Direttiva NIS2 in Italia: guida pratica al D.Lgs. 138/2024

La Direttiva (UE) 2022/2555, nota come NIS2, sostituisce la prima Direttiva NIS del 2016 e ha l'obiettivo di innalzare il livello comune di cybersicurezza nell'Unione Europea. In Italia e stata recepita con il Decreto legislativo 4 settembre 2024 n. 138, pubblicato in Gazzetta Ufficiale il 1 ottobre 2024 ed entrato in vigore il 16 ottobre 2024. La disciplina introduce obblighi rafforzati per soggetti essenziali e importanti in 18 settori (energia, trasporti, banche, sanita, acqua potabile e reflua, infrastrutture digitali, pubblica amministrazione, spazio, servizi postali, rifiuti, industria chimica, alimentare, manifatturiero, servizi digitali, ricerca). L'Agenzia per la Cybersicurezza Nazionale (ACN) e l'autorita competente e punto di contatto unico, oltre che CSIRT nazionale. Le imprese con piu di 50 dipendenti o 10 milioni di euro di fatturato rientrano tipicamente nell'ambito soggettivo.

I soggetti NIS2 devono adottare misure tecniche, operative e organizzative adeguate e proporzionate (articolo 21 della Direttiva, articolo 24 del decreto). Tra le principali: politiche di analisi dei rischi e sicurezza dei sistemi informativi, gestione degli incidenti, continuita operativa e gestione delle crisi, sicurezza della catena di fornitura (supply chain), sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi, politiche di valutazione dell'efficacia, igiene di base informatica e formazione, crittografia (ove appropriata), sicurezza delle risorse umane, controllo degli accessi, gestione degli asset, autenticazione a piu fattori. Obbligo di registrazione al portale ACN entro i termini stabiliti (prima finestra chiusa il 28 febbraio 2025, aggiornamento annuale). Obbligo di notifica degli incidenti significativi entro 24 ore (pre-allarme), 72 ore (notifica) e 30 giorni (relazione finale).

Le sanzioni amministrative pecuniarie sono particolarmente severe. Per i soggetti essenziali (articolo 38 del D.lgs. 138/2024): fino a 10 milioni di euro o 2 per cento del fatturato mondiale annuo, a seconda del valore maggiore. Per i soggetti importanti: fino a 7 milioni di euro o 1,4 per cento del fatturato mondiale annuo. Sanzioni accessorie includono la sospensione temporanea delle certificazioni o autorizzazioni, la sospensione temporanea dalle funzioni dirigenziali per manager e amministratori, la pubblicazione della decisione sanzionatoria. L'ACN ha potere ispettivo, puo chiedere prove di conformita e imporre audit di sicurezza. Gli amministratori possono essere chiamati a rispondere personalmente per violazioni gravi. La responsabilita civile verso terzi danneggiati da incidenti resta invariata secondo il codice civile italiano.

L'ambito soggettivo si determina in base a tre criteri cumulativi: settore di attivita (uno dei 18 previsti negli allegati I e II del decreto), dimensione aziendale (piu di 50 dipendenti o piu di 10 milioni di euro di fatturato) e presenza di elementi qualificanti specifici. Rientrano indipendentemente dalla dimensione: fornitori di servizi DNS, registri nomi di dominio di primo livello, prestatori di servizi fiduciari qualificati, provider di reti di comunicazione elettronica pubbliche, pubbliche amministrazioni centrali, alcune entita del settore spazio. La registrazione al portale ACN (servizi.acn.gov.it) e l'auto-valutazione sono obbligatorie. ACN pubblica liste indicative (non vincolanti) dei settori. In caso di dubbio, si raccomanda consulenza specialistica e interpello all'ACN. La finestra di registrazione 2025 si e chiusa il 28 febbraio 2025; aggiornamenti annuali sono previsti.

Il D.lgs. 138/2024 impone una procedura in tre fasi per incidenti significativi (articolo 25). Primo step: pre-allarme entro 24 ore dalla conoscenza, inviato via portale ACN, indicando se l'incidente e sospettato di origine dolosa o transfrontaliera. Secondo step: notifica di incidente entro 72 ore con valutazione iniziale di gravita, impatto e indicatori di compromissione. Terzo step: relazione finale entro 30 giorni dalla notifica o, se l'incidente e ancora in corso, relazione di stato entro 30 giorni e relazione finale entro un mese dalla gestione. Un incidente e significativo se causa gravi perturbazioni operative o perdite finanziarie, o colpisce altre persone fisiche o giuridiche con danni materiali o morali considerevoli. I prestatori di servizi fiduciari hanno obblighi analoghi sotto eIDAS. Il CSIRT Italia (interno ACN) fornisce supporto operativo e coordinamento transfrontaliero.