Decreto NIS2: cos’è, applicazione e obblighi

nis2 2 1

Indice dei contenuti

1. Normativa NIS2

nis2 2

La Direttiva (UE) n. 2022/2555 è nota anche come “Direttiva NIS2”, del Parlamento europeo e del Consiglio, del 14 dicembre 2022.

La NIS2 regolamenta le misure necessarie per un livello comune elevato di cybersicurezza nell’Unione europea, è la legislazione dell’UE in materia di cybersicurezza.

La NIS2 aggiorna le norme europee in materia di cybersicurezza introdotte nel 2016 modernizzando e uniformando il quadro giuridico esistente. E’ entrata in vigore nel 2023 con l’obbligo di recepimento negli Stati Membri entro il 18 ottobre 2024, ed è stata recepita in Italia con il decreto legislativo 4 settembre 2024, n. 138.

Con il decreto legislativo sopra indicato (cd. Decreto NIS), l’Italia ha dato attuazione alla nuova Direttiva NIS, recependola nell’ordinamento nazionale con entrata in vigore dal 16 ottobre 2024.

Il decreto NIS abroga il decreto legislativo n. 65/2018, che recepiva la precedente Direttiva NIS (Direttiva 2016/1148). La nuova normativa NIS mira a garantire un aumento del livello di sicurezza cibernetica comune, grazie all’armonizzazione delle norme applicabili ai diversi operatori nei diversi Stati membri e al rafforzamento dei livelli standard di sicurezza rispetto a quelli previsti dalla disciplina vigente.

Il Decreto NIS prevede scadenze fisse annuali:

  • dal 1° gennaio al 28 febbraio di ogni anno successivo alla data di entrata in vigore del Decreto NIS i soggetti (destinatari della normativa) si registrano o aggiornano la propria registrazione sulla piattaforma digitale ACN;
  • entro il 31 marzo di ogni anno successivo alla data di entrata in vigore del Decreto NIS l’ACN redige l’elenco dei soggetti essenziali e importanti;
  • dal 15 aprile al 31 maggio di ogni anno successivo alla data di entrata in vigore del Decreto NIS, i soggetti che sono stati cancellati dall’elenco, forniscono e aggiornano le informazioni richieste tramite la piattaforma ACN.

2. Quali sono le autorità competenti

2.1 Agenzia per la cybersicurezza nazionale

L’autorità di riferimento in Italia per l’applicazione della Decreto NIS è l’ACN – Agenzia per la cybersicurezza nazionale.

L’Agenzia per la cybersicurezza nazionale è anche il Punto di contatto unico NIS ai sensi della Direttiva NIS, con funzioni di collegamento per garantire la cooperazione transfrontaliera delle autorità nazionali con le autorità pertinenti degli altri Stati membri, la Commissione e l’ENISA.

2.2 Autorità di settore NIS

Al fine di assicurare l’efficace attuazione del Decreto NIS a livello settoriale, sono individuate le Autorità di settore NIS (“ASN”)che supportano l’ACN e collaborano con essa. Qui di seguito il file del sito ACN con l’elenco delle ASN.

NIS2-2-autorita-settore-NISDownload

3. Soggetti che rientrano nel campo di applicazione della Direttiva NIS2

3.1 Soggetti elencati negli allegati I, II, III, IV ai quali è applicabile la Direttiva NIS2

Nell’ambito di applicazione della Direttiva NIS2, rientrano i soggetti pubblici e privati delle tipologie di cui agli allegati I, II, III e IV, che possono essere scaricati qui di seguito:

3.1.1 Allegato I: soggetti “altamente critici”

NIS2-All-IDownload

3.1.2 Allegato II: soggetti “critici”

NIS2-All-IIDownload

3.1.3 Allegato III: pubbliche amministrazioni alle quali si applica il Decreto NIS

NIS2-All-IIIDownload

3.1.4 Allegato IV: ulteriori tipologie di soggetti alle quali si applica il Decreto NIS

NIS2-All-IVDownload

3.2 Soggetti esclusi: allegati I e II

nis2 2a

Il Decreto NIS non si applica a tutti. In particolare, con riferimento agli allegati I e II, il Decreto si applica ai soggetti che superano i massimali previsti per le piccole imprese, quindi a soggetti con:

  • più di 50 dipendenti; e
  • con un fatturato annuo o un totale di bilancio annuo superiore a 10 milioni di EUR.

