Il decreto legislativo n. 138/2024 ha attuato in Italia la Direttiva 2555/2022, c.d. NIS2, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, che ha abrogato la precedente Direttiva n.1148/2016 sullo stesso tema. L’argomento è di interesse perché i soggetti che rientrano nell’ambito di applicazione del decreto in esame sono tenuti a nuovi obblighi. In caso di inosservanza le sanzioni sono elevate, per cui è necessario esaminare con attenzione i presupposti fissati dalla legge.
Il problema delle minacce informatiche negli ultimi tempi è diventato sempre più rilevante. La rete e i computer costituiscono strumenti indispensabili per le comunicazioni, e conseguentemente per l’economia. La loro tutela è imprescindibile per la serenità delle relazioni commerciali all’interno dell’Unione. La normativa europea nasce dall’esigenza di sfruttare al meglio le potenzialità della digitalizzazione, arginandone gli effetti negativi.
Ai sensi dell’articolo 41 co.1 del d.lgs. 138/2024 le nuove disposizioni si applicano a partire dal 18 ottobre 2024. L’art. 42 specifica per alcuni obblighi nella fase di prima applicazione decorrenze diverse da quella generale fissata dall’art. 41.
Tra i passaggi di rilievo si segnalano:
Art. 3 sull’ambito di applicazione, che rinvia ai settori indicati negli allegati I, II, III e IV del medesimo provvedimento e ad altri testi normativi, tra cui il d.lgs. 134/2024, che ha recepito la direttiva UE 2022/2557, c.d. CER. Tra i soggetti pubblici e privati a cui si applica il decreto sono incluse anche le imprese collegate.
Art. 5 sulla giurisdizione e sulla territorialità. Questo articolo stabilisce le regole per determinare quali soggetti sono sottoposti alla giurisdizione nazionale. In generale, si tratta di quelli che sono stabiliti sul territorio nazionale, con alcune eccezioni.
Art. 6 sulla distinzione tra soggetti essenziali e importanti, che ha rilievo sull’entità delle sanzioni.
Art. 7 relativo all’obbligo di registrazione dei soggetti essenziali e importanti sulla piattaforma digitale resa disponibile dall’Autorità nazionale competente NIS da effettuare entro il 28 febbraio 2025. Entro il 31 marzo di ogni anno, l’Autorità nazionale competente NIS redige l’elenco dei soggetti essenziali e importanti sulla base delle registrazioni e delle decisioni adottate.
Art. 17 sugli accordi di condivisione delle informazioni sulla sicurezza informatica tra soggetti essenziali e importanti. L’obiettivo è rafforzare la capacità di preparazione, individuazione e risposta agli incidenti.
Capo IV relativo agli obblighi gravanti sui soggetti rientranti nell’ambito di applicazione del decreto. Questo capo definisce gli obblighi in capo ai soggetti essenziali e importanti in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente.
Capo V su monitoraggio, vigilanza ed esecuzione, in particolare l’art. 38 sulle sanzioni amministrative in caso di inosservanza degli obblighi e sui meccanismi deflattivi del procedimento contenzioso sanzionatorio.
Infine, si segnala che:
1) Il procedimento per la registrazione è analizzato dalla Determinazione del Direttore generale dell’Agenzia per la cybersicurezza nazionale del 26/11/2024;
2) Di recente è stato pubblicato in Gazzetta Ufficiale il Decreto del Presidente del Consiglio dei Ministri n. 221 del 2024, Regolamento per la definizione dei criteri per l’applicazione della clausola di salvaguardia di cui all’articolo 3, commi 4 e 12, del decreto legislativo n. 138/2024.
Contenuto a cura dell’Avv. Luca Tiberi e del Dott. Luca Arcidiacono