I nuovi adempimenti della normativa NIS 2: prossime scadenze e le sanzioni amministrative per le imprese e le pubbliche amministrazioni

La Direttiva NIS 2, recepita in Italia con il decreto legislativo 138 del 2024, introduce nuovi e stringenti obblighi in materia di cybersicurezza per imprese e pubbliche amministrazioni.

La cybersicurezza è l’insieme di attività necessarie per proteggere le reti, i sistemi informativi, ma anche gli utenti di tali sistemi e le altre persone interessate dalle minacce informatiche. La cybersicurezza abbraccia pertanto le attività necessarie a garantire un elevato livello di sicurezza informatica. In un contesto di crescita esponenziale dei crimini informatici, ove l’Italia viene menzionata tra i Paesi più attaccati al mondo sul piano informatico, occorre prevenire gli attacchi ed essere in grado di gestirli, si parla in tal caso di resilienza dei sistemi informatici quando il sistema è in grado di gestire un incidente di sicurezza.

In particolare, la Direttiva NIS 2 impone l’adozione di un Modello Organizzativo di Gestione della Cybersecurity e connesso processo di adeguamento che per estrema semplicità può essere decritto con due macro-categorie di adempimenti, i nuovi obblighi relativi all’implementazione delle procedure per gestire la segnalazione tempestiva (entro 24 ore) di incidenti di sicurezza e l’adozione di un complesso di misure di sicurezza elevate e proporzionate al rischio specifico.

Come previsto dal decreto NIS (decreto legislativo 138 del 2024 di recepimento della Direttiva UE), l’autorità per la Cybersicurezza nazionale (ACN), dovrà svolgere attività di monitoraggio, vigilanza, nonche’ l’esercizio di potere di esecuzione. In tale contesto, la ACN dovrà svolgere attività di vigilanza anche tramite analisi e supporto rivolti ai soggetti essenziali ed importanti, effettuare verifiche di ispezioni, adottare misure di esecuzione, quest’ultima attività potrà consistere nel richiedere i soggetti i dati e informazioni che dimostrino l’attuazione, per esempio, la corretta adozione delle politiche di Sicurezza Informatica, dei relativi audit di sicurezza e altri elementi di prova (art. 37 del decreto NIS).

Nell’esercizio dei poteri di esecuzione ACN potrà quindi esaminare la corretta adozione delle misure di gestione del rischio per la sicurezza, degli obblighi di notificazione, anche intimando di effettuare audit di sicurezza periodici. Infine, nell’ambito dell’esercizio dei poteri di esecuzione, la ACN potrà diffidare i soggetti.

L’obbligo di adottare un modello organizzativo di gestione della Cybersicurezza e le responsabilità delle organizzazioni

Sotto un profilo pratico, preme evidenziare che, al fine di avviare la complessa attività di adeguamento al quadro normativo anche in materia di Cybersicurezza, le imprese e le pubbliche amministrazioni potranno decidere di giovarsi almeno in parte del sistema di Gestione implementato sulla protezione dei dati personali nonché dei sistemi di gestione della sicurezza delle informazioni certificati ISO.

Prima di descrivere alcuni dei nuovi adempimenti e delle relative scadenze, finalizzate ad assicurare un elevato livello di sicurezza, giova ricordare che anche la continua ricerca di un’adeguata protezione dei dati è connessa con la continua ricerca di protezione delle reti e dei sistemi informativi disciplinata dal decreto legislativo del 4 settembre 2024 n. 138 emanato in recepimento della Direttiva UE 2022/2555 (c.d. Direttiva NIS 2), il Decreto NIS 2 individua l’Agenzia per la Cybersicurezza Nazionale come Autorità nazionale competente in materia con specifici compiti anche di vigilanza e sanzionatori in ordine ai nuovi adempimenti previsti.

In tale contesto, le imprese dovranno adottare un Modello Organizzativo di Gestione della Cybersicurezza, ove la Governance viene affidata proprio all’Organismo amministrativo e agli Organi direttivi imposti dal Decreto NIS e dovrebbero essere visti come un adempimento prioritario sin da subito, altrimenti il rischio sarà di relegare la cybersicurezza a Dipartimenti e unità operative senza una pianificazione e senza aver una visione di insieme, senza pertanto una corretta valutazione e gestione dei rischi e con conseguenze e responsabilità gravi per le organizzazioni.

Sicurezza della catena di approvvigionamento e gli obblighi per i fornitori dei soggetti NIS

L’articolo 24 comma 2 del decreto legislativo 138 del 2024, include nell’ambito dell’obbligatorietà delle misure di gestione dei rischi i soggetti essenziali e i soggetti importanti (cc.dd. soggetti NIS) i quali sono tenuti a svolgere un’analisi multi rischio volta ad individuare le misure di gestione del rischio adeguate ed efficaci, per assicurare la “sicurezza della catena di approvvigionamento Ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i diretti e fornitori o fornitori di servizi”. Successivamente il comma 3 articolo 24 stabilisce che i soggetti essenziali e i soggetti importanti nello svolgimento della valutazione dei rischi tengano in conto di quanto segue:

• vulnerabilità specifiche di ogni diretto fornitore e fornitori di servizi;
• della qualità complessiva dei prodotti;
• delle pratiche di Sicurezza Informatica dei propri fornitori e fornitori di servizi;
• delle procedure di sviluppo sicuro.