A titolo meramente esemplificativo, negli allegati I e II rientrano i seguenti soggetti:

  • imprese che prestano assistenza sanitaria;
  • fornitori e distributori di acque destinate al consumo umano;
  • imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali, escluse le imprese per cui la raccolta, lo smaltimento o il trattamento di acque reflue urbane, domestiche o industriali è una parte non essenziale della loro attività generale;
  • infrastrutture digitali: es. fornitori di punti di interscambio internet, gestori di registri dei nomi di dominio di primo livello (top level domain – TLD).

3.3 Soggetti ai quali si applica il Decreto NIS indipendentemente dalle dimensioni

3.3.1 Il Decreto NIS si applica, indipendentemente dalle dimensioni ai seguenti soggetti

  • ai soggetti identificati come soggetti “critici” dal Decreto NIS (i soggetti critici sono identificati all’allegato II), tra questi, ad esempio: imprese che si occupano della gestione dei rifiuti (comprese le attività di supervisione, operazioni effettuate in qualità di commercianti o intermediari): escluse quelle per cui la gestione dei rifiuti non è la principale attività economica; imprese che fabbricano dispositivi medici e di dispositivi medico-diagnostici in vitro;
  • ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
  • ai prestatori di servizi fiduciari;
  • ai gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;
  • ai fornitori di servizi di registrazione dei nomi di dominio.
  • pubbliche amministrazioni ricomprese nell’allegato III;
  • soggetti di cui all’allegato IV.

3.3.2 Il Decreto Nis si applica ai soggetti individuati agli allegati I, II, III e IV, a prescindere dalle dimensioni, in casi specifici

Qualora:

  • il soggetto sia identificato, prima del 16 ottobre 2024, come operatore di servizi essenziali;
  • il soggetto sia l’unico fornitore nazionale di un servizio che è essenziale per il mantenimento di attività sociali o economiche fondamentali;
  • una perturbazione del servizio fornito dal soggetto potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica;
  • una perturbazione del servizio fornito dal soggetto potrebbe comportare un rischio sistemico significativo, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero;
  • il soggetto sia critico in ragione della sua particolare importanza a livello nazionale o regionale per quel particolare settore o tipo di servizio o per altri settori indipendenti nel territorio dello Stato;
  • il soggetto sia considerato critico ai sensi del presente decreto quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti.

3.3.3 Il Decreto NIS si applica, indipendentemente dalle dimensioni, all’impresa collegata ad un soggetto essenziale e importante, se soddisfa almeno uno dei seguenti criteri

Ecco l’elenco dei criteri, il soggetto:

  • adotta decisioni o esercita una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;
  • detiene o gestisce sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;
  • effettua operazioni di sicurezza informatica del soggetto importante o essenziale;
  • fornisce servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale.

Non sai se la tua attività rientra tra quelle obbligate alla registrazione?”
Contattami

4. Soggetti essenziali e importanti

4.1 Soggetti Essenziali

Sono considerati essenziali i seguenti soggetti:

  • i soggetti altamente critici di cui all’allegato I che superano i massimali per le medie imprese: più di 250 persone e il cui fatturato annuo supera i 50 milioni di EUR oppure il cui totale di bilancio annuo supera i 43 milioni di EUR;
  • indipendentemente dalle loro dimensioni, i soggetti identificati come soggetti critici (allegato II);
  • i fornitori di reti pubbliche di comunicazione elettronica e fornitori di servizi di comunicazione elettronica accessibili al pubblico;
  • indipendentemente dalle loro dimensioni, i prestatori di servizi fiduciari qualificati (servizi elettronici prestati normalmente dietro remunerazione, ad esempio, rilascio di certificati di firma elettronica, certificati di sigilli elettronici) e i gestori di registri dei nomi di dominio di primo livello;
  • indipendentemente dalle loro dimensioni, le pubbliche amministrazioni centrali di cui all’allegato III, comma 1, lettera a);
  • i soggetti individuati dall’ACN a prescindere dalle loro dimensioni.

