Con il Decreto Legislativo 138/2024, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024, l’Italia ha finalmente recepito la Direttiva NIS 2. Il decreto introduce un quadro normativo più rigoroso e articolato, imponendo a soggetti pubblici e privati nuovi obblighi di gestione del rischio e di notifica di incidenti di sicurezza informatica. Nel dettaglio la normativa individua due principali categorie di soggetti: essenziali e importanti, imponendo loro differenti livelli di adempimento.
In questo articolo, intendiamo offrire una guida pratica per le imprese sulle principali scadenze e adempimenti previsti dal decreto, fornendo un quadro chiaro delle tempistiche e delle misure da adottare per evitare le pesanti sanzioni previste per le violazioni. In attesa di una nostra successiva pubblicazione più dettagliata, questo contributo vuole essere un primo strumento di orientamento per conformarsi alla nuova normativa in modo efficace e tempestivo.
Chi sono i soggetti tenuti all’applicazione del Decreto NIS 2?
Il D. Lgs. 138/2024 NIS 2 si applica a una vasta gamma di soggetti, pubblici e privati, che operano in settori considerati di primaria rilevanza per gli interessi della collettività. L’articolo 3, unitamente agli Allegati I, II, III e IV, identifica con precisione tali soggetti, distinguendoli in due grandi categorie: amministrazioni pubbliche e soggetti essenziali/ importanti.
Senza pretese di esaustività, basti in questa sede ricordare che, per quanto riguarda gli enti pubblici, il Decreto NIS 2 si applica a tutte le amministrazioni centrali dello Stato, come individuate nell’Allegato III, comprendendo, tra gli altri, ministeri, agenzie governative, autorità indipendenti, amministrazioni regionali, comuni oltre i 100.000 abitanti e altri enti pubblici (che forniscono, ad esempio, servizi di interesse economico generale, società in house, società partecipate e società a controllo pubblico etc.).
D’altro lato, per gli enti (essenzialmente) privati, il decreto distingue tra soggetti essenziali e soggetti importanti, in base alla rilevanza dei settori in cui operano. I soggetti essenziali, come definiti nell’Allegato I, operano in settori altamente critici per la sicurezza nazionale, tra cui l’energia, i trasporti, la sanità, la gestione delle risorse idriche e le infrastrutture digitali. Tuttavia, la qualifica spetta ai soggetti che superano i massimali previsti per le medie imprese, come stabilito dalla raccomandazione 2003/361/CE. Ciò esclude che le imprese di più ridotte dimensioni, a meno che non siano esplicitamente classificate come critiche o operino in determinati ambiti (es. prestatori di servizi fiduciari qualificati e i gestori di registri dei nomi di dominio di primo livello), siano annoverate tra i soggetti essenziali. Le P.A. centrali figurano di diritto tra i soggetti essenziali.
Rientrano invece tra i soggetti importanti, per sottrazione, quelli che non sono ritenuti essenziali e coloro che operano nei settori di cui all’Allegato II. Quest’ultimo individua alcuni settori come i servizi postali, la gestione dei rifiuti la produzione di sostanze chimiche o di dispositivi medici, e i fornitori di servizi digitali. Anche in questo caso, l’applicazione della normativa è subordinata, salvo eccezioni, al superamento dei massimali per le piccole imprese.
NIS 2: la registrazione sulla piattaforma e il meccanismo di designazione. Quali termini?
Con il recepimento della Direttiva NIS 2 è stato significativamente ampliato il numero di soggetti tenuti a conformarsi agli obblighi di cybersicurezza. Rispetto al passato, la NIS 2 coinvolge una gamma più ampia di settori e soggetti, estendendo gli obblighi anche a categorie di soggetti e settori di attività prima non considerati. Questo ampliamento ha reso opportuno prevedere la creazione di una piattaforma digitale, gestita dall’Autorità nazionale competente NIS, attraverso la quale i soggetti interessati devono registrarsi o aggiornare le informazioni necessarie.
Nel dettaglio, l’art. 7, comma 1, del decreto NIS 2 stabilisce che a partire dal 1° gennaio di ogni anno, e non oltre il 28 febbraio, i soggetti obbligati devono registrarsi o aggiornare la propria registrazione sulla piattaforma digitale. Questa registrazione è fondamentale per consentire all’Autorità NIS di svolgere le sue funzioni di controllo e monitoraggio, e include la comunicazione di informazioni essenziali quali la ragione sociale, i recapiti aggiornati, l’indicazione di un punto di contatto e, ove applicabile, i settori e le tipologie di attività svolte.
