NIS 2: adeguamento al decreto, tutto quello che c’è da sapere

Cybersecurity

Entrata in vigore da pochi giorni la Direttiva (UE) 2022/2555 nota come “Direttiva NIS 2” fa già sentire i suoi effetti, segnando un decisivo cambio di rotta sul fronte della cybersicurezza per le organizzazioni europee e rappresentando una risposta concreta del legislatore alla crescente ondata di minacce informatiche sempre più sofisticate e dagli effetti dirompenti.

A chi si applica

Il decreto di recepimento dello scorso ottobre ha finalmente chiarito il perimetro dei soggetti interessati, definendo tempi e modi del percorso di conformità che le organizzazioni sono chiamate ad intraprendere.

Mandando in pensione la precedente versione, la Direttiva NIS2 – pur ereditandone la ratio e ponendosi in continuità con la sua antenata – apporta importanti novità estendendo notevolmente l’ambito di applicazione, come chiariscono gli articoli 6 e 7 del decreto di recepimento. Il testo infatti, confermando, le disposizioni per i settori interessati dalla precedente NIS1, amplia il suo perimetro, includendo anche le organizzazioni operanti in ambito digitale, sanitario e della produzione, trasformazione e distribuzione di cibo, incluse le imprese della distribuzione.

Nella categoria “altri settori critici” la Direttiva NIS2 introduce infatti, per citare alcuni dei destinatari, servizi postali e di corriere, gestione dei rifiuti, produzione, trasformazione e distribuzione di alimenti, di computer e prodotti di elettronica, di autoveicoli e fornitori di servizi digitali. Attraverso il criterio della dimensione – sebbene non sia l’unico principio adottato – la normativa individua quali siano i soggetti appartenenti alla categoria “essenziali” e quali quelli della categoria “importanti”.

La timeline della NIS2

A differenza della NIS1, in cui era l’autorità a dover verificare quali soggetti rientrassero nel perimetro della normativa, con la NIS2 sono invece le organizzazioni pubbliche e private a doversi accertare di far parte o meno dei destinatari delle disposizioni e – nel caso dei soggetti previsti dall’art. 42 comma 1 – a registrarsi autonomamente – entro il 28 febbraio 2025 – sulla piattaforma messa a disposizione da ACN.

Vediamo le ulteriori deadline previste citando espressamente il testo normativo:

Entro il 1 gennaio 2026 i soggetti destinatari della NIS2 devono adeguarsi all’articolo 25 relativo alla notifica degli incidenti e all’art. 30 aggiornando pertanto annualmente le informazioni previste dalla piattaforma ACN con il dettaglio delle attività e dei servizi.
Dal 1° gennaio al 28 febbraio di ogni anno successivo alla data di entrata in vigore:i soggetti di cui all’articolo 3, si registrano o aggiornano la propria registrazione sulla piattaforma digitale resa disponibile dall’Autorità nazionale competente NIS ai fini dello svolgimento delle funzioni attribuite all’Agenzia per la cybersicurezza nazionale.
Entro il 31 marzo di ogni anno successivo alla data di entrata in vigore: l’Autorità nazionale competente NIS, redige l’elenco dei soggetti essenziali e dei soggetti importanti.
Dal 15 aprile al 31 maggio di ogni anno successivo alla data di entrata in vigore: tramite la piattaforma digitale, i soggetti che hanno ricevuto la comunicazione forniscono o aggiornano almeno le informazioni quali ad esempio lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilità del soggetto o l’elenco degli Stati membri in cui forniscono servizi che rientrano nell’ambito di applicazione del presente decreto.
Dal 1 maggio al 30 giugno di ogni anno a partire dalla ricezione della prima comunicazione, i soggetti essenziali e i soggetti importanti comunicano e aggiornano, tramite la piattaforma digitale un elenco delle proprie attività e dei propri servizi, comprensivo di tutti gli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza.

Sanzioni e non solo

La nuova normativa delinea un quadro sanzionatorio di notevole impatto con multe tra i 7 e 10 milioni di euro (1,4% -2% del fatturato annuo) per le strutture inadempienti. Ma non è tutto. Le responsabilità, in caso di non conformità, possono avere conseguenze anche per le funzioni di amministratori delegati o rappresentanti legali che potrebbero anche essere sospesi temporaneamente dalle loro funzioni in caso di mancata adozione o violazione delle prescrizioni NIS2.

Quali sono gli step che devono affrontare le aziende?

Valutare la propria posizione rispetto alla NIS2: il primo step consiste nel verificare se il settore di riferimento della propria organizzazione faccia parte del perimetro dei soggetti destinatari individuati negli allegati normativa o ritenuti critici secondo la direttiva 2022/2557.

Tale valutazione deve necessariamente tener conto del fatto che la Direttiva NIS 2 non si focalizza unicamente sui settori ritenuti ad alta criticità o critici, ma, secondo una prospettiva estremamente lungimirante, anche sulla filiera dei fornitori la cui vulnerabilità potrebbe mettere a rischio le organizzazioni alle quali prestano servizi.

Accertata la propria posizione, è necessario analizzare il livello di sicurezza informatica e compliance sia sul piano tecnico che organizzativo. La logica dell’Accountability propria della NIS2 non stabilisce misure e standard comuni a tutte le organizzazioni, ma prevede che tali misure siano adeguate al contesto e appropriate. La norma incoraggia un approccio risk-based ossia basato sul concetto di “multirischio”: logico, fisico e tecnologico.

Gap Analysis e Vulnerability Assessment rappresentano un’attività essenziale per raggiungere in tempi adeguati la consapevolezza sul percorso da affrontare, anche inconsiderazione della comunicazione dei punti di contatto da compiere entro il 28 febbraio.

L’analisi del livello raggiunto consente infatti di stabilire e programmare un percorso di conformità efficace che coinvolga tutte le azioni necessarie da intraprendere tra cui le risorse da prevedere – sia in termini di budget che di personale – l’evoluzione dei sistemi informativi sul piano tecnico e degli investimenti, la regolarizzazione della supply chain compresa la revisione dei contratti in essere o la valutazione dei nuovi accordi e la progettazione di piani formativi adeguati per le risorse interessate.

Avv. Valentina Frediani

Founder & CEO Colin & Partners

Contattaci per maggiori informazioni

Visita il sito di Colin