4.2 Soggetti Importanti

Sono considerati importanti, per esclusione, tutti i soggetti indicati al precedente punto 3, che non sono considerati essenziali.

5. Obblighi principali della Direttiva NIS2

I principali obblighi previsti dalla NIS2:

5.1 Registrazione sul portale ACN entro il 28.2.2025 e successivo aggiornamento delle informazioni

5.2 Organi di amministrazione e direttivi

Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti:

  • approvano le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica adottate da tali soggetti;
  • sovrintendono all’implementazione degli obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente e relativi all’identificazione e registrazione;
  • sono responsabili delle violazioni del Decreto NIS.

Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti:

  • sono tenuti a seguire una formazione in materia di sicurezza informatica;
  • promuovono l’offerta periodica di una formazione coerente a quella ricevuta ai loro dipendenti, per favorire l’acquisizione di conoscenze e competenze sufficienti al fine di individuare i rischi e valutare le pratiche di gestione dei rischi per la sicurezza informatica e il loro impatto sulle attività del soggetto e sui servizi offerti.

Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti sono informati su base periodica o, se opportuno, tempestivamente, degli incidenti e delle notifiche.

5.3 Obblighi in materia di misure di sicurezza informatica

I soggetti essenziali e i soggetti importanti devono adottare misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi; nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.

Tali misure:

  • assicurano un livello di sicurezza dei sistemi informativi e di rete adeguato ai rischi esistenti, tenuto conto delle conoscenze più aggiornate e dello stato dell’arte in materia e, ove applicabile, delle pertinenti norme nazionali, europee e internazionali, nonché dei costi di attuazione;
  • sono proporzionate al grado di esposizione a rischi del soggetto, alle dimensioni del soggetto e alla probabilità che si verifichino incidenti, nonché alla loro gravità, compreso il loro impatto sociale ed economico.

5.4 Obblighi in materia di notifica di incidente

I soggetti essenziali e i soggetti importanti notificano, senza ingiustificato ritardo, al CSIRT Italia (Gruppo nazionale di risposta agli incidenti di sicurezza informatica operante all’interno dell’ACN) ogni incidente che ha un impatto significativo sulla fornitura dei loro servizi.

5.5 Obblighi in materia di banca dei dati di registrazione dei nomi di dominio per alcune tipologie di soggetti

Per contribuire alla sicurezza, alla stabilità e alla resilienza dei sistemi di nomi di dominio, i gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione dei nomi di dominio raccolgono e mantengono dati di registrazione dei nomi di dominio accurati e completi in un’apposita banca dati con la dovuta diligenza, conformemente al diritto dell’Unione europea in materia di protezione dei dati personali.

5.6 Categorizzazione delle attività e dei servizi

Al fine di adempiere agli obblighi in materia di gestione dei rischi per la sicurezza informatica, dal 1° maggio al 30 giugno di ogni anno a partire dalla ricezione della prima comunicazione di inserimento nell’elenco dei soggetti essenziali o importanti, tali soggetti comunicano e aggiornano, tramite la piattaforma digitale ACN, un elenco delle proprie attività e dei propri servizi, comprensivo di tutti gli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza.

6. Privacy e NIS2

La direttiva NIS2 rappresenta un passo fondamentale per rafforzare la sicurezza informatica nell’Unione Europea. Tuttavia, il successo della sua implementazione dipende dall’adeguato rispetto della normativa privacy.

nis2 2b

Adeguarsi alle leggi sulla protezione dei dati è essenziale per salvaguardare le informazioni personali e prevenire potenziali violazioni. Un’integrazione efficace tra sicurezza informatica e privacy permette di mitigare i rischi connessi all’utilizzo dei dati personali.

7. Sanzioni

7.1 Responsabilità personale

Qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni di cui al presente decreto. Tali persone fisiche possono essere ritenute responsabili dell’inadempimento in caso di violazione del Decreto NIS da parte del soggetto di cui hanno rappresentanza.

Le sanzioni non sono identiche per tutte le violazioni e non sono applicate nello stesso modo a tutti i soggetti coinvolti dall’applicazione del Decreto NIS.

