Il decreto legislativo di recepimento della Direttiva NIS 2 ha introdotto una regolamentazione che, in parte, si sovrappone all’ambito disciplinato dal Decreto-Legge 105/2019, istitutivo del Perimetro di Sicurezza Nazionale Cibernetica (PSNC). Tale parziale coincidenza emerge chiaramente dall’analisi degli ambiti soggettivi delle due normative. Da un lato, l’articolo 3 e l’articolo 6 del decreto NIS 2 individuano come destinatari gli operatori essenziali e importanti di settori rilevanti, tra cui molti rientrano nelle infrastrutture strategiche e nei servizi essenziali definiti dal D.L. 105/2019. In particolare, il DPR 30 luglio 2020, n. 131, ha esplicitamente elencato quei settori considerati di interesse nazionale, che coincidono con alcuni dei settori ricompresi anche nell’ambito di applicazione della normativa NIS 2.

L’introduzione di queste due normative mira a garantire una maggiore protezione delle infrastrutture critiche e dei sistemi informativi nazionali, attraverso la gestione del rischio cibernetico e l’adozione di misure di sicurezza proporzionate. Tuttavia, per gli operatori già inseriti nel PSNC, le nuove disposizioni della NIS 2 possono comportare obblighi aggiuntivi o diversamente modulati. L’articolo si propone di fornire un quadro completo e chiaro degli adempimenti che tali operatori devono rispettare per garantire la compliance con entrambe le normative.

A conclusione dell’articolo, forniremo una checklist degli adempimenti fondamentali e un calendario delle principali scadenze, utili per aiutare le imprese e gli enti pubblici a rispettare le disposizioni del D. Lgs. 138/2024 e del D.L. 105/2019. Questo strumento sarà essenziale per gestire in maniera efficiente le fasi di adeguamento richieste dalla normativa NIS di nuovo conio.

Perimetro di Sicurezza Nazionale Cibernetica: quali obblighi?

Il Perimetro di Sicurezza Nazionale Cibernetica (PSNC), istituito con il D.L. 105/2019, impone una serie di obblighi a carico dei soggetti che ne fanno parte, con l’obiettivo di garantire la protezione delle infrastrutture e dei sistemi essenziali per la sicurezza nazionale. Di seguito una breve disamina dei principali obblighi.

I soggetti inclusi nel Perimetro, una volta ricevuta la comunicazione ufficiale della loro inclusione, sono tenuti a predisporre e aggiornare periodicamente un elenco dettagliato dei beni ICT impiegati. Questo elenco deve includere i sistemi informativi e i servizi informatici che utilizzano tali beni, con l’indicazione specifica di quelli che, in caso di incidente, potrebbero causare l’interruzione totale o parziale delle funzioni essenziali o dei servizi essenziali. In particolare, devono essere evidenziati quei beni la cui compromissione potrebbe avere effetti irreversibili sulla riservatezza, integrità o disponibilità dei dati gestiti.

Entro sei mesi dalla comunicazione di inclusione nelle liste del PSNC, i soggetti devono trasmettere all’Autorità competente l’elenco completo dei beni ICT, accompagnato dai modelli che descrivono l’architettura di tali beni. Questo trasferimento di informazioni avviene attraverso una piattaforma digitale dedicata, garantendo così la sicurezza delle informazioni inviate.

In aggiunta a questi obblighi, i soggetti inclusi nel Perimetro sono tenuti a rispettare rigorose misure di sicurezza che mirano a prevenire e mitigare gli effetti di eventi dannosi in grado di pregiudicare il normale svolgimento delle loro attività. Tali misure, elaborate ai sensi dell’articolo 1, comma 4, del D.L. 105/2019, sono oggi elencate nel DPCM 81/2021, e impongono standard elevati di protezione.

Un ulteriore obbligo riguarda la notifica tempestiva di ogni incidente informatico al Gruppo di intervento per la sicurezza informatica in caso di incidente italiano (CSIRT Italia). Questa notifica deve essere effettuata senza indugio per consentire una gestione rapida e coordinata degli eventi.

