Cybersecurity: tempo scaduto per I “soggetti NIS2” obbligati a registrarsi sulla apposita piattaforma

Il 28 Febbraio 2025 è scaduto il termine di registrazione sulla piattaforma online dell’Agenzia per la Cybersicurezza Nazionale (“ACN”), previsto dalla Direttiva UE 2022/2555 (“Direttiva NIS2”) nei confronti di quelle categorie di imprese rientranti nel relativo ambito di applicazione.La norma europea è stata recepita in Italia con D. Lgs. n. 138/2024 in vigore dal 18 ottobre 2024 (“Decreto Attuativo”), il cui articolo 7, infatti, ha ribadito tale obbligo di auto-identificazione da parte dei soggetti considerati essenziali e/o importanti secondo la Direttiva stessa. Il censimento dei cc.dd. Soggetti NIS2 rappresenta la fase iniziale del processo di implementazione della recente normativa europea in materia di cybersicurezza. In forza della Direttiva NIS2 ed alla luce degli obblighi che saranno via via definiti più in dettaglio dalla ACN, molti più operatori economici, rispetto a quelli inizialmente individuati dalla Direttiva Nis 1 (Direttiva UE 2016/1148), saranno tenuti a dotarsi di un modello organizzativo ad hoc che possa – ragionevolmente – garantire un livello “elevato” di sicurezza dei sistemi informatici; ciò conformemente all’obiettivo che la Direttiva intende perseguire, ovvero assicurare una elevata sicurezza cibernetica all’interno del mercato unico comunitario.

Fra i criteri di individuazione della platea di Soggetti NIS2, vi è in primis quello dimensionale: sono tenuti ad implementare, all’interno della propria organizzazione, le disposizioni di cui alla Direttiva le categorie di operatori pubblici e privati rientranti nei settori elencati negli Allegati I, II, III, IV della Direttiva stessa, che superino i massimali delle piccole imprese, secondo la definizione fornita dall’art. 2 comma 2 dell’Allegato alla Raccomandazione 2003/361/CE. Le medie e grandi imprese, ovvero quelle realtà il cui numero di addetti effettivi superi le 250 persone e la soglia finanziaria (fatturato o bilancio annuo) superi i 50 milioni di Euro, se operanti nei settori di cui sopra, rientrano di default nell’ambito di applicazione della Direttiva. 

Nelle ipotesi di gruppi di imprese, laddove il suddetto criterio dimensionale non risulti proporzionato, occorrerà distinguere fra imprese autonome, imprese associate ed imprese collegate; per poi indagare, per ciascuna, il livello di indipendenza dal gruppo cui essa appartiene, al fine di invocare – ove ne ricorrano i presupposti di autonomia, meglio individuati dal DPCM n. 221/2024 del 10 febbraio 2025 – l’applicabilità, o meno, della clausola di salvaguardia di cui all’art. 3 comma 4 del Decreto Attuativo. 

Tale clausola, in altri termini, consente di operare un “declassamento” della società:

1. da grande a media impresa, con effetti rispetto alla qualifica del soggetto come <<essenziale>> o <<importante>>, rispetto agli obblighi ed alla misura delle sanzioni in caso di violazione;
2. da media a piccola impresa, con conseguente esclusione della società dal campo di applicazione della Direttiva NIS2.

A prescindere dal criterio dimensionale, ai fini dell’assoggettamento dell’impresa (o del soggetto pubblico) all’ambito di applicazione della normativa de qua, bisogna valutare caso per caso la sussistenza delle fattispecie illustrate nei commi 5, 9 e 10 dell’art. 3 del Decreto Attuativo, ovvero verificare la peculiarità del servizio svolto dall’impresa ed il relativo impatto a livello nazionale, oppure se questa rientri fra determinate tipologie di soggetti non elencate nei suddetti Allegati, o ancora il ruolo della società nella supply chain del soggetto essenziale o importante.