Qualora un soggetto rilevi di non essere conforme alle misure prescritte deve adottare senza indebito ritardo tutte le misure appropriate e proporzionate correttive necessarie.

Pertanto, i soggetti NIS dovranno verificare che tutti i loro fornitori di servizi e di prodotti siano conformi al Decreto NIS attraverso anche questionari e verifiche sul campo.

Sanzioni amministrative non pecuniarie: la sospensione delle autorizzazioni delle organizzazioni e le misure rivolte alle persone fisiche vertici apicali

Infatti, il comma 4 dell’articolo 38 del decreto NIS, prevede che qualora il progetto NIS venga diffidato per l’adempimento di alcune attività, la ACN potrà sospendere temporaneamente un certificato o un’autorizzazione relativa a una parte o alla totalità dei servizi e delle attività pertinenti svolte, sospensione che si potrà protrarre fino a che non si pongano in essere le azioni correttive prescritte.

Il comma 5 in combinato disposto con il comma 6 dell’articolo 38, inoltre, prescrivono che a qualsiasi persona fisica responsabile del soggetto essenziale o che agisca in qualità di legale rappresentante, qualora il soggetto NIS non adempia a quanto richiesto da ACN, la stessa potrà disporre nei loro confronti, e dei componenti degli organismi di gestione amministrativa e direttivi per la cybersicurezza, l’applicazione delle sanzioni amministrative accessorie consistenti nell’inibire lo svolgimento delle funzioni direttive per tutto il periodo di inadempimento dell’organizzazione.

Sanzioni amministrative pecuniarie, obbligo di registrazione e designazione del punto di contatto ACN entro il 28 febbraio

Il decreto NIS prevede una serie di adempimenti scadenzati secondo principi di gradualità e proporzionalità, questo nel tentativo di non onerare eccessivamente sul piano economico le piccole e medie imprese. L’articolo 7 del decreto NIS prescrive che entro il 28 di febbraio di ciascun anno, i soggetti NIS provvedono a registrarsi sulla piattaforma digitale gestita da ACN, nello stesso termine ciascun soggetto dovrà quindi aggiornare su base annuale qualora necessario le informazioni fornite.

In particolare, entro il 28 febbraio 2025, i soggetti NIS, dovranno registrarsi sulla piattaforma digitale designando il proprio punto di contatto ACN. Tale adempimento oggetto della determinazione del Direttore Generale dell’ACN del 26 novembre 2024 e in vigore dal 1 dicembre, prevede una serie di attività in primo luogo effettuare una valutazione preliminare dell’organizzazione in ordine ai settori di attività elencati nel decreto NIS, per poi verificare l’applicabilità dei criteri dimensionali previsti.

E’ importante rilevare che già la scadenza del 28 febbraio 2025, prevede sanzioni e precisamente, la mancata registrazione e l’indicazione del punto di Contatto entro il termine previsto può determinare un’applicazione della sanzione amministrativa pecuniaria nella misura di 0,1% o dello 0,07% del fatturato mondiale annuo rispettivamente per i soggetti essenziali e per i soggetti importanti. Per le pubbliche amministrazioni i criteri sanzionatori sono diversi, si va da un importo minimo di 10 mila euro a 50 mila euro.

Tuttavia, per ragioni di completezza è bene ricordare che il decreto NIS prevede poi delle sanzioni molto più elevate per le prossime scadenze relative all’obbligo di adottare le procedure di gestione degli incidenti di sicurezza (entro gennaio 2026), misure di gestione dei rischi e obbligo di istituire un organismo di gestione amministrativa e organismi direttivi sulla cybersicurezza (a partire da ottobre 2026).

In questo contesto, la sanzione amministrativa irrogabile da parte di ACN arriverà ad importi elevatissimi nel massimo edittale fino a 10 milioni di euro o in alternativa se superiore il 2% risultato mondiale annuo dell’impresa qualificata come soggetto essenziale. Mentre l’importo massimo sarà di 7 milioni di euro e di 1,4% fatturato mondiale annuo realizzato dall’impresa qualificata come soggetto importante, ove il criterio percentuale si applica se l’importo è superiore. Per le pubbliche amministrazioni le sanzioni sono più ridotte e vanno da 25 mila euro a 125 mila euro.

Pertanto, il quadrò regolatorio attuale risulta al momento completo, le organizzazioni del settore privato e pubblico, ove non abbiano avviato un processo di prevalutazione interna dovranno attivarsi immediatamente a pena di trovarsi non solo obbligate ad esborsare le somme relative alle sanzioni sopra illustrate, ma soprattutto, le organizzazioni dovendo operare in mercato internazionale ove i servizi digitali sono da ritenersi funzioni critiche e fondamentali, occorre sapere prevedere i rischi ed essere resilienti agli incidenti informatici anche nell’interesse collettivo del nostro Paese e dell’Unione europea che dovranno affrontare le sfide più importanti in un contesto di sovranità digitale contesa attualmente in via principale se non esclusivamente tra gli USA e la Cina.