Infine, i soggetti inclusi nel PSNC devono segnalare al Centro di valutazione e certificazione nazionale (CVCN) l’avvio di qualsiasi procedura di affidamento per la fornitura di beni ICT che saranno utilizzati su reti, sistemi informativi e servizi essenziali, al fine di garantire il rispetto delle misure di sicurezza nazionali anche nei processi di approvvigionamento tecnologico.

Il coordinamento tra PSNC e disciplina NIS 2

Il coordinamento tra il Perimetro di Sicurezza Nazionale Cibernetica (PSNC) e la disciplina introdotta dalla Direttiva NIS 2, come regolamentato dall’art. 33 del D. Lgs. 138/2024, rappresenta un aspetto cruciale per garantire una gestione integrata e coerente della sicurezza cibernetica a livello nazionale. Il legislatore ha voluto evitare sovrapposizioni e ridondanze normative tra le due discipline, garantendo al contempo che i soggetti già inseriti nel PSNC continuino a rispettare gli obblighi di sicurezza stabiliti dal D.L. 105/2019, senza dover duplicare le misure previste dal nuovo assetto normativo introdotto dalla NIS 2.

In primo luogo, il decreto stabilisce che gli obblighi di gestione del rischio per la sicurezza informatica e di notifica degli incidenti previsti dal D.L. 105/2019 sono considerati almeno equivalenti a quelli imposti dal D. Lgs. 138/2024. Questo significa che i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica non sono tenuti ad adempiere contemporaneamente agli obblighi di entrambe le normative, ma possono continuare a rispettare le disposizioni del PSNC, considerate sufficienti anche ai fini della NIS 2.

Tuttavia, il coordinamento tra le due discipline non implica una completa esenzione dalla normativa NIS 2. Infatti, l’art. 33 chiarisce che le reti, i sistemi informativi e i servizi inseriti nell’elenco del Perimetro di Sicurezza non sono soggetti alle disposizioni del decreto NIS 2, ma soltanto per quanto riguarda i beni strettamente rientranti nell’ambito del PSNC. Per tutti gli altri sistemi o servizi non compresi nel perimetro di sicurezza nazionale, continuano ad applicarsi le disposizioni del D. Lgs. 138/2024. Ciò garantisce che ogni infrastruttura critica e ogni soggetto essenziale o importante sia adeguatamente tutelato, senza lasciare lacune nel sistema di protezione cibernetica nazionale.

Un altro aspetto rilevante riguarda la notifica degli incidenti. I soggetti del Perimetro che notificano un incidente ai sensi del D.L. 105/2019 non devono ripetere la notifica seguendo le disposizioni del D. Lgs. 138/2024 per lo stesso evento. Anche in questo caso, il legislatore ha voluto evitare duplicazioni procedurali, garantendo una gestione più snella e coerente degli incidenti cibernetici.

La scelta del legislatore di coordinare il PSNC con la disciplina della Direttiva NIS 2 risponde all’esigenza di armonizzare le normative nazionali ed europee in materia di sicurezza cibernetica, garantendo che i soggetti coinvolti possano adottare misure di sicurezza efficaci, senza doversi confrontare con obblighi duplicati o conflittuali. Questo approccio garantisce una protezione ottimale delle infrastrutture critiche, pur mantenendo la coerenza tra le diverse normative applicabili.

Soggetti inclusi nel Perimetro, registrazione nella piattaforma, e obblighi NIS.

I soggetti già inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC) devono affrontare un’analisi preliminare per determinare se rientrano anche nell’ambito di applicazione del Decreto NIS 2. Questa valutazione è essenziale per stabilire se operano nei settori considerati critici o altamente critici, elencati negli Allegati I e II del D. Lgs. 138/2024, o se possiedono una delle qualifiche di soggetti pubblici o privati elencati negli Allegati III e IV. Qualora un soggetto operi in uno di questi ambiti, è tenuto a rispettare anche gli obblighi imposti dalla normativa NIS 2, oltre a quelli già previsti dal D.L. 105/2019.

Una volta confermata l’applicabilità del decreto NIS 2, i soggetti dovranno verificare se all’interno della loro organizzazione esistano reti e sistemi informativi che non rientrano nella clausola di esclusione prevista dall’art. 33, comma 1, lettera b), del D. Lgs. 138/2024.

