Cybersicurezza: pubblicato il decreto legislativo di recepimento della Direttiva NIS2

Autori

gianmarco rinaldi Module
Gian Marco Rinaldi

Counsel
Italia

Sono un avvocato delle tecnologie dell'informazione, membro del Tech & Comms Group di Milano.

marta breschi Module
Marta Breschi

Associate
Italia

Sono un avvocato del Dipartimento di Information Technology e di Proprietà Intellettuale.

Il 1° ottobre 2024 è stato pubblicato il decreto legislativo che recepisce in Italia la Direttiva NIS2. A decorrere dal 18 ottobre 2024, si applicano le nuove regole e vengono abrogate quelle della Direttiva NIS1 (Direttiva UE 1148/2016).

La Direttiva NIS2 (Direttiva UE 2555/2022) – recepita in Italia con decreto legislativo no. 138/2024 (“Decreto Legislativo”) - stabilisce misure atte a garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo al contempo ad incrementare il livello comune di sicurezza nell'Unione europea in modo da migliorare il funzionamento del mercato interno.

Rispetto alla Direttiva NIS1 (che prevedeva una distinzione tra operatori di servizi essenziali (OSE) e fornitori di servizi digitali (FSD)), l’ambito di applicazione soggettivo è stato esteso e si parla di c.d. soggetti essenziali e soggetti importanti.

Possono rientrare in questa ultima categoria i soggetti (che non siano già soggetti essenziali) operanti nei settori "ad alta criticità" e "altri settori critici":

Settori ad alta criticità Altri settori critici

1. Energia
2. Trasporti
3. Settore bancario / infrastrutture dei mercati finanziari
4. Sanità
5. Acqua potabile
6. Acque reflue
7. Infrastrutture digitali
8. Gestione dei servizi TIC
9. Pubblica amministrazione
10. Spazio

a. Servizi postali e di corriere
b. Gestione rifiuti
c. Sostanze chimiche
d. Alimenti
e. Dispositivi medici
f. Prodotti elettronici e ottici
g. Apparecchiature elettriche
h. Apparecchiature e macchinari n.c.a.
i. Autoveicoli, rimorchi e semirimorchi
l. Altri mezzi di trasporto
m. Fornitori servizi digitali (mercati e motori di ricerca online, social network, registrazione di nomi a dominio)
n. Ricerca

 
Occorre, dunque, in primo luogo, effettuare una attività di c.d. self-assessment, per comprendere se la propria società rientri nell’ambito di applicazione del Decreto Legislativo.
In caso di risposta affermativa o di dubbio, occorre registrarsi sulla piattaforma digitale resa disponibile dall’Agenzia Nazionale per la Cybersicurezza (l’ “ACN”). Sarà l’ACN a comunicare ai soggetti registrati l’inclusione o meno nell’ambito di applicazione delle nuove regole.

In capo ai soggetti essenziali e ai soggetti importanti sono previsti, tra gli altri, obblighi in materia di misure di gestione dei rischi per la sicurezza informatica e obblighi di notifica degli incidenti, più ampi e dettagliati rispetto alla disciplina di NIS1.

La violazione degli obblighi previsti, tra le altre, può essere sanzionata, per i soggetti essenziali, fino a 10 milioni di euro o fino al 2% del fatturato annuo mondiale dell’esercizio precedente, a seconda di quale importo sia maggiore e, per i soggetti importanti, fino a 7 milioni di euro o fino all’1,4% del fatturato annuo mondiale dell’esercizio precedente, a seconda di quale importo sia maggiore.

***

Il nostro team è a disposizione per fornirVi assistenza nell’attività di implementazione interna delle previsioni del Decreto Legislativo, nella attività di self-assessment sopra indicata, di assistenza nella implementazione delle misure previste, di formazione interna e di redazione della documentazione specifica (sotto forma di policy, vademecum, protocolli) per una corretta applicazione del Decreto Legislativo.

 

Ultimi approfondimenti

Ulteriori approfondimenti

Schema di regolamento AGCOM

ott 14 2024

Leggi tutto

Pubblicato il tanto atteso Regolamento sull'Intelligenza Artificiale

lug 12 2024

Leggi tutto

Realizzazione di Data Center. Nuove linee guida per i Comuni della Regione Lombardia

lug 11 2024

Leggi tutto