Cybersecurity: nuovi adempimenti per le aziende del settore privato a garanzia della sicurezza informatica nazionale ed europea

A cura dell’Avv.ta Giovanna Amato

Il 16 ottobre 2024 è entrato in vigore in Italia il decreto legislativo 4 settembre 2024, n. 38, recante “Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148”.

La disciplina trova applicazione nei confronti degli enti privati e pubblici indicati dall’art. 3 del decreto, ulteriormente specificati negli allegati da I a IV, riconducibili a due macro categorie, quella dei “soggetti essenziali” e quella dei “soggetti importanti”.

Sono riconducibili alla prima delle categorie menzionate gli enti, indicati nell’allegato I al decreto, operanti nel settore energetico, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, sanitario, dell’acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi TIC, spazio, che superano i massimali per le medie imprese, i “soggetti critici” di cui al d.lgs. 134/2024, i fornitori di reti pubbliche di comunicazione elettrica e di servizi di comunicazione elettronica accessibili al pubblico da considerarsi media impresa, i prestatori di servizi fiduciari qualificati e i gestori di registri di nomi di dominio di primo livello nonché i prestatori di servizi di sistema dei nomi di dominio.

Sono invece classificati come “soggetti importanti” quelli indicati all’art. 3 del decreto, che non rientrino nella definizione di “soggetto essenziale” e, in particolare, gli enti riconducibili ai settori indicati nell’allegato II: servizi postali e di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, fabbricazione, fornitura di servizi digitali e ricerca.

Ai sensi dell’art. 23, spetta agli organi amministrativi e direttivi dei “soggetti essenziali” e “dei soggetti importanti” la responsabilità di adempiere una serie di obblighi finalizzati alla gestione del rischio per la sicurezza informatica all’interno dell’ente.

Tra questi, seguendo un approccio multi-rischio, il legislatore fa rientrare l’insieme delle misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete utilizzati, a prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei servizi, e tutelare i sistemi informativi e di rete nonché il loro ambiente fisico da incidenti.

Una sorta, dunque, di modello organizzativo, gestionale e di controllo per la cybersicurezza, che dovrà comprendere almeno i seguenti elementi:

• politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete;
• gestione degli incidenti, ivi incluse le procedure e gli strumenti per eseguire le notifiche ex 25 e 26;
• continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro, ove applicabile, e gestione delle crisi;
• sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra il soggetto e i suoi diretti fornitori o fornitori di servizi;
• sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità;
• politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica;
• pratiche di igiene di base e di formazione in materia di sicurezza informatica;
• politiche e procedure relative all’uso della crittografia e, ove opportuno, della cifratura;
• sicurezza e affidabilità del personale, politiche di controllo dell’accesso e gestione dei beni e degli assetti;
• uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno.

Tra gli obblighi incombenti sugli enti dovranno essere presi in considerazione quelli di pre-notifica e notifica al CSIRT Italia (art. 25), in caso di incidente con impatto significativo sulla fornitura dei servizi. La notifica dovrà contenere le informazioni necessarie all’Autorità per determinare l’eventuale impatto transfrontaliero dell’incidente segnalato. La notifica potrà essere fatta volontariamente, anche al di fuori dei casi di notifica obbligatoria (art. 26).

Ai sensi degli artt. 34 e ss. del decreto, l’Autorità nazionale NIS ha il compito di monitorare e valutare il rispetto degli obblighi impartiti agli enti interessati. A tale fine, il legislatore ha riconosciuto all’autorità in questione ampi poteri di monitoraggio, analisi e supporto, poteri di verifica e ispezione, nonché di misure di esecuzione. Vi rientrano, ad esempio, attività come: la richiesta di rendicontazione dello stato di attuazione degli obblighi, l’esecuzione di audit sulla sicurezza, l’emanazione di raccomandazioni e avvertimenti relativi a presunte violazioni e, infine, la verifica di documenti e informazioni trasmesse, ispezioni in loco e a distanza, richieste di accesso a dati, documenti e altre informazioni utili.

La violazione dei molteplici obblighi posti a carico degli enti interessati dall’applicazione della normativa in commento, comporta l’applicazione di un regime sanzionatorio piuttosto articolato, come è dato evincere dalle previsioni dell’art. 38.