Tale clausola esclude dall’ambito di applicazione della NIS 2 le reti e i sistemi già sottoposti alla disciplina del PSNC. Tuttavia, qualora esistano reti o sistemi informativi che non ricadano nel PSNC, ma che siano comunque rilevanti ai fini della NIS 2, questi soggetti dovranno procedere alla registrazione sulla piattaforma digitale predisposta dall’Agenzia per la Cybersicurezza Nazionale (ACN). La registrazione deve essere effettuata – a seconda dei casi –  entro il 17 gennaio 2025 o entro il 28 febbraio 2025, come già approfondito in un precedente articolo.

Per quanto riguarda l’obbligo di notifica degli incidenti, il Decreto NIS 2 prevede una deroga per gli incidenti che riguardano reti e sistemi informativi già sottoposti alla disciplina del PSNC. In questi casi, gli incidenti non devono essere notificati secondo le disposizioni del D. Lgs. 138/2024. Tuttavia, se l’incidente riguarda reti o sistemi esterni al PSNC, ma comunque soggetti alla normativa NIS 2, si ritiene che i soggetti debbano rispettare i termini di notifica stabiliti dagli artt. 25 e 42 del decreto.

Un ulteriore obbligo riguarda la comunicazione dell’elenco delle attività e dei servizi svolti dai soggetti, con la loro caratterizzazione e categorizzazione. Tale obbligo entrerà in vigore a partire dal 1° gennaio 2026, e da quella data i soggetti saranno tenuti a fornire annualmente le informazioni relative alle sole reti e sistemi che non rientrano nel Perimetro di Sicurezza Nazionale.

Entro 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS, gli enti già inclusi nel PSNC dovranno inoltre adottare le misure di gestione del rischio e le misure di sicurezza previste dal Decreto NIS 2 per le reti e i sistemi non coperti dal PSNC. È possibile ritenere che, se tali misure sono analoghe a quelle previste dall’art. 1, comma 3, lettera b), del D.L. 105/2019, esse saranno considerate equivalenti a quelle richieste dal D. Lgs. 138/2024.

In conclusione, questa checklist fornisce un quadro orientativo degli adempimenti necessari per i soggetti già inclusi nel Perimetro e ora soggetti anche alla normativa NIS 2. Tuttavia, la complessità della disciplina e le peculiarità di ciascun soggetto richiedono una valutazione approfondita che solo una consulenza legale esperta può offrire. Il nostro studio legale è a disposizione per assistere le imprese e le pubbliche amministrazioni in tutte le fasi del processo di conformità alle normative sulla cybersicurezza.

Checklist di adempimenti

• Verifica se l’organizzazione rientra nei settori degli Allegati I e II, o se possiede una qualifica prevista dagli Allegati III e IV del D. Lgs. 138/2024.
• Valuta se ci sono reti o sistemi informativi che non ricadono nella clausola di esclusione ai sensi dell’art. 33, comma 1, lett. b) D. Lgs. 138/2024
• Se esistono reti o sistemi extra Perimetro, procedi alla registrazione sulla piattaforma ACN entro il 17 gennaio 2025 o 28 febbraio 2025.
• Fornisci le ulteriori informazioni richieste dal Decreto NIS 2 entro il 31 maggio 2025
• Gli incidenti relativi a reti intra Perimetro non richiedono notifica secondo il D. Lgs. 138/2024, mentre gli incidenti extra Perimetro devono essere notificati secondo le tempistiche NIS 2.
• Dal 1° gennaio 2026, comunica annualmente l’elenco delle attività e dei servizi per le reti e sistemi extra Perimetro, includendo caratterizzazione e categorizzazione.
• Entro 18 mesi dall’inserimento nell’elenco NIS, adotta le misure di gestione del rischio e sicurezza per le reti e sistemi extra Perimetro, con possibili equivalenze alle misure PSNC.

Per aggiornamenti seguici anche su: https://www.linkedin.com/company/dagostinolex

SCARICA QUI IL PDF DELLA CHECKLIST: Checklist_NIS2_Perimetro_dagostinolex