All’esito della fase di auto-identificazione da parte delle imprese, secondo un principio di accountability, che rimanda al medesimo approccio adottato dal GDPR (reg. UE 2016/679) in materia di protezione dei dati personali, entro il 31 marzo 2025 l’ACN comunicherà presso il domicilio digitale fornito al momento della registrazione, l’inserimento, la permanenza o l’espunzione dall’elenco del soggetto registrato, il quale tra il 15 aprile ed il 31 maggio 2025 dovrà, a sua volta, fornire i chiarimenti o le integrazioni eventualmente richiesti dall’Autorità. 

Veniamo ora al cuore della Direttiva NIS2 ed ai principali obblighi ivi previsti.

Fermo restando il potere dispositivo dell’ACN, la quale può stabilire proporzionalmente specifici obblighi in capo ai Soggetti NIS2, tenendo conto del relativo grado di esposizione ai rischi, delle dimensioni del soggetto e del grado di probabilità che si verifichi un incidente informatico, l’art. 24 del Decreto Attuativo prevede che i soggetti essenziali e importanti adottino misure tecniche, operative ed organizzative adeguate e proporzionate alla gestione dei rischi per la sicurezza dei propri sistemi informativi e di rete, nonché idonee a prevenire e ridurre al minimo l’impatto di eventuali incidenti. 

Agli operatori si richiede un approccio multirischio, volto a proteggere a 360° i sistemi informatici, per lo più, attraverso:

• delle politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete;
• una gestione degli incidenti e relative notifiche;
• una continuità operativa dei sistemi (ad es. backup, ripristino in caso di disastro, gestione delle crisi);
• la sicurezza della catena di approvvigionamento e, quindi, nei rapporti con clienti/fornitori;
• delle politiche di sviluppo e manutenzione dei sistemi;
• delle politiche e procedure per valutare l’efficacia delle misure via via implementate;
• una formazione in materia di sicurezza informatica;
• dei meccanismi di autenticazione a più fattori e protette, delle procedure di crittografia e cifratura dei dati.

Rispetto a quanto sopra, un ruolo fondamentale è svolto dalla Governance: gli organi di amministrazione di direzione, infatti, ai sensi dell’art. 23 del Decreto Attuativo, approvano le misure di gestione dei rischi, sovrintendono all’implementazione dei suddetti obblighi, promuovono l’attività di formazione e, soprattutto, rispondono di eventuali violazioni. In particolare, l’art. 38 comma 5 del Decreto Attuativo prevede che “Qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni di cui al presente decreto. Tali persone fisiche possono essere ritenute responsabili dell’inadempimento in caso di violazione del presente decreto da parte del soggetto di cui hanno rappresentanza”. 

In tali casi, fra le sanzioni irrogabili ai sensi dell’art. 38 del Decreto Attuativo, il relativo comma 6 prevede la sanzione amministrativa accessoria dell’incapacità a svolgere funzioni dirigenziali all’interno dell’organizzazione, mentre i successivi commi 9 lett. a) e b), comma 11 lett. a) e b), comma 12 e 13 prevedono l’irrogazione della sanzione amministrativa pecuniaria sul fatturato aziendale, che varia a seconda della tipologia della violazione commessa (commi 8 e 10), del fatto che il soggetto sia ritenuto essenziale o importante e dell’eventuale reiterazione della violazione. La mancata registrazione alla piattaforma online dell’ACN, di cui all’art. 7 del Decreto attuativo, comporta l’applicazione della sanzione più grave aumentata fino al triplo attribuita alle violazioni indicate nei commi 8 e 10 dell’art. 38 del Decreto Attuativo.

L’importanza sempre crescente che l’Unione Europea riconosce alla sicurezza informatica, cercando di adottare normative che tutelino tale aspetto in maniera uniforme tra gli Stati membri dell’Unione, è una delle risposte alla rilevanza e frequenza che gli attacchi informatici hanno acquisito negli ultimi anni, in un mondo sempre più dipendente dai dati.

In tale contesto, una corretta analisi e gestione del rischio cyber non può prescindere dalla opportunità di dotarsi di una idonea copertura assicurativa. L’assicurazione sulla cybersecurity deve, quindi, essere considerata come uno strumento per integrare i processi e le tecnologie di sicurezza che implementano le strategie di gestione del rischio informatico adottate dall’azienda. 

Questo articolo è stato redatto insieme a Flavia Bartolazzi. 

Scarica qui l’articolo completo in PDF.