislativo.

In caso di risposta affermativa o di dubbio, occorre registrarsi sulla piattaforma digitale resa disponibile dall’Agenzia Nazionale per la Cybersicurezza (l’ “ACN”). Sarà l’ACN a comunicare ai soggetti registrati l’inclusione o meno nell’ambito di applicazione delle nuove regole.

In capo ai soggetti essenziali e ai soggetti importanti sono previsti, tra gli altri, obblighi in materia di misure di gestione dei rischi per la sicurezza informatica e obblighi di notifica degli incidenti, più ampi e dettagliati rispetto alla disciplina di NIS1.

La violazione degli obblighi previsti, tra le altre, può essere sanzionata, per i soggetti essenziali, fino a 10 milioni di euro o fino al 2% del fatturato annuo mondiale dell’esercizio precedente, a seconda di quale importo sia maggiore e, per i soggetti importanti, fino a 7 milioni di euro o fino all’1,4% del fatturato annuo mondiale dell’esercizio precedente, a seconda di quale importo sia maggiore.