In sostanza, l’ampiezza del perimetro di applicazione della normativa impone ora una maggiore responsabilità in capo ai soggetti privati, i quali devono attivarsi autonomamente per la registrazione sulla piattaforma, senza attendere un intervento attivo da parte dell’Autorità. Tale obbligo si applica sia ai soggetti essenziali che ai soggetti importanti, i quali devono comunicare tutte le informazioni relative alle proprie attività entro i termini previsti.
Tuttavia, l’art. 42 del decreto NIS 2 prevede un regime di prima applicazione per la registrazione, stabilendo che per alcune categorie specifiche di soggetti, come i fornitori di servizi di sistema dei nomi di dominio, di cloud computing e data center, la registrazione debba essere effettuata entro il 17 gennaio 2025.
Per gli altri soggetti, invece, il termine per completare la registrazione (in base al combinato disposto dagli artt. 7, comma 1 e 42) sembra fissato al 28 febbraio 2025. Tale obbligo appare comunque condizionato all’effettiva attivazione della piattaforma da parte dell’Autorità. Resta ferma la possibilità per i soggetti essenziali e importanti di registrarsi a partire dalla data di pubblicazione della piattaforma in esame.
Dopo aver ricevuto la registrazione sulla piattaforma, l’Autorità NIS verifica le informazioni trasmesse dai soggetti registrati; entro il 31 marzo di ogni anno, redige l’elenco dei soggetti essenziali e importanti. Successivamente, tramite la piattaforma digitale, comunica ai soggetti registrati il loro inserimento nell’elenco o eventuali aggiornamenti della loro posizione, e richiede eventuali integrazioni o ulteriori informazioni necessarie.
In caso di mancata registrazione o di tardiva registrazione sulla piattaforma digitale entro i termini stabiliti dall’art. 7 del D. Lgs. 138/2024 NIS 2, si applicano le sanzioni amministrative pecuniarie previste dall’art. 38. Le violazioni relative alla mancata registrazione sono punite con sanzioni che, per i soggetti essenziali, possono arrivare fino allo 0,1% del fatturato annuo su scala mondiale (o per i soggetti importanti, lo 0,07% del fatturato annuo). Inoltre, in caso di mancata registrazione, potranno essere comunque contestate, ricorrendone i presupposti, anche le altre violazioni (si applica, in tal caso, la sanzione prevista per la violazione più grave aumentata fino al triplo).
NIS 2, adozione di misure di sicurezza e elencazione di attività e servizi. Quali termini?
Il D. Lgs. 138/2024 NIS 2 prevede una serie di obblighi stringenti in materia di sicurezza informatica che i soggetti essenziali e importanti devono rispettare, come delineato dagli articoli 23, 24 e 30. L’articolo 23 impone agli organi di amministrazione e direttivi dei soggetti essenziali e importanti di approvare e sovrintendere all’implementazione delle misure di gestione del rischio per la sicurezza informatica. Tali organi sono inoltre tenuti a promuovere una formazione specifica in materia di sicurezza informatica, sia per i dirigenti che per i dipendenti.
L’articolo 24 stabilisce gli obblighi specifici di gestione del rischio per la sicurezza informatica. I soggetti obbligati devono adottare misure tecniche, operative e organizzative adeguate e proporzionate per prevenire o ridurre al minimo l’impatto di incidenti di sicurezza sui propri sistemi informativi e sui servizi offerti. Le misure devono essere basate su un approccio multi-rischio e comprendere politiche di sicurezza, gestione degli incidenti, continuità operativa, gestione della catena di approvvigionamento e sicurezza del personale.
L’articolo 30 del Decreto NIS 2, invece, prevede l’obbligo per i soggetti essenziali e importanti di fornire, attraverso la piattaforma digitale, un elenco delle attività e dei servizi svolti, comprensivo della loro caratterizzazione e categorizzazione, al fine di permettere una valutazione accurata dei rischi associati a ciascuna attività. Tale elenco deve essere comunicato annualmente tra il 1° maggio e il 30 giugno, a partire dall’anno successivo alla registrazione sulla piattaforma digitale.
