Ottobre 2024

Con il DECRETO LEGISLATIVO 4 settembre 2024, n. 138, che entrerà in vigore a far data dal 16/10/2024, l’Italia adotta il decreto di recepimento della normativa cosiddetta “NIS 2”, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione.

Il decreto, in recepimento alla direttiva, prevede che tutta una serie si soggetti privati e pubbliche amministrazioni, in base a settori di appartenenza e classi dimensionali, debbano svolgere un assessment e notificare la propria appartenenza a determinate categorie all’ ACN (Autorità di cybersicurezza nazionale).

PREMESSA

Il decreto individua, tramite gli Allegati I, II, III e IV, le categorie dei soggetti che rientrano all’interno dell’ambito di applicazione della direttiva, individuando rispettivamente soggetti altamente critici (Allegato I), critici (Allegato II), categorie di pubbliche amministrazioni (Allegato III) e altre tipologie di soggetti (Allegato IV).

All’interno delle categorie sopracitate, vi saranno alcuni soggetti definiti come essenziali, ed altri definiti come importanti secondo criteri dimensionali e di appartenenza a settori specifici.

CALENDARIO DEGLI ADEMPIMENTI

Registrazione – Dal 1 gennaio al 28 febbraio 2025 di ogni anno

I soggetti essenziali ed importanti devono registrarsi o aggiornare le informazioni sulla piattaforma digitale dell’Autorità nazionale competente NIS (cioè ACN), fornendo:

  1. a) la ragione sociale;
  2. b) l’indirizzo e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono;
  3. c) la designazione di un punto di contatto, indicando il ruolo presso il soggetto e i recapiti aggiornati,  compresi  gli  indirizzi e-mail e i numeri di telefono;
  4. d) ove applicabile, i pertinenti  settori,   sottosettori   e tipologie di soggetto di cui agli allegati I, II, III e IV;

Elenco – Entro il 31 Marzo di ogni anno

ACN redige l’elenco dei soggetti essenziali e importanti in base alle registrazioni pervenute sulla piattaforma ed ad altre eventuali disposizioni successive.

Comunicazione – Dal 1 Aprile al 15 aprile di ogni anno

ACN comunica ai soggetti registrati     

  1. a) l’inserimento nell’elenco dei soggetti essenziali o importanti;
  2. b) la permanenza nell’elenco dei soggetti essenziali o importanti;
  3. c) l’espunzione dall’elenco dei soggetti.

Aggiornamento – Dal 15 Aprile al 31 maggio di ogni anno

I soggetti essenziali e importanti devono aggiornare le informazioni sulla piattaforma, includendo:

  1. indirizzi IP pubblici e nomi di dominio;
  2. elenco degli Stati membri dove operano;
  3. responsabili e loro contatti;
  4. sostituto del punto di contatto.

Info ulteriori per fornitori specifici

I fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di  primo  livello,  i  fornitori  di servizi di registrazione dei nomi di dominio, i fornitori di  servizi di cloud  computing,  i  fornitori  di  servizi  di  data  center,  i fornitori di reti di distribuzione  dei  contenuti,  i  fornitori  di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonche’ i fornitori di mercati online,  i  fornitori  di  motori  di  ricerca online e i fornitori di piattaforme  di  social  network,  forniscono all’Autorita’ nazionale competente NIS anche:

  1. indirizzo della sede principale e altre sedi nell’UE;
  2. indirizzo del rappresentante nell’UE (se non stabiliti nell’UE).

ULTERIORI CONSIDERAZIONI

Schemi riferimento

“….Al fine di dimostrare il rispetto di determinati obblighi…l’Autorita’ nazionale  competente  NIS…, puo’ imporre  ai  soggetti essenziali e  ai  soggetti  importanti  di  utilizzare  categorie  di prodotti TIC, servizi TIC e processi TIC…, …sviluppati  dal soggetto essenziale o importante o acquistati  da  terze  parti,  ….che siano certificati nell’ambito dei sistemi europei  di  certificazione della cybersicurezza.

  ….l’Autorita’  nazionale  competente  NIS, ….puo’ imporre ai soggetti essenziali e ai soggetti importanti di utilizzare  categorie di prodotti TIC, servizi TIC e processi TIC, sviluppati dal  soggetto essenziale o importante  o  acquistati  da  terze  parti,  che  siano certificati nell’ambito di schemi di  certificazione  riconosciuti  a livello nazionale o europeo. “

Chiaramente, come già anticipato spesso nei nostri articoli, partire da schemi di riferimento riconosciuti a livello europeo ed internazionali, che siano certificabili, facilita enormemente le attività di Assessment, analisi dei rischi e implementazione delle procedure e delle soluzioni tecniche che garantiscano il livello adeguato di protezione, e che facilitino anche il processo di accountability rispetto alle autorità preposte alla vigilanza e al controllo (si vedano ad esempio gli standard della famiglia 27000).

Responsabilità

…Qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualita’ di suo rappresentante legale con l’autorita’ di rappresentarlo, di  prendere  decisioni  per  suo  conto  o   di esercitare un controllo sul soggetto  stesso,  assicura  il  rispetto delle disposizioni di cui al presente decreto. Tali  persone  fisiche possono essere ritenute responsabili dell’inadempimento  in  caso  di violazione del presente decreto da parte del soggetto  di  cui  hanno rappresentanza…

Ciascuna entità dovrà infatti, come detto in precedenza, nominare un Responsabile NIS 2 da notificare, il quale potrà essere ritenuto responsabile a tutti gli effetti di eventuali inadempienze.

Sanzioni amministrative

  1. a) soggetti essenziali, escluse le    pubbliche amministrazioni: con sanzioni amministrative pecuniarie  fino  a  un massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio  precedente  del  soggetto
  2. b) per i   soggetti   importanti, escluse   le    pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 7.000.000 o dell’1,4% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto;
  3. c) per le pubbliche amministrazioni di cui all’allegato III, nonché per i soggetti rientranti fra le tipologie di   cui all’allegato IV sanzioni amministrative pecuniarie da euro 25.000 a euro 125.000;