Ottobre 2024
Con il DECRETO LEGISLATIVO 4 settembre 2024, n. 138, che entrerà in vigore a far data dal 16/10/2024, l’Italia adotta il decreto di recepimento della normativa cosiddetta “NIS 2”, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione.
Il decreto, in recepimento alla direttiva, prevede che tutta una serie si soggetti privati e pubbliche amministrazioni, in base a settori di appartenenza e classi dimensionali, debbano svolgere un assessment e notificare la propria appartenenza a determinate categorie all’ ACN (Autorità di cybersicurezza nazionale).
PREMESSA
Il decreto individua, tramite gli Allegati I, II, III e IV, le categorie dei soggetti che rientrano all’interno dell’ambito di applicazione della direttiva, individuando rispettivamente soggetti altamente critici (Allegato I), critici (Allegato II), categorie di pubbliche amministrazioni (Allegato III) e altre tipologie di soggetti (Allegato IV).
All’interno delle categorie sopracitate, vi saranno alcuni soggetti definiti come essenziali, ed altri definiti come importanti secondo criteri dimensionali e di appartenenza a settori specifici.
CALENDARIO DEGLI ADEMPIMENTI
Registrazione – Dal 1 gennaio al 28 febbraio 2025 di ogni anno
I soggetti essenziali ed importanti devono registrarsi o aggiornare le informazioni sulla piattaforma digitale dell’Autorità nazionale competente NIS (cioè ACN), fornendo:
- a) la ragione sociale;
- b) l’indirizzo e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono;
- c) la designazione di un punto di contatto, indicando il ruolo presso il soggetto e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono;
- d) ove applicabile, i pertinenti settori, sottosettori e tipologie di soggetto di cui agli allegati I, II, III e IV;
Elenco – Entro il 31 Marzo di ogni anno
ACN redige l’elenco dei soggetti essenziali e importanti in base alle registrazioni pervenute sulla piattaforma ed ad altre eventuali disposizioni successive.
Comunicazione – Dal 1 Aprile al 15 aprile di ogni anno
ACN comunica ai soggetti registrati
- a) l’inserimento nell’elenco dei soggetti essenziali o importanti;
- b) la permanenza nell’elenco dei soggetti essenziali o importanti;
- c) l’espunzione dall’elenco dei soggetti.
Aggiornamento – Dal 15 Aprile al 31 maggio di ogni anno
I soggetti essenziali e importanti devono aggiornare le informazioni sulla piattaforma, includendo:
- indirizzi IP pubblici e nomi di dominio;
- elenco degli Stati membri dove operano;
- responsabili e loro contatti;
- sostituto del punto di contatto.
Info ulteriori per fornitori specifici
I fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonche’ i fornitori di mercati online, i fornitori di motori di ricerca online e i fornitori di piattaforme di social network, forniscono all’Autorita’ nazionale competente NIS anche:
- indirizzo della sede principale e altre sedi nell’UE;
- indirizzo del rappresentante nell’UE (se non stabiliti nell’UE).
ULTERIORI CONSIDERAZIONI
Schemi riferimento
“….Al fine di dimostrare il rispetto di determinati obblighi…l’Autorita’ nazionale competente NIS…, puo’ imporre ai soggetti essenziali e ai soggetti importanti di utilizzare categorie di prodotti TIC, servizi TIC e processi TIC…, …sviluppati dal soggetto essenziale o importante o acquistati da terze parti, ….che siano certificati nell’ambito dei sistemi europei di certificazione della cybersicurezza.
….l’Autorita’ nazionale competente NIS, ….puo’ imporre ai soggetti essenziali e ai soggetti importanti di utilizzare categorie di prodotti TIC, servizi TIC e processi TIC, sviluppati dal soggetto essenziale o importante o acquistati da terze parti, che siano certificati nell’ambito di schemi di certificazione riconosciuti a livello nazionale o europeo. “
Chiaramente, come già anticipato spesso nei nostri articoli, partire da schemi di riferimento riconosciuti a livello europeo ed internazionali, che siano certificabili, facilita enormemente le attività di Assessment, analisi dei rischi e implementazione delle procedure e delle soluzioni tecniche che garantiscano il livello adeguato di protezione, e che facilitino anche il processo di accountability rispetto alle autorità preposte alla vigilanza e al controllo (si vedano ad esempio gli standard della famiglia 27000).
Responsabilità
…Qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualita’ di suo rappresentante legale con l’autorita’ di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni di cui al presente decreto. Tali persone fisiche possono essere ritenute responsabili dell’inadempimento in caso di violazione del presente decreto da parte del soggetto di cui hanno rappresentanza…
Ciascuna entità dovrà infatti, come detto in precedenza, nominare un Responsabile NIS 2 da notificare, il quale potrà essere ritenuto responsabile a tutti gli effetti di eventuali inadempienze.
Sanzioni amministrative
- a) soggetti essenziali, escluse le pubbliche amministrazioni: con sanzioni amministrative pecuniarie fino a un massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto
- b) per i soggetti importanti, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 7.000.000 o dell’1,4% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto;
- c) per le pubbliche amministrazioni di cui all’allegato III, nonché per i soggetti rientranti fra le tipologie di cui all’allegato IV sanzioni amministrative pecuniarie da euro 25.000 a euro 125.000;