Tuttavia, come previsto dall’articolo 42 del decreto NIS 2, l’obbligo di comunicare l’elenco delle attività e dei servizi entrerà in vigore a partire dal 1° gennaio 2026, fornendo così ai soggetti coinvolti un ampio margine di tempo per adeguarsi.
Per quanto riguarda gli obblighi previsti dagli articoli 23 e 24 del Decreto NIS 2, essi dovranno essere rispettati entro 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti essenziali o importanti, come stabilito dall’articolo 42. Questo termine dilazionato garantisce ai soggetti il tempo necessario per implementare tutte le misure di sicurezza richieste dalla normativa, evitando che l’applicazione sia immediata e repentina.
Notifica degli incidenti. Quali termini?
Il decreto di recepimento della NIS 2, all’art. 25, introduce un obbligo stringente per i soggetti essenziali e importanti di notificare ogni incidente significativo che possa avere un impatto rilevante sulla fornitura dei loro servizi. L’incidente è considerato significativo quando provoca o ha il potenziale di provocare gravi perturbazioni operative o perdite finanziarie per il soggetto, o quando ha ripercussioni significative su altre persone fisiche o giuridiche, causando perdite materiali o immateriali rilevanti.
La norma stabilisce i termini precisi per la notifica degli incidenti al CSIRT Italia. Entro 24 ore dal momento in cui un soggetto è venuto a conoscenza di un incidente significativo, è richiesto l’invio di una pre-notifica, che, ove possibile, deve indicare se l’incidente può essere il risultato di atti illegittimi o malevoli o se ha un impatto transfrontaliero.
Successivamente, entro 72 ore dalla scoperta dell’incidente, il soggetto deve trasmettere una notifica completa, contenente una valutazione iniziale dell’incidente, comprensiva della sua gravità e impatto. In seguito, il soggetto può essere tenuto a fornire una relazione intermedia, seguita da una relazione finale entro un mese dall’invio della notifica completa, contenente una descrizione dettagliata dell’incidente, le misure di attenuazione adottate e l’impatto transfrontaliero, ove noto.
In base a quanto previsto dall’art. 42, l’obbligo di notifica degli incidenti si applicherà gradualmente. Nella fase di prima applicazione, il termine per l’adempimento degli obblighi di notifica è fissato in nove mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti essenziali o importanti da parte dell’Autorità nazionale competente NIS.
Tuttavia, per i soggetti che sono già stati identificati come operatori di servizi essenziali ai sensi del D. Lgs. 65/2018, l’obbligo di notifica degli incidenti e gli altri obblighi previsti dalle vecchie disposizioni continueranno a rimanere in vigore fino all’applicazione delle nuove regole stabilite dal D. Lgs. 138/2024 NIS 2.
In particolare, i capi IV e V del D. Lgs. 65/2018, che disciplinano rispettivamente la gestione della sicurezza informatica e la notifica degli incidenti, continueranno ad applicarsi ai soggetti già inclusi nell’elenco NIS. Questo regime transitorio sarà valido fino all’adozione dei nuovi provvedimenti attuativi previsti dall’articolo 40 del D. Lgs. 138/2024 NIS 2. Tali provvedimenti attuativi definiranno nel dettaglio le nuove modalità di applicazione della normativa NIS 2 e sostituiranno definitivamente le vecchie regole.
Calendario delle scadenze per i destinatari del D. Lgs. 138/2024 NIS 2
Per le imprese e le pubbliche amministrazioni interessate, è fondamentale monitorare con attenzione le scadenze previste e procedere tempestivamente all’adempimento degli obblighi imposti dal decreto. Pertanto, a chiusura di questa breve guida operativa riportiamo, a valere come riassunto delle considerazioni dei paragrafi precedenti, uno scadenziario delle deadline che – presumibilmente – i destinatari della disciplina si troveranno a dover rispettare.