Si consideri, infatti, che la mancata registrazione, comunicazione o aggiornamento delle informazioni e l’inosservanza delle relative modalità stabilite dall’Autorità nazionale NIS (art. 7), la mancata comunicazione o il mancato aggiornamento dell’elenco delle attività e servizi nonché della loro categorizzazione (art. 30), la mancata implementazione o attuazione degli obblighi relativi all’uso di schemi di certificazione, alla banca dei dati di registrazione dei nomi di dominio nonché alle previsioni settoriali specifiche di cui agli artt. 27, 29 e 32, la mancata collaborazione con l’Autorità nazionale NIS e la mancata collaborazione con il CSIRT Italia, comporta l’applicazione di:

• per i soggetti essenziali, sanzioni amministrative pecuniarie fino a un massimo dello 0,1% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto;
• per i soggetti importanti, sanzioni amministrative pecuniarie fino a un massimo dello 0,07% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto.

La mancata osservanza degli obblighi relativi agli organi di amministrazione e direttivi (art. 23), alla gestione del rischio per la sicurezza informatica e alla notifica di incidente (artt. 24 e 25), nonché l’inottemperanza delle disposizioni adottate dall’Autorità nazionale competente NIS ai sensi dell’art. 37, co. 3 e 4, e alle relative diffide comporta l’applicazione delle seguenti sanzioni amministrative pecuniarie:

• per i soggetti essenziali, sanzioni amministrative pecuniarie fino a un massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, se tale importo è superiore, il cui minimo è fissato nella misura di un ventesimo del massimo edittale;
• per i soggetti importanti, sanzioni amministrative pecuniarie fino a un massimo di euro 7.000.000 o dell’1,4% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, se tale importo è superiore, il cui minimo è fissato nella misura di un trentesimo del massimo edittale.

L’inosservanza dei termini previsti per adempiere alla diffida di cui all’art. 37, co. 6 e 7, può comportare la sospensione temporanea di un certificato o autorizzazione relativa a una parte o alla totalità dei servizi o delle attività pertinenti svolti dal soggetto essenziale fino all’adempimento.

Inoltre, le persone fisiche che agiscono in qualità di rappresentate legale con poteri di rappresentanza, decisione o controllo rispondono degli inadempimenti, con possibilità di disporre nei loro confronti la sanzione amministrativa accessoria dell’incapacità di svolgere funzioni dirigenziali all’interno del medesimo soggetto fino all’adempimento.

L’apparato sanzionatorio cui si è brevemente accennato deve essere letto in uno con i termini previsti dal decreto per l’adempimento degli obblighi sopra citati. Ai sensi dell’art. 7:

• dal 1 gennaio al 28 febbraio di ogni anno successivo all’entrata in vigore del decreto, ogni ente interessato deve registrarsi (o aggiornare la propria registrazione) sulla piattaforma digitale resa disponibile dall’Autorità nazionale NIS (Agenzia per la cybersicurezza nazionale);
• entro il 31 marzo, l’Autorità nazionale NIS, sulla base delle registrazioni presenti a portale, redige l’elenco dei soggetti essenziali e importanti e comunica tramite la piattaforma digitale l’inserimento, la permanenza oppure la cancellazione dall’elenco.
• dal 15 aprile al 31 maggio, i soggetti che hanno ricevuto la comunicazione devono fornire o aggiornare le informazioni indicate dall’art. 7, co. 4.

Ai sensi dell’art. 42 sono inoltre previste una serie di ulteriori scadenze afferenti la fase di prima implementazione del decreto:

• entro il 17 gennaio 2025 devono registrarsi sulla piattaforma digitale i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network che rientrano nell’ambito di applicazione del decreto;
• sino al 31 dicembre 2025:

1. il termine per l’adempimento degli obblighi in materia di notifica di incidente (art. 25) è di nove mesi dalla ricezione della comunicazione di inserimento o permanenza nell’elenco ex 7, co. 3, lett. a) e b);
2. il termine per l’adempimento degli obblighi relativi agli organi di amministrazione e direttivi (art. 23), in materia di misure di gestione dei rischi per la sicurezza informatica (art. 24) e relativi alla banca dei dati di registrazione dei nomi di dominio (art. 29) è di diciotto mesi dalla comunicazione di inserimento o permanenza nell’elenco;

• l’obbligo di comunicare e aggiornare un elenco delle proprie attività e servizi di cui all’art. 30, co. 1, decorre dal 1 gennaio 2026.

Resta fermo che i soggetti possono registrarsi dalla data di pubblicazione dell’apposita piattaforma.

In conclusione, è di fondamentale importanza che gli enti che operano sul territorio italiano si allineino alle disposizioni del d.lgs. 38/2024 in materia di cybersecurity, rispettando rigorosamente le scadenze stabilite. Il mancato adempimento agli obblighi previsti espone le imprese a sanzioni amministrative di rilevante entità. Pertanto, è imprescindibile che adottino tutte le misure necessarie per garantire la piena conformità alla normativa, al fine di evitare rischi legali, economici e reputazionali derivanti da eventuali inadempimenti.