07/11/2024
Sicurezza informatica, direttiva UE e decreto italiano
In Italia la direttiva UE è stata recepita dal d.lgs. 138/2024 che trova applicazione dal 18 ottobre 2024. Anche questo decreto stabilisce misure volte a garantire un livello elevato di sicurezza informatica e prevede una serie di obblighi in materia di misure di gestione dei rischi per la sicurezza informatica e di notifica di incidente.
A chi si applicano le nuove disposizioni?
Le novità si applicano soprattutto a medie e grandi imprese, nonché ad enti pubblici e società a partecipazione pubblica. La NIS2 definisce alcuni settori ad alta criticità, come ad es.
• settore Energia: imprese elettriche (che svolgono servizi di generazione, trasmissione, distribuzione, aggregazione, gestione della domanda, stoccaggio, fornitura o acquisto di energia), gestori di rete elettriche e gas, produttori di energia, gestori del mercato elettrico, gestori di impianti di produzione, trasporto, e stoccaggio di idrogeno ecc.;
• settore trasporti: trasporto aereo, trasporto ferroviario, trasporto per via d’acqua, trasporto su strada (gestori di sistemi di trasporto intelligenti o IST);
• settore acqua potabile: fornitori e distributori di acque destinate al consumo umano;
• settore acque reflue;
• settore infrastrutture digitali: fornitori di punti di interscambio internet, fornitori di servizi di sistema dei nomi di dominio (domain name system – DNS), esclusi gli operatori dei server dei nomi radice; gestori di registri dei nomi di dominio di primo livello (top level domain – TLD), fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti (content delivery network), prestatori di servizi fiduciari, fornitori di reti pubbliche di comunicazione elettronica, fornitori di servizi di comunicazione elettronica accessibili al pubblico.
Altri settori, non definiti come altamente critici, ma che comunque rientrano nell’ambito di applicazione della direttiva sono:
• servizi postali e di corriere;
• servizi di gestione rifiuti;
• produzione, trasformazione e distribuzione di alimenti;
• fornitori di servizi digitali: fornitori di mercati online, fornitori di motori di ricerca online, fornitori di piattaforme di social network, fornitori di servizi di registrazione dei nomi di dominio.
Quali imprese sono escluse?
Rimangono escluse dall’applicazione della direttiva le piccole imprese. Per piccola impresa si intende un'impresa che occupa meno di 50 persone e realizza un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di EUR.
Attenzione alle eccezioni!
Attenzione però, perché ci sono delle eccezioni. In alcuni casi il decreto si applica indipendentemente dalle dimensioni dell’azienda. Riportiamo alcuni esempi:
• fornitori di reti pubbliche di comunicazione elettronica;
• prestatori di servizi fiduciari;
• gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;
• fornitori di servizi di registrazione dei nomi di dominio;
Inoltre, la direttiva si applica a tutte le imprese, indipendentemente dal fatturato e numero dei dipendenti, se sono collegate a soggetti essenziali o importanti, come definiti dalla direttiva.
Obblighi per i soggetti ai quali si applica la direttiva:
• dal 1° gennaio al 28 febbraio di ogni anno le imprese dovranno registrarsi o aggiornare la propria registrazione sulla piattaforma digitale dell’Autorità nazionale competente NIS (ACN);
• entro il 31 marzo l’autorità individua i soggetti essenziali e importanti;
• le imprese individuate dovranno adottare misure tecniche, operative ed organizzative adeguate alla gestione dei rischi;
• eventuali incidenti devono essere notificati tempestivamente all’autorità.
Per chiarire se la propria impresa rientra tra quelle alle quali si applica la direttiva, è consigliabile procedere con un assessment/valutazione del rischio aziendale facendosi supportare dai propri consulenti e verificare, oltre al settore nel quale opera la propria azienda, anche le attività esattamente svolte e che potrebbero essere soggette alla direttiva.
L’inosservanza degli obblighi previsti dalla NIS2 comporta sanzioni pecuniarie, ma anche sanzioni accessorie come ad es. revoca di certificazioni, sospensione temporanea dell’attività ecc.