In ogni caso, si tenga presente che, ai sensi dell’art. 40 del D. Lgs. 138/2024 NIS 2, con apposite determinazioni dell’Agenzia per la Cybersicurezza Nazionale (ACN), saranno stabiliti i termini, le modalità e i procedimenti di utilizzo e accesso alla piattaforma digitale prevista dall’articolo 7, comma 6. Saranno inoltre specificate le ulteriori informazioni che i soggetti obbligati dovranno fornire. Analogamente, l’ACN stabilirà le categorie di rilevanza e le modalità di elencazione e categorizzazione delle attività e dei servizi, in linea con l’art. 30. Pertanto, alcune delle scadenze previste dal calendario potrebbero essere condizionate all’effettiva attivazione della piattaforma di registrazione e alla pubblicazione delle determinazioni dell’ACN.
Il nostro studio legale è a disposizione per fornire assistenza e consulenza su ogni aspetto della normativa NIS 2, aiutandovi a comprendere appieno gli obblighi e a rispettare le scadenze, al fine di garantire la piena conformità alle nuove disposizioni. Per aggiornamenti seguici anche su: https://www.linkedin.com/company/dagostinolex
Ecco un dettaglio delle scadenze.
17 gennaio 2025:
Entro questa data, alcune categorie specifiche di soggetti, come fornitori di servizi di sistema dei nomi di dominio, gestori di registri di nomi di dominio, fornitori di cloud computing e data center, dovranno completare la registrazione sulla piattaforma digitale. Questa scadenza è condizionata all’attivazione della piattaforma di registrazione e alla pubblicazione delle modalità di accesso stabilite dall’ACN.
28 febbraio 2025:
Entro il 28 febbraio 2025, tutti gli altri soggetti essenziali e importanti identificati dal decreto dovranno completare la registrazione o l’aggiornamento delle informazioni richieste sulla piattaforma digitale, in conformità all’art. 7, comma 1 del Decreto NIS 2. Anche questa scadenza dipende dall’attivazione effettiva della piattaforma.
31 marzo 2025:
L’Autorità nazionale competente NIS redigerà, entro il 31 marzo di ogni anno, l’elenco dei soggetti essenziali e importanti sulla base delle registrazioni effettuate. Anche il rispetto di tale scadenza dipenderà, verosimilmente, dall’attivazione effettiva della piattaforma.
31 maggio 2025:
I soggetti che hanno ricevuto la comunicazione di inserimento nell’elenco dei soggetti essenziali o importanti (prevista entro il 31 marzo 2025), sono tenuti, tramite la piattaforma digitale, a fornire o aggiornare le seguenti informazioni: lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso, l’elenco degli Stati membri in cui forniscono servizi rilevanti ai sensi del decreto, e i nominativi degli apicali responsabili dell’adempimento degli obblighi previsti dal decreto. Ciò postula che siano state adottate le determine di attivazione della piattaforma e sia stato comunicato l’effettivo inserimento nell’elenco dei destinatari della disciplina.
Entro 9 mesi dalla comunicazione di inserimento nell’elenco:
A partire dalla data della comunicazione di inserimento nell’elenco, i soggetti avranno un termine di nove mesi per iniziare ad adempiere agli obblighi di notifica degli incidenti previsti dall’art. 25. Resta fermo quanto previsto dalla disciplina transitoria per soggetti già inclusi tra gli operatori NIS.
1° gennaio 2026:
L’obbligo di comunicare l’elenco delle attività e dei servizi, comprensivo della loro caratterizzazione e categorizzazione, entrerà in vigore a partire dal 1° gennaio 2026. Da tale data, i soggetti dovranno fornire annualmente tali informazioni, come previsto dall’art. 30 del Decreto NIS 2. Anche questa scadenza appare condizionata alla definizione delle categorie di rilevanza e dei criteri di elencazione da parte dell’ACN.
Entro 18 mesi dalla comunicazione di inserimento nell’elenco:
Entro 18 mesi dalla ricezione della comunicazione, probabilmente a partire dal mese di ottobre 2026, i soggetti essenziali e importanti dovranno adempiere agli obblighi di gestione del rischio e delle misure di sicurezza previste dagli articoli 23 e 24 del Decreto NIS 2. Questo include l’approvazione delle politiche di gestione del rischio informatico e l’implementazione delle misure di sicurezza adeguate.
N.B. Le date sopra indicate sono orientative e non sostituiscono un parere legale circostanziato in base alle specifiche caratteristiche dell’operatore destinatario della disciplina NIS 2.
SCARICA QUI IL PDF: Deadlines_decreto_NIS2_dagostinolex
Contatta il nostro Studio per una consulenza sull’implementazione del Decreto NIS 2