7.2 Primo Gruppo di Sanzioni

7.2.1 Violazioni ex art. 38, comma 8 Decreto NIS

Il primo gruppo di sanzioni riguarda le seguenti violazioni:

  • mancata osservanza degli obblighi imposti agli organi di amministrazione e agli organi direttivi
  • mancata osservanza degli obblighi relativi alla gestione del rischio per la sicurezza informatica;
  • mancata osservanza degli obblighi relativi alla notifica di incidente;
  • mancata osservanza delle disposizioni adottate dall’ACN e delle relative diffide.

7.2.2 Sanzioni

Le violazioni ex art. 38, comma 8, Decreto NIS sono sanzionate come segue:

  • per i soggetti essenzialiescluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto;
  • per i soggetti importantiescluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 7.000.000 o dell’1,4% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto;
  • per le pubbliche amministrazionidi cui all’allegato III, nonché per i soggetti rientranti fra le tipologie di cui all’allegato IVpunto 1, partecipati o sottoposti a controllo pubblico, e punto 4 (laddove individuati secondo le modalità di cui all’articolo 40, comma 4 che sono soggetti essenziali), con sanzioni amministrative pecuniarie da euro 25.000 a euro 125.000 (ridotte di un terzo).

7.3 Secondo Gruppo di Sanzioni

7.3.1. Violazioni ex art. 38, comma 10 Decreto NIS

Il secondo gruppo di sanzioni riguarda le seguenti violazioni:

  • mancata registrazionecomunicazione o aggiornamento delle informazioni;
  • inosservanza delle modalità stabilite dall’ACN per l’identificazione ed elencazione dei soggetti essenziali e importanti;
  • mancata comunicazione o aggiornamento dell’elenco delle attività e dei servizi nonché della loro categorizzazione;
  • mancata implementazione o attuazione degli obblighi relativi all’uso di schemi di certificazione, alla banca dei dati di registrazione dei nomi di dominio nonché alle previsioni settoriali;
  • mancata collaborazione con l’ACN con riferimento alle attività e all’esercizio dei poteri relativi al monitoraggio, vigilanza ed esecuzione;
  • mancata collaborazione con il CSIRT Italia (Gruppo nazionale di risposta agli incidenti di sicurezza informativa).

7.3.2 Sanzioni

Le violazioni ex art. 38, comma 10, Decreto NIS, fermi restando i minimi stabiliti per il primo gruppo di sanzioni, sono punite:

  • per i soggetti essenzialicon sanzioni amministrative pecuniarie fino a un massimo dello 0,1% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto;
  • per i soggetti importanti, con sanzioni amministrative pecuniarie fino a un massimo dello 0,07% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto;
  • per le pubbliche amministrazioni di cui all’allegato III, nonché per i soggetti rientranti fra le tipologie di cui all’allegato IVpunto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all’articolo 40, comma 4, che sono soggetti essenziali) con sanzioni amministrative pecuniarie da euro 10.000 a euro 50.000 (ridotte di un terzo).

7.4 Reiterazione

  • In caso di reiterazione specifica la sanzione prevista è aumentata sino al doppio.
  • Nei casi di reiterazione non specifica si applica la sanzione prevista per la violazione più grave aumentata fino al triplo.

7.5 Mancata o tardiva registrazione

In caso di mancata o tardiva registrazione da parte dei soggetti obbligati ai sensi del Decreto NIS:

  • sono comunque contestate tutte le violazioni previste dal primo e secondo gruppo di violazioni;
  • si applica la sanzione prevista per la violazione più grave aumentata fino al triplo.

7.6 Obblighi di Notifica

In caso di mancata osservanza degli obblighi relativi alla notifica di incidente da parte:

  • delle pubbliche amministrazioni di cui all’allegato III
  • dei soggetti rientranti fra le tipologie di cui all’allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4 (laddove individuati secondo le modalità di cui all’articolo 40, comma 4); 

le violazioni del secondo gruppo si applicano solo in caso di reiterazione specifica nell’arco di cinque anni e l’ACN può esercitare, durante i dodici mesi successivi all’accertamento della violazione, i poteri di verifica e ispettivi.

____________________

avv. Gianfranco Leggio

22.02.2025

“Investire in formazione e nei processi interni garantisce una gestione sicura della tua attività”

Prenota la tua Consulenza

top